本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用主控台更新事件資料存放區 **注意** AWS CloudTrail Lake 自 2026 年 5 月 31 日起不再向新客戶開放。如果您想要使用 CloudTrail Lake,請在該日期之前註冊。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[CloudTrail Lake 可用性變更](cloudtrail-lake-service-availability-change.md)。 本節說明如何使用 AWS 管理主控台更新事件資料存放區的設定。如需如何使用 更新事件資料存放區的資訊 AWS CLI,請參閱 [使用 更新事件資料存放區 AWS CLI](lake-cli-update-eds.md)。 **更新事件資料存放區** 1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 的 CloudTrail 主控台。 1. 在導覽窗格中,選擇 **Lake** 下方的**事件資料存放區**。 1. 選擇您要更新的事件資料存放區。此動作會開啟事件資料存放區的詳細資訊頁面。 1. 在**一般詳細資訊**中,選擇**編輯**以變更下列設定: + **事件資料存放區名稱** – 變更可識別事件資料存放區的名稱。 + **[定價選項](cloudtrail-lake-concepts.md#eds-pricing-tier)** – 對於使用**七年保留定價**選項的事件資料存放區,您可以改為選擇使用**一年可延長保留定價**。如果事件資料存放區每月擷取的事件資料少於 25 TB,建議您使用一年可延長保留定價。如果您需要長達 10 年的彈性保留期,同樣建議您使用一年可延長保留定價。如需詳細資訊,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)和 [管理 CloudTrail Lake 成本](cloudtrail-lake-manage-costs.md)。 **注意** 對於使用**一年可延長保留定價**的事件資料存放區,您無法變更其定價選項。如果您要使用**七年保留定價**,請在事件資料存放區上[停止擷取](query-eds-stop-ingestion.md)。然後,使用**七年保留定價**選項建立新的事件資料存放區。 + **保留期** – 變更事件資料存放區的保留期。保留期將決定事件資料保留在事件資料存放區中的時間長度。**一年可延長保留定價**選項的保留期可介於 7 天到 3,653 天 (約 10 年) 之間;或是**七年保留定價**選項,則可介於 7 天到 2,557 天 (約七年) 之間。 **注意** 如果您縮短事件資料存放區的保留期,CloudTrail 將移除 `eventTime` 早於新保留期的任何事件。例如,如果先前的保留期為 365 天,而您將其縮短到 100 天,則 CloudTrail 會移除 `eventTime` 早於 100 天的事件。 + **加密** – 若要使用您自己的 KMS 金鑰來加密事件資料存放區,請選擇**使用我自己的 AWS KMS key**。依預設,CloudTrail 會加密事件資料存放區中的所有事件。使用您自己的 KMS 金鑰會產生加密和解密 AWS KMS 的成本。 **注意** 將事件資料存放區與 KMS 金鑰建立關聯後,您便無法移除或變更 KMS 金鑰。 + 若只要包含目前 AWS 區域中記錄的事件,請選擇**在我的事件資料存放區中僅包含目前區域**。如果您未選擇此選項,則事件資料存放區將包含來自所有區域的事件。 + 若要讓您的事件資料存放區從 AWS Organizations 組織中的所有帳戶收集事件,請**為組織中的所有帳戶選擇啟用**。只有在您使用組織的管理帳戶登入,且事件資料存放區的**事件類型**為 **CloudTrail 事件**或**組態項目**時,才能使用此選項。 完成後,請選擇**儲存變更**。 1. 在 **Lake 查詢聯合**中,選擇**編輯**以啟用或停用 Lake 查詢聯合。[啟用 Lake 查詢聯合](query-enable-federation.md)可讓您在 AWS Glue [資料目錄中](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)檢視事件資料存放區的中繼資料,並使用 Amazon Athena 對事件資料執行 SQL 查詢。[停用 Lake 查詢聯合會](query-disable-federation.md)會停用與 AWS Glue AWS Lake Formation和 Amazon Athena 的整合。停用 Lake 查詢聯合後,您將無法再於 Athena 中查詢資料。當您停用聯合時,系統不會刪除任何 CloudTrail Lake 資料,而且您可以繼續在 CloudTrail Lake 中執行查詢。 若要啟用聯合,請執行下列動作: 1. 選擇**啟用**。 1. 選擇是要建立新的 IAM 角色,還是使用現有角色。當您建立新角色時,CloudTrail 會自動建立具有所需許可的角色。如果您使用現有角色,請確認該角色的政策可提供[所需的最低許可](query-federation.md#query-federation-permissions-role)。 1. 如果您要建立新的 IAM 角色,請輸入角色的名稱。 1. 如果您要選擇現有的 IAM 角色,請選擇想使用的角色。該角色必須存在於您的帳戶中。 完成時,請選擇**儲存變更**。 1. 在**資源政策**中,選擇**編輯**以新增或修改事件資料存放區的資源型政策。 資源型政策可讓您控制哪些主體可對您的事件存放區執行動作。例如,您可以新增資源型政策,允許其他帳戶中的根使用者查詢此事件資料存放區並檢視查詢結果。