本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用控制台创建、更新和管理事件数据存储
<a name="manage-lake-eds-console"></a>

**注意**  
AWS CloudTrail 从 2026 年 5 月 31 日起，Lake 将不再向新客户开放。如果您想使用 CloudTrail Lake，请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息，请参阅 [CloudTrail 湖泊可用性变更](cloudtrail-lake-service-availability-change.md)。

您可以使用 CloudTrail 控制台创建、更新、删除和恢复事件数据存储。

您可以使用 CloudTrail 控制台更新以下设置：
+ 您可以将[定价选项](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)从**七年期保留定价**更改为**一年可延期保留定价**。
+ 您可以更新事件数据存储的保留期。保留期决定事件数据在事件数据存储中保存的时长。
+ 您可以将多区域事件数据存储转换为单区域事件数据存储，也可以将单区域事件数据存储转换为多区域事件数据存储。
+  AWS Organizations 组织的管理账户可以将账户级事件数据存储转换为组织事件数据存储，也可以将组织事件数据存储转换为账户级事件数据存储。此设置不适用于收集外部事件的事件数据存储 AWS。
+ 您可以启用或禁用 [Lake 查询联合](query-federation.md)。通过联合事件数据存储，您可以从 Amazon Athena 查询事件数据。
+ 您可以为事件数据存储添加或编辑基于资源的策略，以提供对事件数据存储的跨账户访问。有关更多信息，请参阅 [事件数据存储的基于资源的策略示例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)。
+ 在收集管理[事件、数据事件或配置项目的事件数据存储上，您可以停止](query-eds-stop-ingestion.md)事件摄取并重新启动事件摄取。 AWS Config 
+ 您可以启用或禁用[终止保护](query-eds-termination-protection.md)。启用终止保护可防止事件数据存储被意外删除。终止保护默认启用。
+ 您可以[还原](query-eds-restore.md)待删除的事件数据存储。
+ 您可以添加或删除标签。您最多可以添加 50 个标签键对，以帮助您对事件数据存储的访问进行识别、排序和控制。
+ 您可以添加 KMS 密钥来加密事件数据存储。您无法从事件数据存储中移除 KMS 密钥。

使用 CloudTrail 控制台创建或更新事件数据存储具有以下优点：
+ 如果您正在配置事件数据存储以收集数据事件，则使用 CloudTrail控制台可以查看可用的数据事件资源类型。有关更多信息，请参阅 [记录数据事件](logging-data-events-with-cloudtrail.md)。
+ 如果您正在配置事件数据存储以收集网络活动事件，则使用 CloudTrail控制台可以查看可以记录网络活动事件的事件源。有关更多信息，请参阅 [记录网络活动事件](logging-network-events-with-cloudtrail.md)。
+ 如果您正在配置事件数据存储以收集外部的事件 AWS，则使用 CloudTrail 控制台可以查看有关可用合作伙伴的信息。有关更多信息，请参阅 [使用控制台为外部的事件创建事件数据存储 AWS](event-data-store-integration-events.md)。

**Topics**
+ [使用控制台为事件创建 CloudTrail 事件数据存储](query-event-data-store-cloudtrail.md)
+ [使用控制台为 Insights 事件创建事件数据存储](query-event-data-store-insights.md)
+ [使用控制台为配置项创建事件数据存储](query-event-data-store-config.md)
+ [使用控制台为外部的事件创建事件数据存储 AWS](event-data-store-integration-events.md)
+ [使用控制台更新事件数据存储](query-event-data-store-update.md)
+ [使用控制台停止和启动事件摄取](query-eds-stop-ingestion.md)
+ [使用控制台更改终止保护](query-eds-termination-protection.md)
+ [使用控制台删除事件数据存储](query-event-data-store-delete.md)
+ [使用控制台还原事件数据存储](query-eds-restore.md)
+ [将数据从 CloudTrail 湖泊事件数据存储导出到 CloudWatch](cloudtrail-lake-export-cloudwatch.md)

# 使用控制台为事件创建 CloudTrail 事件数据存储
<a name="query-event-data-store-cloudtrail"></a>

**注意**  
AWS CloudTrail 从 2026 年 5 月 31 日起，Lake 将不再向新客户开放。如果您想使用 CloudTrail Lake，请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息，请参阅 [CloudTrail 湖泊可用性变更](cloudtrail-lake-service-availability-change.md)。

