本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 管理事件資料存放區 AWS CLI
本節說明您可以執行的數個其他命令,以取得事件資料存放區的相關資訊、啟動和停止事件資料存放區的擷取,以及啟用和停用事件資料存放區的[聯合](query-federation.md)。
**Topics**
+ [使用 取得事件資料存放區 AWS CLI](#lake-cli-get-eds)
+ [使用 列出帳戶中的所有事件資料存放區 AWS CLI](#lake-cli-list-eds)
+ [新增資源標籤索引鍵和 IAM 全域條件索引鍵,並擴展事件大小](#lake-cli-put-event-configuration)
+ [取得事件資料存放區的事件組態](#lake-cli-get-event-configuration)
+ [使用 取得事件資料存放區的資源型政策 AWS CLI](#lake-cli-get-resource-policy)
+ [使用 將資源型政策連接至事件資料存放區 AWS CLI](#lake-cli-put-resource-policy)
+ [使用 刪除連接至事件資料存放區的資源型政策 AWS CLI](#lake-cli-delete-resource-policy)
+ [使用 在事件資料存放區上停止擷取 AWS CLI](#lake-cli-stop-ingestion-eds)
+ [使用 在事件資料存放區上開始擷取 AWS CLI](#lake-cli-start-ingestion-eds)
+ [在事件資料存放區上啟用聯合](#lake-cli-enable-federation-eds)
+ [在事件資料存放區上停用聯合](#lake-cli-disable-federation-eds)
+ [使用 還原事件資料存放區 AWS CLI](#lake-cli-restore-eds)
## 使用 取得事件資料存放區 AWS CLI
下列範例 AWS CLI **get-event-data-store**命令會傳回必要`--event-data-store`參數所指定之事件資料存放區的相關資訊,該參數接受 ARN 或 ARN 的 ID 尾碼。
```
aws cloudtrail get-event-data-store \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
以下是回應範例。建立時間和上次更新時間的格式為 `timestamp`。
```
{
"EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
"Name": "s3-data-events-eds",
"Status": "ENABLED",
"AdvancedEventSelectors": [
{
"Name": "Log DeleteObject API calls for a specific S3 bucket",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Data"
]
},
{
"Field": "eventName",
"Equals": [
"DeleteObject"
]
},
{
"Field": "resources.ARN",
"StartsWith": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Field": "readOnly",
"Equals": [
"false"
]
},
{
"Field": "resources.type",
"Equals": [
"AWS::S3::Object"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "FIXED_RETENTION_PRICING",
"RetentionPeriod": 2557,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-09T22:20:36.344000+00:00",
"UpdatedTimestamp": "2023-11-09T22:20:36.476000+00:00"
}
```
## 使用 列出帳戶中的所有事件資料存放區 AWS CLI
下列範例 AWS CLI **list-event-data-stores**命令會傳回目前區域中帳戶中所有事件資料存放區的相關資訊。選用參數包括`--max-results`,藉以指定想要命令在單一頁面上傳回的最大結果數。如果結果多於您指定的 `--max-results` 值,請再次執行命令,新增傳回的 `NextToken` 值以取得下一頁的結果。
```
aws cloudtrail list-event-data-stores
```
以下是回應範例。
```
{
"EventDataStores": [
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE7-cad6-4357-a84b-318f9868e969",
"Name": "management-events-eds"
},
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-88e1-43b7-b066-9c046b4fd47a",
"Name": "config-items-eds"
},
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEf-b314-4c85-964e-3e43b1e8c3b4",
"Name": "s3-data-events"
}
]
}
```
## 新增資源標籤索引鍵和 IAM 全域條件索引鍵,並擴展事件大小
執行 AWS CLI `put-event-configuration`命令來擴展事件大小上限,並新增最多 50 個資源標籤金鑰和 50 個 IAM 全域條件金鑰,以提供事件的其他中繼資料。
`put-event-configuration` 命令接受下列引數:
+ `--event-data-store` – 指定事件資料存放區的 ARN 或 ARN 的 ID 尾碼。此為必要參數。
+ `--max-event-size` – 設定為 `Large` ,將事件大小上限設定為 1 MB。根據預設,值為 `Standard`,指定事件大小上限為 256 KB。
