Crie um armazenamento de dados de eventos para eventos fora do AWS com o console

Você pode criar um armazenamento de dados de eventos para incluir eventos fora do AWS e, em seguida, use o CloudTrail Lake para pesquisar, consultar e analisar os dados que são registrados em seus aplicativos.

Você pode usar as integrações do CloudTrail Lake para registrar e armazenar dados de atividades do usuário de fora do AWS; de qualquer fonte em seus ambientes híbridos, como aplicativos internos ou SaaS hospedados localmente ou na nuvem, máquinas virtuais ou contêineres.

Ao criar um armazenamento de dados de eventos para uma integração, você também cria um canal e anexa uma política de recursos ao canal.

CloudTrail Os armazenamentos de dados de eventos em Lake incorrem em cobranças. Ao criar um armazenamento de dados de eventos, você escolhe a opção de preço que deseja usar para ele. A opção de preço determina o custo para a ingestão e para o armazenamento de eventos, e o período de retenção padrão e máximo para o armazenamento de dados de eventos. Para obter informações sobre CloudTrail preços e gerenciamento de custos do Lake, consulte AWS CloudTrail Preços Gerenciando os custos CloudTrail do Lake e.

Para criar um armazenamento de dados de eventos para eventos fora do AWS

1. Faça login no AWS Management Console e abra o CloudTrail console em https://console.aws.amazon.com/cloudtrail/.

2. No painel de navegação, em Lake, escolha Armazenamentos de dados de eventos.

3. Selecione Create event data store (Criar armazenamento de dados de eventos).

4. Na página Configure event data store (Configurar armazenamento de dados de eventos), em General details (Detalhes gerais), insira um nome para o armazenamento de dados de eventos. Um nome é obrigatório.

5. Escolha a opção de preço que você deseja usar para o armazenamento de dados de eventos. A opção de preço determina o custo para a ingestão e para o armazenamento de eventos, e os períodos de retenção padrão e máximo para o armazenamento de dados de eventos. Para ter mais informações, consulte AWS CloudTrail Preços Gerenciando os custos CloudTrail do Lake e.

   As seguintes opções estão disponíveis:

   • Preço de retenção extensível de um ano: geralmente recomendado se você espera ingerir menos de 25 TB de dados de eventos por mês e deseja um período de retenção flexível de até 10 anos. Nos primeiros 366 dias (o período de retenção padrão), o armazenamento é incluído sem custo adicional no preço de ingestão. Depois de 366 dias, a retenção estendida está disponível pelo pay-as-you-go preço. Esta é a opção padrão.

     • Período de retenção padrão: 366 dias

     • Período máximo de retenção: 3.653 dias

   • Preço de retenção de sete anos: recomendado se você espera ingerir mais de 25 TB de dados de eventos por mês e precisa de um período de retenção de até 7 anos. A retenção está incluída no preço de ingestão sem custo adicional.

     • Período de retenção padrão: 2.557 dias

     • Período máximo de retenção: 2.557 dias

6. Especifique um período de retenção para o armazenamento de dados de eventos. Os períodos de retenção podem ser entre 7 dias e 3.653 dias (cerca de 10 anos) para a opção de preço de retenção extensível de um ano ou entre 7 dias e 2.557 dias (cerca de sete anos) para a opção de preço de retenção de sete anos.

   CloudTrail Lake determina se deve reter um evento verificando se o eventTime evento está dentro do período de retenção especificado. Por exemplo, se você especificar um período de retenção de 90 dias, CloudTrail removerá eventos quando tiverem eventTime mais de 90 dias.

7. (Opcional) Para ativar a criptografia usando AWS Key Management Service, escolha Usar o meu AWS KMS key. Escolha Novo para ter um AWS KMS key criado para você, ou escolha Existente para usar uma KMS chave existente. Em Inserir KMS alias, especifique um alias, no formato alias/MyAliasName. Usar sua própria KMS chave exige que você edite sua política de KMS chaves para permitir que CloudTrail os registros sejam criptografados e descriptografados. Para obter mais informações, consulteConfigure as AWS KMS principais políticas para CloudTrail. CloudTrail também suporta AWS KMS Chaves multirregionais. Para obter mais informações sobre chaves multirregionais, consulte Usando chaves multirregionais no AWS Key Management Service Guia do desenvolvedor.

   O uso de sua própria KMS chave incorre AWS KMS custos de criptografia e decodificação. Depois de associar um armazenamento de dados de eventos a uma KMS chave, a KMS chave não pode ser removida ou alterada.

   nota

   Para habilitar AWS Key Management Service criptografia para um armazenamento de dados de eventos da organização, você deve usar uma KMS chave existente para a conta de gerenciamento.

