本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为 S3 数据事件创建事件数据存储
您可以创建事件数据存储来记录 CloudTrail 事件(管理事件、数据事件)、CloudTrail Insights 事件、AWS Audit Manager 证据、AWS Config 配置项目或非AWS 事件。
在为数据事件创建事件数据存储时,可以选择要记录数据事件的 AWS 服务 和资源类型。有关 AWS 服务 该日志数据事件的信息,请参阅数据事件。
本演练向您展示如何为 Amazon S3 数据事件创建事件数据存储。在本教程中,我们将选择自定义日志选择器模板来仅在从特定 S3 存储桶中删除对象时记录事件,而不记录所有 Amazon S3 数据事件。
为 CloudTrail 数据事件创建事件数据存储
-
登录 AWS Management Console 并打开 CloudTrail 控制台,网址为https://console.aws.amazon.com/cloudtrail/
。 -
在导航窗格中,在 Lake 下,选择事件数据存储。
-
选择 Create event data store(创建事件数据存储)。
-
在 “配置事件数据存储” 页面的 “常规详细信息” 中,为您的事件数据存储命名,例如
s3-data-events-eds
。 最佳做法是,使用能够快速识别事件数据存储用途的名称。有关 CloudTrail 命名要求的信息,请参见 CloudTrail 资源、S3 存储桶和KMS密钥的命名要求。 -
选择您要用于事件数据存储的定价选项。定价选项决定了摄取和存储事件的成本,以及您的事件数据存储的默认和最长保留期。有关更多信息,请参阅 AWS CloudTrail 定价
和 管理 CloudTrail 湖泊成本。 可用选项如下:
-
一年可延期保留定价 - 如果您希望每月摄取的事件数据少于 25TB,并且想要灵活的保留期(最长 10 年),一般建议采用此选项。在前 366 天(默认保留期)内,存储包含在摄取定价中,没有额外收费。366 天后,可以按 pay-as-you-go 定价延长保留期。这是默认选项。
-
默认保留期:366 天
-
最长保留期:3653 天
-
-
七年期保留定价 - 如果您希望每月摄取的事件数据大于 25TB,并且需要最长 7 年的保留期,则建议采用此选项。保留包含在摄取定价中,没有额外费用。
-
默认保留期:2557 天
-
最长保留期:2557 天
-
-
-
指定事件数据存储的保留期。一年可延期保留定价选项的保留期可以介于 7 天到 3653 天(大约 10 年)之间,七年期保留定价选项的保留期可以介于 7 天到 2557 天(约七年)之间。
CloudTrail Lake 通过检查事件是否在
eventTime
指定的保留期内来确定是否保留该事件。例如,如果您将保留期指定为 90 天,eventTime
则 CloudTrail 会删除超过 90 天的事件。 -
(可选)在 “加密” 中。选择是否要使用自己的KMS密钥加密事件数据存储。默认情况下,事件数据存储中的所有事件都 CloudTrail 使用为您 AWS 拥有和管理的KMS密钥进行加密。
要使用您自己的密KMS钥启用加密,请选择使用我自己的密钥 AWS KMS key。选择 “新建” 为您 AWS KMS key 创建密钥,或选择 “现有” 以使用现有KMS密钥。在 “输入KMS别名” 中,指定别名,格式为
alias/
MyAliasName
。 使用自己的KMS密钥需要您编辑KMS密钥策略以允许对 CloudTrail 日志进行加密和解密。有关更多信息,请参阅为以下各项配置 AWS KMS 密钥策略 CloudTrail。 CloudTrail 还支持 AWS KMS 多区域密钥。有关多区域密钥的更多信息,请参阅 AWS Key Management Service 开发人员指南中的使用多区域密钥。使用自己的KMS密钥会产生加密和解密的 AWS KMS 费用。将事件数据存储与KMS密钥关联后,该密KMS钥将无法移除或更改。
注意
要为组织事件数据存储启用 AWS Key Management Service 加密,必须使用管理账户的现有KMS密钥。
-
(可选)如果您想使用 Amazon Athena 对事件数据进行查询,请在 Lake 查询联合身份验证中选择启用。Federation 允许您在数据目录中查看与事件数据存储相关的元 AWS Glue 数据,并对 Athena 中的事件数据运行SQL查询。存储在 AWS Glue 数据目录中的表元数据让 Athena 查询引擎知道如何查找、读取和处理您要查询的数据。有关更多信息,请参阅 联合事件数据存储。
