本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 主控台更新事件資料存放區
本節說明如何使用 AWS Management Console更新事件資料存放區的設定。如需有關如何使用 更新事件資料存放區的資訊 AWS CLI,請參閱 使用 更新事件資料存放區 AWS CLI。
更新事件資料存放區
-
登入 AWS Management Console 並在 開啟 CloudTrail 主控台https://console.aws.amazon.com/cloudtrail/
。 -
在導覽窗格中,選擇 Lake 下方的事件資料存放區。
-
選擇您要更新的事件資料存放區。此動作會開啟事件資料存放區的詳細資訊頁面。
-
在一般詳細資訊中,選擇編輯以變更下列設定:
-
事件資料存放區名稱 – 變更可識別事件資料存放區的名稱。
-
定價選項 – 對於使用七年保留定價選項的事件資料存放區,您可以改為選擇使用一年可延長保留定價。如果事件資料存放區每月擷取的事件資料少於 25 TB,建議您使用一年可延長保留定價。如果您需要長達 10 年的彈性保留期,同樣建議您使用一年可延長保留定價。如需詳細資訊,請參閱 AWS CloudTrail 定價
和 管理 CloudTrail Lake 成本。 注意
對於使用一年可延長保留定價的事件資料存放區,您無法變更其定價選項。如果您要使用七年保留定價,請在事件資料存放區上停止擷取。然後,使用七年保留定價選項建立新的事件資料存放區。
-
保留期 – 變更事件資料存放區的保留期。保留期將決定事件資料保留在事件資料存放區中的時間長度。一年可延長保留定價選項的保留期可介於 7 天到 3,653 天 (約 10 年) 之間;或是七年保留定價選項,則可介於 7 天到 2,557 天 (約七年) 之間。
注意
如果您減少事件資料存放區的保留期間, CloudTrail 會移除任何比新保留期間
eventTime更舊的事件。例如,如果先前的保留期間是 365 天,而您減少到 100 天, CloudTrail 將會移除eventTime超過 100 天的事件。 -
加密 - 若要使用您自己的KMS金鑰加密事件資料存放區,請選擇使用自己的 AWS KMS key。根據預設,事件資料存放區中的所有事件都會由 加密 CloudTrail。使用您自己的KMS金鑰會產生加密和解密 AWS KMS 的成本。
注意
將事件資料存放區與KMS金鑰建立關聯後,就無法移除或變更KMS金鑰。
-
若只要包含目前 AWS 區域中記錄的事件,請選擇在我的事件資料存放區中僅包含目前區域。如果您未選擇此選項,則事件資料存放區將包含來自所有區域的事件。
-
若要讓您的事件資料存放區從 AWS Organizations 組織中的所有帳戶收集事件,請為組織中的所有帳戶選擇啟用。只有在您使用組織的管理帳戶登入,且事件資料存放區的事件類型為CloudTrail事件或組態項目時,才能使用此選項。
完成後,請選擇儲存變更。
-
-
在 Lake 查詢聯合中,選擇編輯以啟用或停用 Lake 查詢聯合。啟用 Lake 查詢聯合可讓您在 AWS Glue Data Catalog 中檢視事件資料存放區的中繼資料,並使用 Amazon Athena 對事件資料執行SQL查詢。停用 Lake 查詢聯合會會停用與 AWS Glue AWS Lake Formation和 Amazon Athena 的整合。停用 Lake 查詢聯合後,您將無法再於 Athena 中查詢資料。當您停用聯合時,不會刪除 CloudTrail Lake 資料,而且您可以繼續在 CloudTrail Lake 中執行查詢。
若要啟用聯合,請執行下列動作:
選擇 啟用 。
-
選擇是否建立新的IAM角色,或使用現有的角色。當您建立新的角色時, CloudTrail 會自動建立具有所需許可的角色。如果您使用現有角色,請確認該角色的政策可提供所需的最低許可。
-
如果您要建立新的IAM角色,請輸入角色的名稱。
-
如果您選擇現有的IAM角色,請選擇您要使用的角色。該角色必須存在於您的帳戶中。
完成時,請選擇儲存變更。
-
在資源政策中,選擇編輯來新增或修改事件資料存放區的資源型政策。
資源型政策可讓您控制哪些主體可以在事件資料存放區上執行動作。例如,您可以新增資源型政策,允許其他帳戶中的根使用者查詢此事件資料存放區並檢視查詢結果。如需範例政策,請參閱 事件資料存放區的資源型政策範例。
資源型政策包含一或多個陳述式。政策中的每個陳述式都會定義允許或拒絕存取事件資料存放區的主體,以及主體可以在事件資料存放區資源上執行的動作。
事件資料存放區的資源型政策支援下列動作:
-
cloudtrail:StartQuery -
cloudtrail:CancelQuery -
cloudtrail:ListQueries -
cloudtrail:DescribeQuery -
cloudtrail:GetQueryResults -
cloudtrail:GenerateQuery -
cloudtrail:GenerateQueryResultsSummary -
cloudtrail:GetEventDataStore
對於組織事件資料存放區, 會 CloudTrail 建立預設資源型政策,列出委派管理員帳戶在組織事件資料存放區上執行的動作。此政策中的許可衍生自 中的委派管理員許可 AWS Organizations。此政策會在組織事件資料存放區或組織變更後自動更新 (例如,已註冊或移除 CloudTrail 委派管理員帳戶)。
-
-
編輯事件類型的任何其他設定。
事件類型 可編輯設定 CloudTrail 事件
您可以編輯事件的 CloudTrail下列設定:
-
若要變更事件資料存放區日誌的事件,請選擇CloudTrail 事件中的編輯。
-
在管理事件中,選擇編輯以變更管理事件的設定。如需詳細資訊,請參閱更新現有事件資料存放區的管理事件設定。
-
在資料事件中,選擇編輯以變更資料事件的設定。您可以選擇要記錄的資源類型,然後選擇要使用的日誌選取器範本。如需詳細資訊,請參閱更新現有的事件資料存放區,以記錄 中的資料事件 AWS Management Console。
-
在網路活動事件中,選擇編輯以變更網路活動事件的設定。您可以選擇您要記錄的網路活動事件類型,然後選擇您要使用的日誌選取器範本。如需詳細資訊,請參閱更新現有的事件資料存放區以記錄網路活動事件。
完成後,請選擇儲存變更。
來自整合的事件
在整合中,選擇您的整合。然後,選擇編輯以變更下列設定:
-
在整合詳細資訊中,變更可識別整合通道的名稱。
-
在事件交付位置中,選擇事件的目的地。
-
在 Resource policy (資源政策) 中,為整合的通道設定資源政策。
完成後,請選擇儲存變更。
如需這些設定的詳細資訊,請參閱 透過主控台與合作 CloudTrail 夥伴建立整合。
-
-
若要新增、變更或移除標籤,請在標籤中選擇編輯。您最多可以新增 50 個標籤金鑰對,以協助您識別、排序和控制事件資料存放區的存取權限。完成後,請選擇儲存變更。
