使用主控台為 CloudTrail Insights 事件建立事件資料存放區

AWS CloudTrail 透過持續分析 CloudTrail 管理事件，深入解析可協助 AWS 使用者識別並回應與 API 呼叫和 API 錯誤率相關的異常活動。 CloudTrail 洞察分析您的 API 呼叫量和 API 錯誤率的正常模式（也稱為基準），並在呼叫量或錯誤率超出正常模式時生成 Insights 事件。其會針對 write 管理 API 產生 API 呼叫量的 Insights 事件，並針對 read 和 write 管理 API 產生 API 錯誤率的 Insights 事件。

若要在 CloudTrail Lake 中記錄 Insights 事件，您需要記錄 Insights 事件的目標事件資料存放區，以及啟用見解和記錄管理事件的來源事件資料存放區。

注意

若要在 API 呼叫量上記錄 Insights 事件，來源事件資料存放區必須記錄 write 管理事件。若要在 API 錯誤率上記錄 Insights 事件，來源事件資料存放區必須記錄 read 或 write 管理事件。

如果您在來源事件資料存放區上啟用了 CloudTrail Insights 並 CloudTrail 偵測到異常活動，則會將 Insights 事件 CloudTrail 傳送至目的地事件資料存放區。與 CloudTrail 事件資料存放區中擷取的其他類型事件不同，Insights 事件只有在 CloudTrail 偵測到帳戶 API 使用量與帳戶的典型使用模式明顯不同時，才會記錄 Insights 事件。

在事件資料存放區首次啟用 CloudTrail Insights 之後，如果偵測到異常活動，最多可能需 CloudTrail 要 7 天的時間才能傳遞第一個 Insights 事件。

CloudTrail Insights 會分析單一區域 (而非全球) 中發生的管理事件。In CloudTrail sights 事件會在與產生其支援管理事件的相同區域中產生。

對於組織事件資料存放區，分 CloudTrail 析來自每個成員帳戶的管理事件，而不是分析組織所有管理事件的彙總。

在 CloudTrail 湖泊擷取見解事件需要支付額外費用。如果您同時針對追蹤和 CloudTrail Lake 事件資料存放區啟用深入解析，則需另行付費。如需 CloudTrail 定價的相關資訊，請參閱AWS CloudTrail 定價。

若要建立會記錄 Insights 事件的目的地事件資料存放區

在建立 Insights 事件資料存放區時，您可以選擇一個記錄管理事件的現有來源事件資料存放區，然後指定想要接收的 Insights 類型。或者，您也可以在建立 Insights 事件資料存放區後啟用新的或現有事件資料存放區上的 Insights，然後選擇此事件資料存放區作為目的地事件資料存放區。

此程序將向您說明如何建立記錄 Insights 事件的目的地事件資料存放區。

1. 請登入 AWS Management Console 並開啟 CloudTrail 主控台，網址為 https://console.aws.amazon.com/cloudtrail/。

2. 在導覽窗格中，開啟 Lake 子選單，然後選擇 Event data stores (事件資料存放區)。

3. 選擇 Create event data store (建立事件資料存放區)。

4. 在設定事件資料存放區頁面上的一般詳細資訊中，輸入事件資料存放區的名稱。名稱為必填。

5. 選擇您想用於事件資料存放區的定價選項。此定價選項將決定擷取和儲存事件的成本，以及事件資料存放區的預設和最長保留期。如需詳細資訊，請參閱 AWS CloudTrail 定價和 管理 CloudTrail 湖泊成本。

   以下為可用的選項：

   • 一年可延長保留定價 – 如果您預期每月擷取的事件資料少於 25 TB，並需要長達 10 年的彈性保留期，則建議使用此選項。前 366 天 (預設保留期) 的儲存已包含在擷取定價中，無須額外付費。366 天之後，延長保留將按 pay-as-you-go 價格提供。此為預設選項。

     • 預設保留期：366 天

     • 最長保留期：3,653 天

   • 七年保留定價 – 如果您預期每月擷取的事件資料超過 25 TB，並需要長達 7 年的彈性保留期，則建議使用此選項。保留已包含在擷取定價中，無須額外付費。

     • 預設保留期：2,557 天

     • 最長保留期：2,557 天

6. 指定事件資料存放區的保留期間 (以天為單位)。一年可延長保留定價選項的保留期可介於 7 天到 3,653 天 (約 10 年) 之間；或是七年保留定價選項，則可介於 7 天到 2,557 天 (約七年) 之間。事件資料存放區會在指定的天數內保留事件資料。