事件 CloudTrail 的事件数据存储可以包括 CloudTrail 管理事件、数据事件和网络活动事件。如果您选择**一年可延期保留定价**选项，则可以将事件数据在事件数据存储中最多保留 3653 天（大约 10 年）；如果您选择**七年保留定价**选项，则最多可以保留 2557 天（大约 7 年）。

CloudTrail 湖泊事件数据存储会产生费用。创建事件数据存储时，您可以选择要用于事件数据存储的[定价选项](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)。定价选项决定了摄取和存储事件的成本，以及事件数据存储的默认和最长保留期。有关 CloudTrail 定价和管理 Lake 成本的信息，请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)和[管理 CloudTrail 湖泊成本](cloudtrail-lake-manage-costs.md)。

## 为事件创建事件数据存 CloudTrail 储
<a name="query-event-data-store-cloudtrail-procedure"></a>

使用此过程创建用于记录 CloudTrail 管理事件、数据事件或网络活动事件的事件数据存储。

1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台，网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。

1.  在导航窗格中，在 **Lake** 下，选择**事件数据存储**。

1. 选择**创建事件数据存储**。

1. 在 **Configure event data store**（配置事件数据存储）页面上的 **General details**（一般细节）中，输入事件数据存储的名称。名字是必填的。

1. 选择您要用于事件数据存储的**定价选项**。定价选项决定了摄取和存储事件的成本，以及您的事件数据存储的默认和最长保留期。有关更多信息，请参阅 [AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/) 和[管理 CloudTrail 湖泊成本](cloudtrail-lake-manage-costs.md)。

   可用选项如下：
   + **一年可延期保留定价**：如果您希望每月摄取的事件数据少于 25TB，并且想要灵活的保留期（最长 10 年），一般建议采用此选项。在前 366 天（默认保留期）内，存储包含在摄取定价中，没有额外收费。366 天后，可以按 pay-as-you-go定价延长保留期。这是默认选项。
     + **默认保留期：**366 天
     + **最长保留期：**3653 天
   + **七年期保留定价**：如果您希望每月摄取的事件数据大于 25TB，并且需要最长 7 年的保留期，则建议采用此选项。保留包含在摄取定价中，没有额外费用。
     + **默认保留期：**2557 天
     + **最长保留期：**2557 天

1. 指定事件数据存储的保留期。**一年可延期保留定价**选项的保留期可以介于 7 天到 3653 天（大约 10 年）之间，**七年期保留定价**选项的保留期可以介于 7 天到 2557 天（约七年）之间。

    CloudTrail Lake 通过检查事件是否在`eventTime`指定的保留期内来确定是否保留该事件。例如，如果您将保留期指定为 90 天，`eventTime`则 CloudTrail 会删除超过 90 天的事件。
**注意**  
如果您要将跟踪事件复制到此事件数据存储中，则 CloudTrail 不会复制超过指定保留期的事件。`eventTime`要确定适当的保留期，请计算要复制的最早事件（以天为单位）和要在事件数据存储中保留这些事件的天数（**保留期** = *oldest-event-in-days* \$1*number-days-to-retain*）的总和。例如，如果您要复制的最早事件已有 45 天，并且您想将事件在事件数据存储中再保留 45 天，则可以将保留期设置为 90 天。

1. （可选）要使用启用加密 AWS Key Management Service，请选择**使用我自己的**加密 AWS KMS key。选择 “**新**建” 为您 AWS KMS key 创建，或选择 “**现有” 以使用现**有 KMS 密钥。在**输入 KMS 别**名中，按格式指定别名`alias/`*MyAliasName*。使用您自己的 KMS 密钥需要编辑您的 KMS 密钥策略，以允许加密和解密您的事件数据存储。有关更多信息，请参阅[为以下各项配置 AWS KMS 密钥策略 CloudTrail](create-kms-key-policy-for-cloudtrail.md)。 CloudTrail 还支持 AWS KMS 多区域密钥。有关多区域密钥的更多信息，请参阅 *AWS Key Management Service 开发人员指南*中的[使用多区域密钥](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)。

