本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用控制台为外部的事件创建事件数据存储 AWS
**注意**
AWS CloudTrail 从 2026 年 5 月 31 日起,Lake 将不再向新客户开放。如果您想使用 CloudTrail Lake,请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [CloudTrail 湖泊可用性变更](cloudtrail-lake-service-availability-change.md)。
您可以创建事件数据存储以包含外部的事件 AWS,然后使用 CloudTrail Lake 搜索、查询和分析应用程序中记录的数据。
您可以使用 La CloudTrail ke *集成*来记录和存储来自外部的用户活动数据 AWS;这些数据来自混合环境中的任何来源,例如本地或云端托管的内部或 SaaS 应用程序、虚拟机或容器。
在为集成创建事件数据存储时,您还会创建一个通道,并将资源策略附加到该通道。
CloudTrail 湖泊事件数据存储会产生费用。创建事件数据存储时,您可以选择要用于事件数据存储的[定价选项](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)。定价选项决定了摄取和存储事件的成本,以及事件数据存储的默认和最长保留期。有关 CloudTrail 定价和管理 Lake 成本的信息,请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)和[管理 CloudTrail 湖泊成本](cloudtrail-lake-manage-costs.md)。
## 为之外的事件创建事件数据存储 AWS
1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台,网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。
1. 在导航窗格中,在 **Lake** 下,选择**事件数据存储**。
1. 选择**创建事件数据存储**。
1. 在 **Configure event data store**(配置事件数据存储)页面上的 **General details**(一般细节)中,输入事件数据存储的名称。名字是必填的。
1. 选择您要用于事件数据存储的**定价选项**。定价选项决定了摄取和存储事件的成本,以及您的事件数据存储的默认和最长保留期。有关更多信息,请参阅 [AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/) 和[管理 CloudTrail 湖泊成本](cloudtrail-lake-manage-costs.md)。
可用选项如下:
+ **一年可延期保留定价**:如果您希望每月摄取的事件数据少于 25TB,并且想要灵活的保留期(最长 10 年),一般建议采用此选项。在前 366 天(默认保留期)内,存储包含在摄取定价中,没有额外收费。366 天后,可以按 pay-as-you-go定价延长保留期。这是默认选项。
+ **默认保留期:**366 天
+ **最长保留期:**3653 天
+ **七年期保留定价**:如果您希望每月摄取的事件数据大于 25TB,并且需要最长 7 年的保留期,则建议采用此选项。保留包含在摄取定价中,没有额外费用。
+ **默认保留期:**2557 天
+ **最长保留期:**2557 天
1. 指定事件数据存储的保留期。**一年可延期保留定价**选项的保留期可以介于 7 天到 3653 天(大约 10 年)之间,**七年期保留定价**选项的保留期可以介于 7 天到 2557 天(约七年)之间。
CloudTrail Lake 通过检查事件是否在`eventTime`指定的保留期内来确定是否保留该事件。例如,如果您将保留期指定为 90 天,`eventTime`则 CloudTrail 会删除超过 90 天的事件。
1. (可选)要使用启用加密 AWS Key Management Service,请选择**使用我自己的**加密 AWS KMS key。选择 “**新**建” 为您 AWS KMS key 创建,或选择 “**现有” 以使用现**有 KMS 密钥。在**输入 KMS 别**名中,按格式指定别名`alias/`*MyAliasName*。使用您自己的 KMS 密钥需要编辑您的 KMS 密钥策略,以允许加密和解密您的事件数据存储。有关更多信息,请参阅[为以下各项配置 AWS KMS 密钥策略 CloudTrail](create-kms-key-policy-for-cloudtrail.md)。 CloudTrail 还支持 AWS KMS 多区域密钥。有关多区域密钥的更多信息,请参阅 *AWS Key Management Service 开发人员指南*中的[使用多区域密钥](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)。
使用自己的 KMS 密钥会产生加密和解密 AWS KMS 费用。在将事件数据存储与 KMS 密钥关联后,将无法移除或更改 KMS 密钥。
**注意**
要为组织事件数据存储启用 AWS Key Management Service 加密,必须使用管理账户的现有 KMS 密钥。
1. (可选)如果您想使用 Amazon Athena 对事件数据进行查询,请在 **Lake 查询联合身份验证**中选择**启用**。通过联合身份验证,您可以在 AWS Glue [数据目录](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)中查看与事件数据存储相关的元数据,并在 Athena 中对事件数据运行 SQL 查询。存储在 AWS Glue 数据目录中的表元数据让 Athena 查询引擎知道如何查找、读取和处理您要查询的数据。有关更多信息,请参阅 [联合事件数据存储](query-federation.md)。
要启用 Lake 查询联合身份验证,请选择**启用**,然后执行以下操作:
