本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS 使用 主控台為 外部的事件建立事件資料存放區
<a name="event-data-store-integration-events"></a>

**注意**  
AWS CloudTrail Lake 自 2026 年 5 月 31 日起不再向新客戶開放。如果您想要使用 CloudTrail Lake，請在該日期之前註冊。現有客戶可以繼續正常使用該服務。如需詳細資訊，請參閱[CloudTrail Lake 可用性變更](cloudtrail-lake-service-availability-change.md)。

您可以建立事件資料存放區以包含 外部的事件 AWS，然後使用 CloudTrail Lake 搜尋、查詢和分析從應用程式記錄的資料。

您可以使用 CloudTrail Lake *整合*，從 外部記錄和存放使用者活動資料 AWS；從混合環境中的任何來源，例如內部或內部部署託管或在雲端、虛擬機器或容器中託管的 SaaS 應用程式。

當您為整合建立事件資料存放區時，也會建立通道，並將資源政策連接到通道。

CloudTrail Lake 事件資料存放區會產生費用。建立事件資料存放區時，您可以選擇要用於事件資料存放區的[定價選項](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)。此定價選項將決定擷取和儲存事件的成本，以及事件資料存放區的預設和最長保留期。如需有關 CloudTrail 定價和管理 Lake 成本的詳細資訊，請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/) 和 [管理 CloudTrail Lake 成本](cloudtrail-lake-manage-costs.md)。

## 為 外部的事件建立事件資料存放區 AWS
<a name="event-data-store-integration-events-procedure"></a>

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 的 CloudTrail 主控台。

1.  在導覽窗格中，選擇 **Lake** 下方的**事件資料存放區**。

1. 選擇 **Create event data store** (建立事件資料存放區)。

1. 在**設定事件資料存放區**頁面上的**一般詳細資訊**中，輸入事件資料存放區的名稱。名稱為必填。

1. 選擇您想用於事件資料存放區的**定價選項**。此定價選項將決定擷取和儲存事件的成本，以及事件資料存放區的預設和最長保留期。如需詳細資訊，請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)和 [管理 CloudTrail Lake 成本](cloudtrail-lake-manage-costs.md)。

   以下為可用的選項：
   + **一年可延長保留定價** – 如果您預期每月擷取的事件資料少於 25 TB，並需要長達 10 年的彈性保留期，則建議使用此選項。前 366 天 (預設保留期) 的儲存已包含在擷取定價中，無須額外付費。在 366 天之後，延長保留將依用量計費定價。此為預設選項。
     + **預設保留期：**366 天
     + **最長保留期：**3,653 天
   + **七年保留定價** – 如果您預期每月擷取的事件資料超過 25 TB，並需要長達 7 年的彈性保留期，則建議使用此選項。保留已包含在擷取定價中，無須額外付費。
     + **預設保留期：**2,557 天
     + **最長保留期：**2,557 天

1. 指定事件資料存放區的保留期。**一年可延長保留定價**選項的保留期可介於 7 天到 3,653 天 (約 10 年) 之間；或是**七年保留定價**選項，則可介於 7 天到 2,557 天 (約七年) 之間。

    CloudTrail Lake 會透過檢查事件的 `eventTime` 是否在指定保留期以內，決定是否要保留該事件。例如，如果您指定的保留期為 90 天，CloudTrail 將移除 `eventTime` 早於 90 天的事件。

1. （選用） 若要使用 啟用加密 AWS Key Management Service，請選擇**使用我自己的 AWS KMS key**。選擇**新增**以為您 AWS KMS key 建立 ，或選擇**現有**以使用現有的 KMS 金鑰。在 **Enter KMS alias** (輸入 KMS 別名) 中，指定別名，格式為 `alias/`*MyAliasName*。使用您自己的 KMS 金鑰需要您編輯 KMS 金鑰政策，以允許加密和解密您的事件資料存放區。如需詳細資訊，請參閱[設定 CloudTrail 的 AWS KMS 金鑰政策](create-kms-key-policy-for-cloudtrail.md)。CloudTrail 也支援 AWS KMS 多區域金鑰。如需多區域金鑰的詳細資訊，請參閱《AWS Key Management Service 開發人員指南》**中的[使用多區域金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)。

   使用您自己的 KMS 金鑰會產生加密和解密 AWS KMS 的成本。將事件資料存放區與 KMS 金鑰建立關聯後，就無法移除或變更 KMS 金鑰。
**注意**  
若要啟用組織事件資料存放區的 AWS Key Management Service 加密，您必須使用管理帳戶的現有 KMS 金鑰。

1. (選用) 如果您想使用 Amazon Athena 查詢自己的事件資料，請在 **Lake 查詢聯合**中選擇**啟用**。聯合可讓您在 AWS Glue [Data Catalog](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) 中檢視與事件資料存放區相關聯的中繼資料，並在 Athena 中對事件資料執行 SQL 查詢。儲存在 AWS Glue Data Catalog 中的資料表中繼資料可讓 Athena 查詢引擎了解如何尋找、讀取和處理您要查詢的資料。如需詳細資訊，請參閱[聯合事件資料存放區](query-federation.md)。

   若要啟用 Lake 查詢聯合，請選擇**啟用**，然後執行下列動作：

   1. 選擇要建立新角色還是使用現有的 IAM 角色。[AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) 會使用此角色來管理聯合事件資料存放區的許可。當您使用 CloudTrail 主控台建立新角色時，CloudTrail 會自動建立具有必要許可的角色。如果您選擇現有角色，請確認該角色的政策可提供[必要的最低許可](query-federation.md#query-federation-permissions-role)。