   使用自己的 KMS 密钥会产生加密和解密 AWS KMS 费用。在将事件数据存储与 KMS 密钥关联后，将无法移除或更改 KMS 密钥。
**注意**  
要为组织事件数据存储启用 AWS Key Management Service 加密，必须使用管理账户的现有 KMS 密钥。

1. （可选）如果您想使用 Amazon Athena 对事件数据进行查询，请在 **Lake 查询联合身份验证**中选择**启用**。通过联合身份验证，您可以在 AWS Glue [数据目录](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)中查看与事件数据存储相关的元数据，并在 Athena 中对事件数据运行 SQL 查询。存储在 AWS Glue 数据目录中的表元数据让 Athena 查询引擎知道如何查找、读取和处理您要查询的数据。有关更多信息，请参阅 [联合事件数据存储](query-federation.md)。

   要启用 Lake 查询联合身份验证，请选择**启用**，然后执行以下操作：

   1. 选择是要创建新角色还是使用现有 IAM 角色。[AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) 使用此角色管理联合事件数据存储的权限。使用 CloudTrail 控制台创建新角色时， CloudTrail 会自动创建一个具有所需权限的角色。如果您选择现有角色，请确保该角色的策略提供[所需的最低权限](query-federation.md#query-federation-permissions-role)。

   1. 如果您在创建新角色，请输入名称来标识该角色。

   1. 如果您使用现有角色，请选择要使用的角色。该角色必须存在于您的 账户中。

1. （可选）选择**启用资源策略**以向您的事件数据存储添加基于资源的策略。基于资源的策略可让您控制哪些主体可以对您的事件数据存储执行操作。例如，您可以添加基于资源的策略，允许其他账户中的根用户查询此事件数据存储并查看查询结果。有关示例策略，请参阅 [事件数据存储的基于资源的策略示例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)。

   基于资源的策略包括一个或多个语句。策略中的每条语句都定义了支持或拒绝访问事件数据存储的[主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)以及主体可以对事件数据存储资源执行的操作。

   事件数据存储的基于资源的策略支持以下操作：
   +  `cloudtrail:StartQuery` 
   +  `cloudtrail:CancelQuery` 
   +  `cloudtrail:ListQueries` 
   +  `cloudtrail:DescribeQuery` 
   +  `cloudtrail:GetQueryResults` 
   +  `cloudtrail:GenerateQuery` 
   +  `cloudtrail:GenerateQueryResultsSummary` 
   +  `cloudtrail:GetEventDataStore` 

   对于[组织事件数据存储](cloudtrail-lake-organizations.md)， CloudTrail 创建[基于资源的默认策略，该策略](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)列出了允许委派管理员帐户对组织事件数据存储执行的操作。此策略中的权限来自 AWS Organizations中的委派管理员权限。在组织事件数据存储或组织发生更改后（例如，注册或删除了 CloudTrail 委托管理员帐户），此策略会自动更新。

1. （可选）在 **Tags**（标签）部分中，您最多可以添加 50 个标签键对，以帮助您对事件数据存储的访问进行识别、排序和控制。要详细了解如何使用 IAM 策略以根据标签授权对事件数据存储的访问，请参阅[示例：拒绝基于标签创建或删除事件数据存储的访问权限](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags)。有关如何在中使用标签的更多信息 AWS，请参阅《[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*用户指南》中的为 AWS 资源添加标签*。

1.  选择**下一步**以配置事件数据存储。

1.  在 **“选择事件**” 页面上，选择**AWS 事件**，然后选择**CloudTrail事件**。

1. 对于**CloudTrail 事件**，请至少选择一种事件类型。默认情况下，已选中 **Management events**（管理事件）。您可以将[管理事件](logging-management-events-with-cloudtrail.md)、[数据事件](logging-data-events-with-cloudtrail.md)和[网络活动事件](logging-network-events-with-cloudtrail.md)添加到事件数据存储。