1. 选择是要创建新角色还是使用现有 IAM 角色。[AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) 使用此角色管理联合事件数据存储的权限。使用 CloudTrail 控制台创建新角色时, CloudTrail 会自动创建一个具有所需权限的角色。如果您选择现有角色,请确保该角色的策略提供[所需的最低权限](query-federation.md#query-federation-permissions-role)。
1. 如果您在创建新角色,请输入名称来标识该角色。
1. 如果您使用现有角色,请选择要使用的角色。该角色必须存在于您的 账户中。
1. (可选)选择**启用资源策略**以向您的事件数据存储添加基于资源的策略。基于资源的策略可让您控制哪些主体可以对您的事件数据存储执行操作。例如,您可以添加基于资源的策略,允许其他账户中的根用户查询此事件数据存储并查看查询结果。有关示例策略,请参阅 [事件数据存储的基于资源的策略示例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)。
基于资源的策略包括一个或多个语句。策略中的每条语句都定义了支持或拒绝访问事件数据存储的[主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)以及主体可以对事件数据存储资源执行的操作。
事件数据存储的基于资源的策略支持以下操作:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
对于[组织事件数据存储](cloudtrail-lake-organizations.md), CloudTrail 创建[基于资源的默认策略,该策略](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)列出了允许委派管理员帐户对组织事件数据存储执行的操作。此策略中的权限来自 AWS Organizations中的委派管理员权限。在组织事件数据存储或组织发生更改后(例如,注册或删除了 CloudTrail 委托管理员帐户),此策略会自动更新。
1. (可选)在 **Tags**(标签)部分中,您最多可以添加 50 个标签键对,以帮助您对事件数据存储的访问进行识别、排序和控制。要详细了解如何使用 IAM 策略以根据标签授权对事件数据存储的访问,请参阅[示例:拒绝基于标签创建或删除事件数据存储的访问权限](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags)。有关如何在中使用标签的更多信息 AWS,请参阅《[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*用户指南》中的为 AWS 资源添加标签*。
1. 选择**下一步**以配置事件数据存储。
1. 在 **Choose events**(选择事件)页面上,选择 **Events from integrations**(来自集成的事件)。
1. 在 **Events from integration**(来自集成的事件)中,选择来源以将事件传送到事件数据存储。
1. 提供一个名称,用于标识集成的通道。该名称可以包含 3-128 个字符。只允许使用字母、数字、句点、下划线和短划线。
1. 在 **Resource policy**(资源策略)中,为集成的通道配置资源策略。资源策略是 JSON 策略文档,它们指定了指定主体可在资源上执行的操作,以及在什么条件下执行操作。在资源策略中定义为主体的账户可以调用 `PutAuditEvents` API,以向您的通道传送事件。如果资源所有者的 IAM policy 允许 `cloudtrail-data:PutAuditEvents` 操作,则资源所有者将拥有对资源的隐式访问权限。
该策略所需的信息由集成类型决定。对于方向集成, CloudTrail 会自动添加合作伙伴的 AWS 账户 IDs,并要求您输入合作伙伴提供的唯一外部 ID。对于解决方案集成,您必须将至少一个 AWS 账户 ID 指定为委托人,并且可以选择输入外部 ID 以防止副手感到困惑。
**注意**
如果您没有为通道创建资源策略,则只有通道所有者可以针对该通道调用 `PutAuditEvents` API。
1. 对于直接集成,请输入您的合作伙伴提供的外部 ID。集成合作伙伴将提供唯一的外部 ID(如账户 ID 或随机生成的字符串)用于集成,以防范混淆代理。合作伙伴负责创建和提供唯一的外部 ID。
您可以选择 **How to find this?**(如何查找?),以查看描述如何查找外部 ID 的合作伙伴文档。
![\[外部 ID 的合作伙伴文档\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/integration-external-id.png)
**注意**
如果资源策略包括外部 ID,则针对 `PutAuditEvents` API 的所有调用都必须包括该外部 ID。但是,如果策略未定义外部 ID,合作伙伴仍然可以调用 `PutAuditEvents` API,并指定 `externalId` 参数。
1. 对于解决方案集成,请选择**添加 AWS 账户**以指定要作为委托人添加到策略中的每个 AWS 账户 ID。
1. 选择**下一步**以查看您的选择。
1. 在**查看并创建**页面上,审核您的选择。选择**编辑**以对这节进行更改。当您准备好创建事件数据存储时,选择**创建事件数据存储**。
1. 在**事件数据存储**页面上的**事件数据存储**表中可以看到新的事件数据存储。
1. 向合作伙伴应用程序提供通道 Amazon 资源名称(ARN)。有关向合作伙伴应用程序提供通道 ARN 的说明,可在合作伙伴文档网站上找到。有关更多信息,请在 **Integrations**(集成)页面的 **Available sources**(可用来源)选项卡上,选择与合作伙伴相对应的 **Learn more**(了解更多)链接,以便在 AWS Marketplace中打开合作伙伴的页面。
当您、合作伙伴或合作伙伴应用程序在渠道上调用 `PutAuditEvents` API 时,事件数据存储会开始 CloudTrail 通过集成的渠道将合作伙伴事件提取到该渠道中。