**注意**
若要新增資源標籤金鑰或 IAM 全域條件金鑰,您必須將事件大小設定為 `Large`,以確保所有新增的金鑰都包含在事件中。
+ `--context-key-selectors` – 指定您想要包含在事件資料存放區所收集事件中的金鑰類型。您可以包含資源標籤索引鍵和 IAM 全域條件索引鍵。新增資源標籤和 IAM 全域條件索引鍵的相關資訊會顯示在事件的 `eventContext` 欄位中。如需詳細資訊,請參閱[透過新增資源標籤索引鍵和 IAM 全域條件索引鍵來豐富 CloudTrail 事件](cloudtrail-context-events.md)。
+ `Type` 將 設定為 `TagContext`,以傳入最多 50 個資源標籤金鑰的陣列。如果您新增資源標籤,CloudTrail 事件將包含與 API 呼叫中所涉及資源相關聯的所選標籤索引鍵。與已刪除資源相關的 API 事件將不會有資源標籤。
+ 將 `Type`設定為 `RequestContext`,以傳入最多 50 個 IAM 全域條件金鑰的陣列。如果您新增 IAM 全域條件金鑰,CloudTrail 事件將包含授權程序期間評估之所選條件金鑰的相關資訊,包括主體、工作階段、網路和請求本身的其他詳細資訊。
下列範例會將事件大小上限設定為 ,`Large`並新增兩個資源標籤索引鍵 `myTagKey1`和 `myTagKey2`。
```
aws cloudtrail put-event-configuration \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \
--max-event-size Large \
--context-key-selectors '[{"Type":"TagContext", "Equals":["myTagKey1","myTagKey2"]}]'
```
下一個範例會將事件大小上限設定為 ,`Large`並新增 IAM; 全域條件金鑰 (`aws:MultiFactorAuthAge`)。
```
aws cloudtrail put-event-configuration \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \
--max-event-size Large \
--context-key-selectors '[{"Type":"RequestContext", "Equals":["aws:MultiFactorAuthAge"]}]'
```
最後一個範例會移除所有資源標籤金鑰和 IAM 全域條件金鑰,並將事件大小上限設定為 `Standard`。
```
aws cloudtrail put-event-configuration \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \
--max-event-size Standard \
--context-key-selectors
```
## 取得事件資料存放區的事件組態
執行 AWS CLI `get-event-configuration`命令,以傳回收集 CloudTrail 事件之事件資料存放區的事件組態。此命令會傳回事件大小上限,並列出包含在 CloudTrail 事件中的資源標籤金鑰和 IAM 全域條件金鑰 (如果有的話)。
```
aws cloudtrail get-event-configuration \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
## 使用 取得事件資料存放區的資源型政策 AWS CLI
下列範例會在組織事件資料存放區上執行 `get-resource-policy`命令。
```
aws cloudtrail get-resource-policy --resource-arn arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207
```
由於命令是在組織事件資料存放區上執行,輸出將顯示提供的資源型政策和為委派管理員帳戶[`DelegatedAdminResourcePolicy`](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)產生的 。
## 使用 將資源型政策連接至事件資料存放區 AWS CLI
若要在手動或排程重新整理期間對儀表板執行查詢,您需要將資源型政策連接至與儀表板上小工具相關聯的每個事件資料存放區。這可讓 CloudTrail Lake 代表您執行查詢。如需資源型政策的詳細資訊,請參閱 [範例:允許 CloudTrail 執行查詢以重新整理儀表板](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds-dashboard)。
下列範例會將資源型政策連接至事件資料存放區,允許 CloudTrail 在儀表板重新整理時對儀表板執行查詢。政策是在單獨的檔案 *policy.json* 中建立的,具有下列範例政策陳述式:
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17", "Statement": [{ "Sid": "EDSPolicy", "Effect":
"Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Resource":
"arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/event_data_store_ID",
"Action": "cloudtrail:StartQuery", "Condition": { "StringEquals": { "AWS:SourceArn":
"arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
"AWS:SourceAccount": "123456789012" } } } ] }
```
------
將 *123456789012* 取代為您的帳戶 ID,將 *arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/event\$1data\$1store\$1ID* 取代為 CloudTrail 將執行查詢的事件資料存放區的 ARN,並將 *arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE* 取代為儀表板的 ARN。