7. (選擇性) 若要啟用加密方式 AWS Key Management Service，請選擇 [使用我自己的] AWS KMS key。選擇 [新增] 為您 AWS KMS key 建立，或選擇現有以使用現有的 KMS 金鑰。在輸入 KMS 別名中，以格式指定別名alias/MyAliasName。使用自己的 KMS 金鑰時，您必須編輯 KMS 金鑰原則，以允許加密和解密 CloudTrail記錄。如需詳細資訊，請參閱設定 AWS KMS 金鑰原則 CloudTrail。 CloudTrail 還支持 AWS KMS 多區域鍵。如需多區域金鑰的詳細資訊，請參閱《AWS Key Management Service 開發人員指南》中的使用多區域金鑰。

   使用您自己的 KMS 金鑰會產生加密和解密的 AWS KMS 成本。將事件資料存放區與 KMS 金鑰建立關聯後，就無法移除或變更 KMS 金鑰。

   注意

   若要為組織事件資料存放區啟用 AWS Key Management Service 加密，您必須為管理帳戶使用現有的 KMS 金鑰。

8. (選用) 如果您想使用 Amazon Athena 查詢自己的事件資料，請在 Lake 查詢聯合中選擇啟用。聯合可讓您在 AWS Glue Data Catalog 中檢視與事件資料存放區相關聯的中繼資料，並在 Athena 中對事件資料執行 SQL 查詢。儲存在 AWS Glue 資料目錄中的表格中繼資料可讓 Athena 查詢引擎瞭解如何尋找、讀取和處理您要查詢的資料。如需詳細資訊，請參閱 聯合事件資料存放區。

   若要啟用 Lake 查詢聯合，請選擇啟用，然後執行下列動作：

   1. 選擇要建立新角色還是使用現有的 IAM 角色。AWS Lake Formation 會使用此角色來管理聯合事件資料存放區的許可。當您使用 CloudTrail 主控台建立新角色時， CloudTrail 會自動建立具有所需權限的角色。如果您選擇現有角色，請確認該角色的政策可提供必要的最低許可。

   2. 如果您要建立新角色，請輸入名稱以識別角色。

   3. 如果您要使用現有角色，請選擇想使用的角色。該角色必須存在於您的帳戶中。

9. (選用) 在 Tags (標籤) 區段中，您最多可以新增 50 個標籤金鑰對，以協助您識別、排序和控制對事件資料存放區的存取權限。如需使用 IAM 政策，對以標籤為基礎的事件資料存放區授與存取權限的詳細資訊，請參閱範例：拒絕以標籤為基礎建立或刪除事件資料存放區的存取權限。有關如何在中使用標籤的詳細資訊 AWS，請參閱標記資 AWS 源使用指南中的標記 AWS 資源。

10. 選擇 Next (下一步) 以設定事件資料存放區。

11. 在 [選擇事件] 頁面上，選擇AWS 事件，然後選擇 [CloudTrail見解事件]。

12. 在CloudTrail 深入解析事件中，執行下列動作。

    1. 如果您想要為組織的委派管理員授予存取此事件資料存放區的權限，則選擇允許委派管理員存取權。只有當您使用 AWS Organizations 組織的管理帳戶登入時，才能使用此選項。

    2. (選用) 選擇記錄管理事件的現有來源事件資料存放區，並指定您想要接收的 Insights 類型。

       若要新增來源事件資料存放區，請執行下列動作。

       1. 選擇新增來源事件資料存放區。

       2. 選擇來源事件資料存放區。

       3. 選擇您想要接收的 Insights 類型。

          • ApiCallRateInsight – ApiCallRateInsight Insights 類型會分析針對基準 API 呼叫量彙總的每分鐘唯寫管理 API 呼叫。若要接收 ApiCallRateInsight 上的 Insights，來源事件資料存放區必須記錄寫入管理事件。

          • ApiErrorRateInsight – ApiErrorRateInsight Insights 類型會分析導致錯誤碼的管理 API 呼叫。如果 API 呼叫失敗，則顯示錯誤。若要接收 ApiErrorRateInsight 上的 Insights，來源事件資料存放區必須記錄寫入或讀取管理事件。

       4. 重複前兩個步驟 (ii 和 iii)，以新增任何您想要接收的其他 Insights 類型。

13. 選擇 Next (下一步) 以檢閱您的選項。

14. 在 Review and create (檢閱和建立) 頁面上，檢閱您的選擇。選擇 Edit (編輯) 以對區段進行變更。當您準備建立事件資料存放區時，請選擇 Create event data store (建立事件資料存放區)。