要启用 Lake 查询联合身份验证,请选择启用,然后执行以下操作:
-
选择是要创建新角色还是使用现有IAM角色。 AWS Lake Formation使用此角色管理联合事件数据存储的权限。使用 CloudTrail 控制台创建新角色时, CloudTrail 会自动创建一个具有所需权限的角色。如果您选择现有角色,请确保该角色的策略提供所需的最低权限。
-
如果您在创建新角色,请输入名称来标识该角色。
-
如果您使用现有角色,请选择要使用的角色。角色必须存在于您的账户中。
-
-
(可选)在标签中,将一个或多个自定义标签(键值对)添加到事件数据存储中。标签可以帮助您识别您的 CloudTrail 事件数据存储。例如,您可以附加名称为
stage
、值为prod
的标签。您可以使用标签来限制对事件数据存储的访问。您还可以使用标签来跟踪事件数据存储的查询和摄取成本。有关如何使用标签跟踪成本的信息,请参阅 为 CloudTrail Lake 事件数据存储创建用户定义的成本分配标签。有关如何使用IAM策略根据标签授权对事件数据存储的访问权限的信息,请参阅示例:拒绝基于标签创建或删除事件数据存储的访问权限。有关如何在中使用标签的信息 AWS,请参阅《标记 AWS 资源用户指南》中的为 AWS 资源添加标签。
-
选择 Next(下一步)以配置事件数据存储。
-
在选择事件页面上,保留事件类型的默认选择。
-
对于CloudTrail 事件,请选择数据事件并取消选择管理事件。有关数据事件的更多信息,请参阅 记录数据事件。
-
保留复制跟踪事件的默认设置。您可以使用此选项将现有的跟踪事件复制到事件数据存储。有关更多信息,请参阅 将跟踪事件复制到事件数据存储。
-
如果这是组织事件数据存储,请选择为我组织中的所有账户启用。除非您在 AWS Organizations中配置了账户,否则此选项将不能进行更改。
-
对于其他设置,请保留默认选择。默认情况下,事件数据存储会收集所有人的事件, AWS 区域 并在创建事件时开始摄取事件。
-
对于数据事件,请进行下列选择:
-
在数据事件类型中,选择 S3。数据事件类型用于标识记录数据事件的 AWS 服务 和资源。
-
在日志选择器模板中,选择自定义。选择自定义可定义自定义事件选择器来按
eventName
、resources.ARN
和readOnly
字段进行筛选。有关这些字段的信息,请参阅 “AWS CloudTrail API参考” AdvancedFieldSelector中的。 -
(可选)在选择器名称中,输入用于标识选择器的名称。选择器名称是高级事件选择器的描述性名称,例如 “记录特定 S3 存储桶的 DeleteObject API调用”。选择器名称在高级事件选择器
Name
中列出,如果展开视图,则可以JSON查看。 -
在高级事件选择器中,我们将构建自定义事件选择器来筛选
eventName
和resources.ARN
字段。事件数据存储的高级事件选择器的工作方式与应用于跟踪记录的高级事件选择器相同。有关如何构建高级事件选择器的详细信息,请参阅使用高级事件选择器记录数据事件。-
对于字段,请选择eventName。对于运算符,选择 equals。对于值,请输入
DeleteObject
。选择 + 字段可筛选其他字段。 -
对于字段,选择资源。 ARN。对于 “操作员”,选择StartsWith。在 “值” 中,输入您的存储桶的(例如,arn: aws: s3:: ARN
amzn-s3-demo-bucket
)。 有关如何获取的信息ARN,请参阅《亚马逊简单存储服务用户指南》中的 Amazon S3 资源。
-
-
-
选择 Next(下一步)以查看您的选择。
-
在 Review and create(审核和重建)页面上,审核您的选择。选择 Edit(编辑)以对这节进行更改。当您准备好创建事件数据存储时,选择 Create event data store(创建事件数据存储)。
-
在事件数据存储页面上的事件数据存储表中可以看到新的事件数据存储。
从现在开始,事件数据存储将捕获与其高级事件选择器匹配的事件。除非选择复制现有跟踪事件,否则在创建事件数据存储之前发生的事件不会出现在该事件数据存储中。
现在,您可以对事件数据存储运行查询。有关如何查看和运行示例查询的信息,请参阅 使用 CloudTrail 控制台查看示例查询。
有关 CloudTrail Lake 的更多信息,请参阅与... 合作 AWS CloudTrail 湖。