```
aws cloudtrail put-resource-policy \
--resource-arn eds-arn \
--resource-policy file://policy.json
```
以下是回應範例。
```
{ "ResourceArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "ResourcePolicy": "policy-statement" }
```
如需其他政策範例,請參閱 [事件資料存放區的資源型政策範例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)。
## 使用 刪除連接至事件資料存放區的資源型政策 AWS CLI
下列範例會刪除連接至事件資料存放區的資源型政策。將 *eds-arn* 取代為事件資料存放區的 ARN。
```
aws cloudtrail delete-resource-policy --resource-arn eds-arn
```
此命令如果成功就不會產生輸出。
## 使用 在事件資料存放區上停止擷取 AWS CLI
下列範例 AWS CLI **stop-event-data-store-ingestion**命令會停止事件資料存放區擷取事件。若要停止擷取,事件資料存放區 `Status` 必須為 `ENABLED`,且 `eventCategory` 必須是 `Management`、`Data` 或 `ConfigurationItem`。由 `--event-data-store` 指定的事件資料存放區,它接受事件資料存放區 ARN 或 ARN 的 ID 尾碼。執行 **stop-event-data-store-ingestion** 後,事件資料存放區的狀態變更為 `STOPPED_INGESTION`。
事件資料存放區處於 `STOPPED_INGESTION` 狀態時,最多十個事件資料存放區會計入您的帳戶。
```
aws cloudtrail stop-event-data-store-ingestion \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
如果操作成功,則不會有回應。
## 使用 在事件資料存放區上開始擷取 AWS CLI
下列範例 AWS CLI **start-event-data-store-ingestion**命令會在事件資料存放區上開始事件擷取。若要開始擷取,事件資料存放區 `Status` 必須為 `STOPPED_INGESTION`,且 `eventCategory` 必須是 `Management`、`Data` 或 `ConfigurationItem`。由 `--event-data-store` 指定的事件資料存放區,它接受事件資料存放區 ARN 或 ARN 的 ID 尾碼。執行 **start-event-data-store-ingestion** 後,事件資料存放區的狀態變更為 `ENABLED`。
```
aws cloudtrail start-event-data-store-ingestion --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
如果操作成功,則不會有回應。
## 在事件資料存放區上啟用聯合
若要啟用聯合,請執行 **aws cloudtrail enable-federation** 命令,並提供必要的 `--event-data-store` 和 `--role` 參數。針對 `--event-data-store`,提供事件資料存放區 ARN (或 ARN 的 ID 尾碼)。針對 `--role`,提供您的聯合角色 ARN。該角色必須存在於您的帳戶中,並提供[所需的最低許可](query-federation.md#query-federation-permissions-role)。
```
aws cloudtrail enable-federation \
--event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
--role arn:aws:iam::account-id:role/federation-role-name
```
此範例展示委派管理員如何在管理帳戶中指定事件資料存放區的 ARN,以及在委派管理員帳戶中指定聯合角色的 ARN,進而在組織事件資料存放區上啟用聯合。
```
aws cloudtrail enable-federation \
--event-data-store arn:aws:cloudtrail:region:management-account-id:eventdatastore/eds-id
--role arn:aws:iam::delegated-administrator-account-id:role/federation-role-name
```
## 在事件資料存放區上停用聯合
若要在事件資料存放區上停用聯合,請執行 **aws cloudtrail disable-federation** 命令。由 `--event-data-store` 指定的事件資料存放區,它接受事件資料存放區 ARN 或 ARN 的 ID 尾碼。
```
aws cloudtrail disable-federation \
--event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
```
**注意**
如果這是組織事件資料存放區,請使用管理帳戶的帳戶 ID。
## 使用 還原事件資料存放區 AWS CLI
下列範例 AWS CLI **restore-event-data-store** 命令會還原待刪除的事件資料存放區。由 `--event-data-store` 指定的事件資料存放區,它接受事件資料存放區 ARN 或 ARN 的 ID 尾碼。您只能在刪除後的七天等待期間內還原已刪除的事件資料存放區。
```
aws cloudtrail restore-event-data-store \
--event-data-store EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
回應包括有關事件資料存放區的資訊,包括其 ARN、進階事件選取器和還原狀態。