15. 新的事件資料存放區出現在事件資料存放區頁面上的事件資料存放區表格中。

16. 如果您在步驟 10 中未選擇來源事件資料存放區，請依照 若要建立會啟用 Insights 事件的來源事件資料存放區 中的步驟來建立一個來源事件資料存放區。

若要建立會啟用 Insights 事件的來源事件資料存放區

此程序將向您說明如何建立會啟用 Insights 事件並記錄管理事件的來源事件資料存放區。

1. 請登入 AWS Management Console 並開啟 CloudTrail 主控台，網址為 https://console.aws.amazon.com/cloudtrail/。

2. 在導覽窗格中，開啟 Lake 子選單，然後選擇 Event data stores (事件資料存放區)。

3. 選擇 Create event data store (建立事件資料存放區)。

4. 在設定事件資料存放區頁面上的一般詳細資訊中，輸入事件資料存放區的名稱。名稱為必填。

5. 選擇您想用於事件資料存放區的定價選項。此定價選項將決定擷取和儲存事件的成本，以及事件資料存放區的預設和最長保留期。如需詳細資訊，請參閱 AWS CloudTrail 定價和 管理 CloudTrail 湖泊成本。

   以下為可用的選項：

   • 一年可延長保留定價 – 如果您預期每月擷取的事件資料少於 25 TB，並需要長達 10 年的彈性保留期，則建議使用此選項。前 366 天 (預設保留期) 的儲存已包含在擷取定價中，無須額外付費。366 天之後，延長保留將按 pay-as-you-go 價格提供。此為預設選項。

     • 預設保留期：366 天

     • 最長保留期：3,653 天

   • 七年保留定價 – 如果您預期每月擷取的事件資料超過 25 TB，並需要長達 7 年的彈性保留期，則建議使用此選項。保留已包含在擷取定價中，無須額外付費。

     • 預設保留期：2,557 天

     • 最長保留期：2,557 天

6. 指定事件資料存放區的保留期。一年可延長保留定價選項的保留期可介於 7 天到 3,653 天 (約 10 年) 之間；或是七年保留定價選項，則可介於 7 天到 2,557 天 (約七年) 之間。

   CloudTrail Lake 會檢查事件是否在指定eventTime的保留期間內，以決定是否要保留事件。例如，如果您指定 90 天的保留期，則 CloudTrail 會在事件超過 90 天時移除事件。eventTime

7. (選擇性) 若要啟用加密方式 AWS Key Management Service，請選擇 [使用我自己的] AWS KMS key。選擇 [新增] 為您 AWS KMS key 建立，或選擇現有以使用現有的 KMS 金鑰。在輸入 KMS 別名中，以格式指定別名alias/MyAliasName。使用自己的 KMS 金鑰時，您必須編輯 KMS 金鑰原則，以允許加密和解密 CloudTrail記錄。如需詳細資訊，請參閱設定 AWS KMS 金鑰原則 CloudTrail。 CloudTrail 還支持 AWS KMS 多區域鍵。如需多區域金鑰的詳細資訊，請參閱《AWS Key Management Service 開發人員指南》中的使用多區域金鑰。

   使用您自己的 KMS 金鑰會產生加密和解密的 AWS KMS 成本。將事件資料存放區與 KMS 金鑰建立關聯後，就無法移除或變更 KMS 金鑰。

   注意

   若要為組織事件資料存放區啟用 AWS Key Management Service 加密，您必須為管理帳戶使用現有的 KMS 金鑰。

8. (選用) 如果您想使用 Amazon Athena 查詢自己的事件資料，請在 Lake 查詢聯合中選擇啟用。聯合可讓您在 AWS Glue Data Catalog 中檢視與事件資料存放區相關聯的中繼資料，並在 Athena 中對事件資料執行 SQL 查詢。儲存在 AWS Glue 資料目錄中的表格中繼資料可讓 Athena 查詢引擎瞭解如何尋找、讀取和處理您要查詢的資料。如需詳細資訊，請參閱 聯合事件資料存放區。

   若要啟用 Lake 查詢聯合，請選擇啟用，然後執行下列動作：

   1. 選擇要建立新角色還是使用現有的 IAM 角色。AWS Lake Formation 會使用此角色來管理聯合事件資料存放區的許可。當您使用 CloudTrail 主控台建立新角色時， CloudTrail 會自動建立具有所需權限的角色。如果您選擇現有角色，請確認該角色的政策可提供必要的最低許可。