如需範例政策,請參閱 [事件資料存放區的資源型政策範例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)。 以資源為基礎的政策包含一或多個陳述式。政策中的每個陳述式都會定義允許或拒絕存取事件資料存放區的[委託人](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html),以及委託人可以對事件資料存放區資源執行的動作。 事件資料存放區的資源型政策支援下列動作: + `cloudtrail:StartQuery` + `cloudtrail:CancelQuery` + `cloudtrail:ListQueries` + `cloudtrail:DescribeQuery` + `cloudtrail:GetQueryResults` + `cloudtrail:GenerateQuery` + `cloudtrail:GenerateQueryResultsSummary` + `cloudtrail:GetEventDataStore` 對於[組織事件資料存放區](cloudtrail-lake-organizations.md),CloudTrail 會建立[預設資源型政策](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp),列出允許委派管理員帳戶在組織事件資料存放區上執行的動作。此政策中的許可衍生自 中的委派管理員許可 AWS Organizations。此政策會在組織事件資料存放區或組織變更後自動更新 (例如,CloudTrail 委派管理員帳戶已註冊或移除)。 1. 編輯事件資料存放區**事件類型**特有的任何其他設定。 **CloudTrail 事件的設定** + 若要變更事件資料存放區記錄的事件,請在 **CloudTrail 事件**中選擇**編輯**。 + 在**管理事件**中,選擇**編輯**以變更管理事件的設定。如需詳細資訊,請參閱[更新現有事件資料存放區的管理事件設定](logging-management-events-with-cloudtrail.md#logging-management-events-with-the-cloudtrail-console-eds)。 + 在**資料事件**中,選擇**編輯**以變更資料事件的設定。您可以選擇要記錄的資源類型,然後選擇要使用的日誌選取器範本。如需詳細資訊,請參閱[更新現有的事件資料存放區,以使用主控台記錄資料事件](logging-data-events-with-cloudtrail.md#logging-data-events-with-the-cloudtrail-console-eds)。 + 在**網路活動事件**中,選擇**編輯**以變更網路活動事件的設定。您可以選擇要記錄的網路活動事件類型,然後選擇要使用的日誌選取器範本。如需詳細資訊,請參閱[更新現有的事件資料存放區以記錄網路活動事件](logging-network-events-with-cloudtrail.md#log-network-events-lake-console)。 + 在**富集事件中,展開事件大小**,選擇**編輯**以新增或移除資源標籤和 IAM 全域條件索引鍵,然後展開事件大小。 在**富集事件**中,新增最多 50 個資源標籤金鑰和 50 個 IAM 全域條件金鑰,以提供事件的其他中繼資料。這可協助您分類和分組相關事件。 如果您新增資源標籤索引鍵,CloudTrail 將包含與 API 呼叫中所涉及資源相關聯的所選標籤索引鍵。與已刪除資源相關的 API 事件將不會有資源標籤。 如果您新增 IAM 全域條件金鑰,CloudTrail 將包含授權程序期間評估之所選條件金鑰的相關資訊,包括委託人、工作階段、網路和請求本身的其他詳細資訊。 資源標籤索引鍵和 IAM 全域條件索引鍵的相關資訊會顯示在事件的 `eventContext` 欄位中。如需詳細資訊,請參閱[透過新增資源標籤索引鍵和 IAM 全域條件索引鍵來豐富 CloudTrail 事件](cloudtrail-context-events.md)。 **注意** 如果事件包含不屬於事件區域的資源,CloudTrail 將不會填入此資源的標籤,因為標籤擷取僅限於事件區域。 選擇**展開事件大小**,將事件承載從 256 KB 擴展到 1 MB。當您新增資源標籤金鑰或 IAM 全域條件金鑰時,此選項會自動啟用,以確保所有新增的金鑰都包含在事件中。 擴展事件大小有助於分析和疑難排解事件,因為它可讓您查看下列欄位的完整內容,只要事件承載小於 1 MB: + `annotation` + `requestID` + `additionalEventData` + `serviceEventDetails` + `userAgent` + `errorCode` + `responseElements` + `requestParameters` + `errorMessage` 如需這些欄位的詳細資訊,請參閱 [CloudTrail 記錄內容](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html)。 完成後,請選擇**儲存變更**。 **整合事件的設定** 在**整合**中,選擇您的整合。然後,選擇**編輯**以變更下列設定: + 在**整合詳細資訊**中,變更可識別整合通道的名稱。 + 在**事件交付位置**中,選擇事件的目的地。 + 在 **Resource policy** (資源政策) 中,為整合的通道設定資源政策。 完成後,請選擇**儲存變更**。 如需這些設定的詳細資訊,請參閱 [使用主控台建立與 CloudTrail 合作夥伴的整合](query-event-data-store-integration-partner.md)。 1. 若要新增、變更或移除標籤,請在**標籤**中選擇**編輯**。您最多可以新增 50 個標籤金鑰對,以協助您識別、排序和控制事件資料存放區的存取權限。完成後,請選擇**儲存變更**。