8. (Opcional) Se você quiser consultar os dados do seu evento usando o Amazon Athena, escolha Habilitar na federação de consultas do Lake. A federação permite que você visualize os metadados associados ao armazenamento de dados do evento no AWS Glue Catalogue dados e execute SQL consultas com base nos dados do evento no Athena. Os metadados da tabela armazenados no AWS Glue O Catálogo de Dados permite que o mecanismo de consulta do Athena saiba como encontrar, ler e processar os dados que você deseja consultar. Para obter mais informações, consulte Federar um armazenamento de dados de eventos.

   Para habilitar a federação de consultas do Lake, escolha Habilitar e faça o seguinte:

   1. Escolha se você deseja criar uma nova função ou usar uma IAM função existente. AWS Lake Formationusa essa função para gerenciar permissões para o armazenamento de dados de eventos federados. Quando você cria uma nova função usando o CloudTrail console, cria CloudTrail automaticamente uma função com as permissões necessárias. Se você escolher um perfil existente, a política do perfil deve fornecer as permissões mínimas necessárias.

   2. Se você estiver criando um perfil, insira um nome para identificá-lo.

   3. Se você estiver usando um perfil existente, escolha o perfilo que deseja usar. O perfil deve existir em sua conta.

9. (Opcional) Na seção Tags, é possível adicionar até 50 pares de chave de tag para ajudar a identificar, classificar e controlar o acesso ao seu armazenamento de dados de eventos. Para obter mais informações sobre como usar IAM políticas para autorizar o acesso a um armazenamento de dados de eventos com base em tags, consulteExemplos: negação de acesso para criar ou excluir armazenamentos de dados de eventos com base em tags. Para obter mais informações sobre como você pode usar tags em AWS, consulte Marcando seu AWS recursos na Marcação AWS Guia do usuário de recursos.

10. Escolha Next (Avançar) para configurar o armazenamento de dados de eventos.

11. Na página Choose events (Escolher eventos), escolha Events from integrations (Eventos de integrações).

12. Em Events from integration (Eventos de integração), escolha a fonte para entregar os eventos ao armazenamento de dados do evento.

13. Forneça um nome para identificar o canal de integração. O nome pode ter de 3 a 128 caracteres. São permitidas apenas letras, números, pontos, traços e sublinhados.

14. Em Resource policy (Política de recursos), configure a política de recursos para o canal de integração. As políticas de recursos são documentos de JSON política que especificam quais ações um determinado diretor pode realizar no recurso e sob quais condições. As contas definidas como diretoras na política de recursos podem ligar PutAuditEvents API para a para entregar eventos em seu canal. O proprietário do recurso tem acesso implícito ao recurso se sua IAM política permitir a cloudtrail-data:PutAuditEvents ação.

    As informações necessárias para a política são determinadas pelo tipo de integração. Para uma integração de direção, adiciona CloudTrail automaticamente o do parceiro AWS conta IDs e exige que você insira o ID externo exclusivo fornecido pelo parceiro. Para uma integração de soluções, você deve especificar pelo menos uma AWS ID da conta como principal e, opcionalmente, pode inserir uma ID externa para evitar confusões entre deputados.

    nota

    Se você não criar uma política de recursos para o canal, somente o proprietário do canal poderá ligar para o PutAuditEvents API canal.

    1. Para uma integração direta, insira o ID externo fornecido pelo seu parceiro. O parceiro de integração fornece um ID externo exclusivo, como um ID de conta ou uma string gerada aleatoriamente, para usar na integração e evitar o “confused deputy”. O parceiro é responsável por criar e fornecer um ID externo exclusivo.

       É possível escolher How to find this? (Como encontrar isso?) para ver a documentação do parceiro que descreva como encontrar o ID externo.

       

       nota

       Se a política de recursos incluir uma ID externa, todas as chamadas para a PutAuditEvents API deverão incluir a ID externa. No entanto, se a política não definir uma ID externa, o parceiro ainda poderá chamá-la PutAuditEvents API e especificar um externalId parâmetro.

    2. Para uma integração de soluções, escolha Adicionar AWS conta para especificar cada AWS ID da conta a ser adicionada como principal na política.

15. Selecione Next (Próximo) para revisar suas escolhas.

16. Na página Review and create (Revisar e criar), revise as suas escolhas. Escolha Edit (Editar) para fazer alterações a uma seção. Quando estiver pronto para criar o armazenamento de dados de eventos, escolha Create event data store (Criar armazenamento de dados de eventos).

17. O novo armazenamento de dados de eventos está visível na tabela Armazenamentos de dados de eventos na página Armazenamento de dados de eventos.

18. Forneça o canal Amazon Resource Name (ARN) para o aplicativo parceiro. As instruções para fornecer o canal ARN para o aplicativo de parceiro são encontradas no site de documentação do parceiro. Para obter mais informações, escolha o link Saiba mais para o parceiro na guia Fontes disponíveis da página Integrações para abrir a página do parceiro em AWS Marketplace.

O armazenamento de dados de eventos começa a ingerir eventos de parceiros CloudTrail por meio do canal de integração quando você, o parceiro ou os aplicativos parceiros ligam para o PutAuditEvents API canal.