透過主控台與合作 CloudTrail 夥伴建立整合 - AWS CloudTrail

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

透過主控台與合作 CloudTrail 夥伴建立整合

當您與外部事件來源建立整合時 AWS,您可以選擇其中一個合作夥伴作為您的事件來源。當您在 CloudTrail 與合作夥伴應用程式中建立整合時,合作夥伴需要您在此工作流程中建立的通道的 Amazon 資源名稱 (ARN),以便將事件傳送至其中。 CloudTrail建立整合之後,您可以依照合作夥伴的指示,將所需的通道 ARN 提供給合作夥伴,以完成整合的設定。在合作夥伴撥打PutAuditEvents整合通道 CloudTrail 後,整合便會開始將合作夥伴事件導入。

  1. 請登入 AWS Management Console 並開啟 CloudTrail 主控台,網址為 https://console.aws.amazon.com/cloudtrail/

  2. 在導覽窗格中,選擇 Lake 下方的整合

  3. Add integration (新增整合) 頁面上,輸入通道的名稱。名稱長度範圍是 3-128 個字元。只能使用字母、數字、句號、底線和破折號。

  4. 選擇您要從中取得事件的合作夥伴應用程式來源。如果您要與內部部署或雲端中託管的自有應用程式的事件整合,請選擇 My custom integration (我的自訂整合)。

  5. Event delivery location (事件傳送位置) 中,選擇將相同的活動事件記錄到現有事件資料存放區,或建立新的事件資料存放區。

    如果您選擇建立新的事件資料存放區,請輸入事件資料存放區的名稱,選擇定價選項,並指定保留期間 (以天為單位)。事件資料存放區會在指定的天數內保留事件資料。

    如果您選擇將活動事件記錄到一或多個現有事件資料存放區,請從清單中選擇事件資料存放區。事件資料存放區只能包含活動事件。主控台中的事件類型必須是 Events from integrations (來自整合的事件)。在 API 中,eventCategory 值必須是 ActivityAuditLog

  6. Resource policy (資源政策) 中,為整合的通道設定資源政策。資源政策是 JSON 政策文件,這些文件會指出指定的主體可對資源執行哪些動作以及相關條件。在資源政策中定義為主體的帳戶可以呼叫 PutAuditEvents API,將事件傳送至您的通道。如果資源擁有者的 IAM 政策允許 cloudtrail-data:PutAuditEvents 動作,則資源擁有者對資源具有隱含存取權。

    政策所需的資訊取決於整合類型。若要進行方向整合, CloudTrail 會自動新增合作夥伴的 AWS 帳戶 ID,並要求您輸入合作夥伴提供的唯一外部 ID。對於解決方案整合,您必須至少指定一個 AWS 帳戶 ID 作為主體,並且可以選擇性地輸入外部 ID 以防止混淆的副手。

    注意

    如果您沒有為通道建立資源政策,則只有通道擁有者可以在通道上呼叫 PutAuditEvents API。

    1. 對於直接整合,請輸入合作夥伴提供的外部 ID。整合合作夥伴提供唯一外部 ID,例如帳戶 ID 或隨機產生的字串,以供整合用於預防混淆代理人。合作夥伴負責建立並提供唯一外部 ID。

      您可以選擇 How to find this? (如何尋找此資訊?) 以檢視合作夥伴有關描述如何尋找外部 ID 的文件。

      外部 ID 的合作夥伴文件
      注意

      如果資源政策包含外部 ID,則對 PutAuditEvents API 的所有呼叫都必須包含外部 ID。不過,如果政策未定義外部 ID,合作夥伴仍可呼叫 PutAuditEvents API 並指定 externalId 參數。

    2. 對於解決方案整合,請選擇 [新增 AWS AWS 帳戶] 以指定要新增為策略中主體的帳戶 ID。

  7. (選用) 在 Tags (標籤) 區域中,您最多可以新增 50 個標籤索引鍵和值組,以協助您識別、排序和控制對事件資料存放區及通道的存取權限。如需使用 IAM 政策,對以標籤為基礎的事件資料存放區授與存取權限的詳細資訊,請參閱範例:拒絕以標籤為基礎建立或刪除事件資料存放區的存取權限。如需有關如何在中使用標籤的詳細AWS 資訊 AWS,請參閱 AWS 一般參考.

  8. 當您準備好建立新整合時,請選擇 Add integration (新增整合)。沒有評論頁面。 CloudTrail 建立整合,但您必須向合作夥伴應用程式提供管道 Amazon 資源名稱 (ARN)。如需將通道 ARN 提供給合作夥伴應用程式的說明,請參閱合作夥伴文件網站。如需詳細資訊,請在 Integrations (整合) 頁面的 Available sources (可用來源) 索引標籤中選擇合作夥伴的 Learn more (進一步了解) 連結,以在 AWS Marketplace中開啟合作夥伴的頁面。

若要完成整合的設定,請將通道 ARN 提供給合作夥伴或來源應用程式。視整合類型而定,您、合作夥伴或應用程式會執行 PutAuditEvents API,將活動事件傳送至您 AWS 帳戶的事件資料存放區。傳送活動事件後,您可以使用 CloudTrail Lake 搜尋、查詢和分析應用程式記錄的資料。您的事件資料包含符合 CloudTrail事件裝載的欄位eventVersion,例如eventSource、和userIdentity