1. （可选）如果要从现有跟踪中复制事件以对过往事件运行查询，请选择 **Copy trail events**（复制跟踪事件）。要将跟踪事件复制到组织事件数据存储，必须使用该组织的管理账户。委托管理员账户无法将跟踪事件复制到组织事件数据存储。有关复制跟踪事件注意事项的更多信息，请参阅 [复制跟踪事件的注意事项](cloudtrail-copy-trail-to-lake-eds.md#cloudtrail-trail-copy-considerations-lake)。

1. 要让您的事件数据存储收集 AWS Organizations 企业中所有账户的事件，请选择 **Enable for all accounts in my organization**（为我的企业中的所有账户启用）。您必须登录到组织的管理账户或委托管理员账户，才能创建为组织收集事件的事件数据存储。
**注意**  
要复制跟踪事件或启用 Insights 事件，您必须登录组织的管理账户。

1. 展开**其他设置**以选择是希望事件数据存储收集所有 AWS 区域事件还是仅收集当前事件 AWS 区域，并选择事件数据存储是提取事件。默认情况下，您的事件数据存储会收集您账户中所有区域的事件，并在事件创建后开始摄取事件。

   1. 选择**在我的事件数据存储中仅包含当前区域**，以便仅包含在当前区域中记录的事件。如果不选择此选项，则您的事件数据存储将包含来自所有区域的事件。

   1. 如果您不希望事件数据存储开始摄取事件，请取消选择**摄取事件**。例如，如果您要复制跟踪事件并且不希望事件数据存储包含任何未来事件，则可能需要取消选择**摄取事件**。默认情况下，事件数据存储会在创建事件时开始摄取事件。

1. 如果您的事件数据存储包括管理事件，您可以从以下选项中进行选择。有关管理事件的更多信息，请参阅[记录管理事件](logging-management-events-with-cloudtrail.md)。

   1. 在**简单事件收集**或**高级事件收集**之间进行选择：
      + 如果要记录所有事件、记录仅读取事件或记录仅写入事件，请选择**简单事件收集**。您也可以选择排除 AWS Key Management Service 和 Amazon RDS 数据 API 事件。
      + 如果要根据高级事件选择器字段（包括 `eventName`、`eventType`、`eventSource`、`sessionCredentialFromConsole` 和 `userIdentity.arn` 字段）的值包括或排除管理事件，请选择**高级事件收集**。

   1. 如果您选择了**简单事件收集**，请选择是要记录所有事件、仅记录读取事件还是仅记录写入事件。您也可以选择排除 AWS KMS 和 Amazon RDS 数据 API 事件。

   1. 如果您选择了**高级事件收集**，请进行以下选择：

      1. 在**日志选择器模板**中，选择一个预定义的模板，或者选择**自定义**以基于高级事件选择器字段值构建自定义配置。

         您可以从以下预定义模板中进行选择：
         + **记录所有事件**：选择此模板以记录所有事件。
         + **仅记录读取事件**：选择此模板以仅记录读取事件。只读事件是不会更改资源状态的事件，例如 `Get*` 或 `Describe*` 事件。
         + **仅记录写入事件**：选择此模板以仅记录写入事件。写入事件可添加、更改或删除资源、属性或构件，例如 `Put*`、`Delete*` 或 `Write*` 事件。
         + **仅记录 AWS 管理控制台 事件**-选择此模板仅记录源自的事件 AWS 管理控制台。
         + **排除 AWS 服务 已启动的事件**-选择此模板可排除 AWS 服务 具有`eventType`关联角色的事件和使用 AWS 服务关联角色启动的事件 (SLRs)。`AwsServiceEvent`

      1. （可选）在**选择器名称**中，输入用于标识选择器的名称。选择器名称是高级事件选择器的描述性名称，例如 “记录 AWS 管理控制台 会话中的管理事件”。选择器名称在高级事件选择器中列为 `Name`，展开 **JSON 视图**即可查看该名称。

      1. 如果您选择了**自定义**，则在**高级事件选择器**中，将基于高级事件选择器字段值构建表达式。
**注意**  
选择器不支持使用通配符，例如 `*`。要将多个值与单个条件匹配，可以使用 `StartsWith`、`EndsWith`、`NotStartsWith` 或 `NotEndsWith` 明确匹配事件字段的开头或结尾。