   1. 如果您要建立新角色，請輸入名稱以識別角色。

   1. 如果您要使用現有角色，請選擇想使用的角色。該角色必須存在於您的帳戶中。

1. （選用） 選擇**啟用資源政策**，將資源型政策新增至您的事件資料存放區。資源型政策可讓您控制哪些主體可對您的事件存放區執行動作。例如，您可以新增資源型政策，允許其他帳戶中的根使用者查詢此事件資料存放區並檢視查詢結果。如需範例政策，請參閱 [事件資料存放區的資源型政策範例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)。

   以資源為基礎的政策包含一或多個陳述式。政策中的每個陳述式都會定義允許或拒絕存取事件資料存放區的[委託人](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)，以及委託人可以在事件資料存放區資源上執行的動作。

   事件資料存放區的資源型政策支援下列動作：
   +  `cloudtrail:StartQuery` 
   +  `cloudtrail:CancelQuery` 
   +  `cloudtrail:ListQueries` 
   +  `cloudtrail:DescribeQuery` 
   +  `cloudtrail:GetQueryResults` 
   +  `cloudtrail:GenerateQuery` 
   +  `cloudtrail:GenerateQueryResultsSummary` 
   +  `cloudtrail:GetEventDataStore` 

   對於[組織事件資料存放區](cloudtrail-lake-organizations.md)，CloudTrail 會建立[預設資源型政策](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)，列出允許委派管理員帳戶在組織事件資料存放區上執行的動作。此政策中的許可衍生自 中的委派管理員許可 AWS Organizations。此政策會在組織事件資料存放區或組織變更後自動更新 （例如，CloudTrail 委派管理員帳戶已註冊或移除）。

1. (選用) 在 **Tags** (標籤) 區段中，您最多可以新增 50 個標籤金鑰對，以協助您識別、排序和控制對事件資料存放區的存取權限。如需使用 IAM 政策，對以標籤為基礎的事件資料存放區授與存取權限的詳細資訊，請參閱[範例：拒絕以標籤為基礎建立或刪除事件資料存放區的存取權限](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags)。如需如何在 中使用標籤的詳細資訊 AWS，請參閱[《標記 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*使用者指南》中的標記 AWS 資源*。

1.  選擇 **Next** (下一步) 以設定事件資料存放區。

1.  在 **Choose events** (選擇事件) 頁面上，選擇 **Events from integrations** (來自整合的事件)。

1.  從 **Events from integration** (來自整合的事件) 中，選擇要將事件傳送至事件資料存放區的來源。

1. 提供名稱以識別整合的通道。名稱長度範圍是 3-128 個字元。只能使用字母、數字、句號、底線和破折號。

1. 在 **Resource policy** (資源政策) 中，為整合的通道設定資源政策。資源政策是 JSON 政策文件，這些文件會指出指定的主體可對資源執行哪些動作以及相關條件。在資源政策中定義為主體的帳戶可以呼叫 `PutAuditEvents` API，將事件傳送至您的通道。如果資源擁有者的 IAM 政策允許 `cloudtrail-data:PutAuditEvents` 動作，則資源擁有者對資源具有隱含存取權。

   政策所需的資訊取決於整合類型。對於方向整合，CloudTrail 會自動新增合作夥伴 AWS 的帳戶 IDs，並要求您輸入合作夥伴提供的唯一外部 ID。對於解決方案整合，您必須指定至少一個 AWS 帳戶 ID 作為委託人，並且可以選擇輸入外部 ID 以防止混淆代理人。
**注意**  
如果您沒有為通道建立資源政策，則只有通道擁有者可以在通道上呼叫 `PutAuditEvents` API。

   1. 對於直接整合，請輸入合作夥伴提供的外部 ID。整合合作夥伴提供唯一外部 ID，例如帳戶 ID 或隨機產生的字串，以供整合用於預防混淆代理人。合作夥伴負責建立並提供唯一外部 ID。

       您可以選擇 **How to find this?** (如何尋找此資訊？) 以檢視合作夥伴有關描述如何尋找外部 ID 的文件。  
![\[外部 ID 的合作夥伴文件\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/integration-external-id.png)
**注意**  
如果資源政策包含外部 ID，則對 `PutAuditEvents` API 的所有呼叫都必須包含外部 ID。不過，如果政策未定義外部 ID，合作夥伴仍可呼叫 `PutAuditEvents` API 並指定 `externalId` 參數。

   1.  針對解決方案整合，選擇**新增 AWS 帳戶**以指定要新增為政策中主體的每個 AWS 帳戶 ID。

1. 選擇 **Next** (下一步) 以檢閱您的選項。

1. 在 **Review and create** (檢閱和建立) 頁面上，檢閱您的選擇。選擇 **Edit** (編輯) 以對區段進行變更。當您準備建立事件資料存放區時，請選擇 **Create event data store** (建立事件資料存放區)。

1. 新的事件資料存放區出現在**事件資料存放區**頁面上的**事件資料存放區**表格中。

1. 提供通道 Amazon Resource Name (ARN) 給合作夥伴應用程式。如需將通道 ARN 提供給合作夥伴應用程式的說明，請參閱合作夥伴文件網站。如需詳細資訊，請在 **Integrations** (整合) 頁面的 **Available sources** (可用來源) 索引標籤中選擇合作夥伴的 **Learn more** (進一步了解) 連結，以在 AWS Marketplace中開啟合作夥伴的頁面。

當您、合作夥伴或合作夥伴應用程式在通道上呼叫 `PutAuditEvents` API 時，事件資料存放區就會開始透過整合的通道將合作夥伴事件擷取到 CloudTrail 中。