   2. 如果您要建立新角色，請輸入名稱以識別角色。

   3. 如果您要使用現有角色，請選擇想使用的角色。該角色必須存在於您的帳戶中。

9. (選用) 在 Tags (標籤) 區段中，您最多可以新增 50 個標籤金鑰對，以協助您識別、排序和控制對事件資料存放區的存取權限。如需使用 IAM 政策，對以標籤為基礎的事件資料存放區授與存取權限的詳細資訊，請參閱範例：拒絕以標籤為基礎建立或刪除事件資料存放區的存取權限。有關如何在中使用標籤的詳細資訊 AWS，請參閱標記資 AWS 源使用指南中的標記 AWS 資源。

10. 選擇 Next (下一步) 以設定事件資料存放區。

11. 在 [選擇事件] 頁面上，選擇AWS 事件，然後選擇CloudTrail事件。

12. 在CloudTrail 事件中，保持選取「管理」事件。

13. 若要讓事件資料存放區從 AWS Organizations 組織中的所有帳戶收集事件，請選取 Enable for all accounts in my organization (啟用我組織中的所有帳戶)。您必須登入到組織的管理帳戶，才能建立會啟用 Insights 的事件資料存放區。

14. 展開其他設定以選擇是要讓事件資料存放區收集所有事件 AWS 區域，還是僅收集目前事件的事件 AWS 區域，然後選擇事件資料儲存庫是否擷取事件。依預設，您的事件資料存放區會從帳戶的所有區域收集事件，而且會在建立時開始擷取事件。

    1. 如果您希望僅包括目前區域中記錄的事件，請選擇在我的事件資料存放區中僅包含目前區域。如果未選擇此選項，則您的事件資料存放區將包含來自所有區域的事件。

    2. 維持選取擷取事件。

15. 選擇您想要包含在事件資料存放區內的管理事件類型。您可以選擇讀取、寫入，或兩者。至少需要選取一個。

    注意

    若要在 API 呼叫量上記錄 Insights 事件，事件資料存放區必須記錄 write 管理事件。若要在 API 錯誤率上記錄 Insights 事件，事件資料存放區必須記錄 read 或 write 管理事件。

16. 您可以選擇從事件資料存放區中排除 AWS Key Management Service 或從事件資料存放區排除 Amazon RDS 資料 API 事件。如需關於這些選項的詳細資訊，請參閱 記錄管理事件。

17. 選擇啟用 Insights。

18. 在啟用 Insights 中，選擇記錄見 Insights 事件的目的地事件存放區。目的地事件資料存放區將依據此事件資料存放區中的管理事件活動收集 Insights 事件。如需有關如何建立目的地事件資料存放區的資訊，請參閱 若要建立會記錄 Insights 事件的目的地事件資料存放區。

19. 選擇 Insights 類型。您可以選擇 API 呼叫率、API 錯誤率，或兩者。您必須記錄寫入管理事件，以便記錄 API 呼叫率的 Insights 事件。您必須記錄讀取或寫入管理事件，以便記錄 API 錯誤率的 Insights 事件。

20. 選擇 Next (下一步) 以檢閱您的選項。

21. 在 Review and create (檢閱和建立) 頁面上，檢閱您的選擇。選擇 Edit (編輯) 以對區段進行變更。當您準備建立事件資料存放區時，請選擇 Create event data store (建立事件資料存放區)。

22. 新的事件資料存放區出現在事件資料存放區頁面上的事件資料存放區表格中。

    從此開始，事件資料存放區將擷取與其進階事件選取器相符的事件。在來源事件資料存放區首次啟用 CloudTrail Insights 之後，如果偵測到異常活動，最多可能需 CloudTrail 要 7 天的時間，才能將第一個 Insights 事件傳送至目的地事件資料存放區。

    您可以檢視 CloudTrail Lake 儀表板，以視覺化方式呈現目標事件資料存放區中的 Insights 事件。如需有關 Lake 儀表板的詳細資訊，請參閱 檢視 CloudTrail 湖泊儀表板。

在 CloudTrail 湖泊擷取見解事件需要支付額外費用。如果您同時為追蹤和事件資料存放區啟用 Insights，則將分別支付它們的費用。如需 CloudTrail 定價的相關資訊，請參閱AWS CloudTrail 定價。