         1. 从下面的字段中选择。
            + **`readOnly`**：`readOnly`可以设置为**等于**值 `true` 或 `false`。当它设置为 `false` 时，事件数据存储将记录只写管理事件。只读管理事件是不会更改资源状态的事件，例如 `Get*` 或 `Describe*` 事件。写入事件可添加、更改或删除资源、属性或构件，例如 `Put*`、`Delete*` 或 `Write*` 事件。要同时记录**读取**和**写入**事件，请勿添加 `readOnly` 选择器。
            + **`eventName`**：`eventName`可以使用任何运算符。您可以使用它来包含或排除任何管理事件，例如 `CreateAccessPoint` 或 `GetAccessPoint`。
            + **`userIdentity.arn`**：包含或排除特定 IAM 身份所采取操作的事件。有关更多信息，请参阅 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
            + **`sessionCredentialFromConsole`**— 包括或排除源自 AWS 管理控制台 会话的事件。可以将此字段设置为**等于**或**不等于**值 `true`。
            + **`eventSource`**：可以使用它来包含或排除特定的事件源。`eventSource` 通常为服务名称的简短形式，不含空格但会加上 `.amazonaws.com`。例如，可以设置 `eventSource` **等于** `ec2.amazonaws.com`，以便仅记录 Amazon EC2 管理事件。
            + **`eventType`**：要包括或排除的 [eventType](cloudtrail-event-reference-record-contents.md#ct-event-type)。例如，可以将此字段设置为**不等于** `AwsServiceEvent`，以排除 [AWS 服务 事件](non-api-aws-service-events.md)。

         1. 对于每个字段，请选择 **\$1 条件**以根据需要添加任意数量的条件，所有条件总共可有最多 500 个指定值。

            有关如何 CloudTrail 评估多个条件的信息，请参阅[如何 CloudTrail 评估一个字段的多个条件](filtering-data-events.md#filtering-data-events-conditions)。
**注意**  
对于事件数据存储上的所有选择器，最多可以有 500 个值。这包括选择器的多个值的数组，例如 `eventName`。如果所有选择器均为单个值，则最多可以向选择器添加 500 个条件。

         1. 根据需要，选择 **\$1 字段**以添加其他字段。为了避免错误，请不要为字段设置冲突或重复的值。

      1. 或者，展开 **JSON 视图**将您的高级事件选择器作为 JSON 数据块查看。

   1. 选择**启用 Insights 事件捕获**以启用 Insights。要启用 Insights，您需要设置[目标事件数据存储](query-event-data-store-insights.md#query-event-data-store-insights-procedure)来将根据该事件数据存储中的管理事件活动收集 Insights 事件。

      如果您选择启用 Insights，请执行以下操作。

      1. 选择将记录 Insights 事件的目标事件存储。目标事件数据存储将根据该事件数据存储中的管理事件活动收集 Insights 事件。有关如何创建目标事件数据存储的信息，请参阅[要创建记录 Insights 事件的目标事件数据存储](query-event-data-store-insights.md#query-event-data-store-insights-procedure)。

      1. 选择 Insights 类型。您可以选择 **API 调用率**、**API 错误率**或同时选择此两者。您必须记录**写入**管理事件，以针对 **API 调用率**记录 Insights 事件。您必须记录**读取**或**写入**管理事件，以针对 **API 错误率**记录 Insights 事件。

1. 要在事件数据存储中包含数据事件，请执行以下操作。

   1. 选择资源类型。这是记录数据事件的 AWS 服务 和资源。

   1. 在**日志选择器模板**中，选择一个预定义的模板，或者选择**自定义**以基于高级事件选择器字段的值定义您自己的事件收集条件。

      您可以从以下预定义模板中进行选择：
      + **记录所有事件**：选择此模板以记录所有事件。
      + **仅记录读取事件**：选择此模板以仅记录读取事件。只读事件是不会更改资源状态的事件，例如 `Get*` 或 `Describe*` 事件。
      + **仅记录写入事件**：选择此模板以仅记录写入事件。写入事件可添加、更改或删除资源、属性或构件，例如 `Put*`、`Delete*` 或 `Write*` 事件。
      + **仅记录 AWS 管理控制台 事件**-选择此模板仅记录源自的事件 AWS 管理控制台。
      + **排除 AWS 服务 已启动的事件**-选择此模板可排除 AWS 服务 具有`eventType`关联角色的事件和使用 AWS 服务关联角色启动的事件 (SLRs)。`AwsServiceEvent`

   1. （可选）在**选择器名称**中，输入用于标识选择器的名称。选择器名称是高级事件选择器的描述性名称，例如“仅记录两个 S3 桶的数据事件”。选择器名称在高级事件选择器中列为 `Name`，展开 **JSON 视图**即可查看该名称。

   1. 如果您选择了**自定义**，则在**高级事件选择器**中，将基于高级事件选择器字段的值生成表达式。
**注意**  
选择器不支持使用通配符，例如 `*`。要将多个值与单个条件匹配，可以使用 `StartsWith`、`EndsWith`、`NotStartsWith` 或 `NotEndsWith` 明确匹配事件字段的开头或结尾。

      1. 从下面的字段中选择。
         + **`readOnly`**：`readOnly` 可以设置为**等于**值 `true` 或 `false`。只读数据事件是不会更改资源状态的事件，例如 `Get*` 或 `Describe*` 事件。写入事件可添加、更改或删除资源、属性或构件，例如 `Put*`、`Delete*` 或 `Write*` 事件。要记录 `read` 和 `write` 两种事件，请不要添加 `readOnly` 选择器。
         + **`eventName`**：`eventName` 可以使用任何运算符。您可以使用它来包含或排除记录到的任何数据事件 CloudTrail，例如`PutBucket``GetItem`、或`GetSnapshotBlock`。
         + **`eventSource`**：要包括或排除的事件类型。此字段可以使用任意运算符。
         + **eventType**：要包括或排除的事件类型。例如，可以将此字段设置为**不等于** `AwsServiceEvent`，以排除 [AWS 服务 事件](non-api-aws-service-events.md)。有关事件类型的列表，请参阅 [CloudTrail 记录管理、数据和网络活动事件的内容](cloudtrail-event-reference-record-contents.md) 中的 [`eventType`](cloudtrail-event-reference-record-contents.md#ct-event-type)。
         + **sessionCredentialFrom控制台**-包括或排除源自 AWS 管理控制台 会话的事件。可以将此字段设置为**等于**或**不等于**值 `true`。
         + **userIdentity.arn**：包含或排除特定 IAM 身份所采取操作的事件。有关更多信息，请参阅 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
         + **`resources.ARN`**：您可以将任何运算符与 `resources.ARN` 配合使用，但如果您使用**等于**或**不等于**，则该值必须与您在模板中指定为 `resources.type` 的值的有效资源类型的 ARN 完全匹配。
**注意**  
您不能使用该`resources.ARN`字段筛选没有的资源类型 ARNs。

           有关数据事件资源的 ARN 格式的更多信息，请参阅《服务授权参考》**中的 [AWS 服务的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)。

      1. 对于每个字段，请选择 **\$1 条件**以根据需要添加任意数量的条件，所有条件总共可有最多 500 个指定值。例如，要从记录到事件数据存储的数据事件中排除两个 S3 存储桶的数据事件，可以将字段设置为 **resources.ARN**，设置**不始于**运算符，然后粘贴您不想为其记录事件的 S3 存储桶 ARN。

         要添加第二个 S3 存储桶，请选择 **\$1 条件**，然后重复上述说明，在 ARN 中粘贴或浏览到不同的存储桶。

         有关如何 CloudTrail 评估多个条件的信息，请参阅[如何 CloudTrail 评估一个字段的多个条件](filtering-data-events.md#filtering-data-events-conditions)。
**注意**  
对于事件数据存储上的所有选择器，最多可以有 500 个值。这包括选择器的多个值的数组，例如 `eventName`。如果所有选择器均为单个值，则最多可以向选择器添加 500 个条件。

      1. 根据需要，选择 **\$1 字段**以添加其他字段。为了避免错误，请不要为字段设置冲突或重复的值。例如，不要在一个选择器中将 ARN 指定为等于某个值，然后在另一个选择器中指定 ARN 不等于相同的值。

   1. 或者，展开 **JSON 视图**将您的高级事件选择器作为 JSON 数据块查看。

   1. 要添加需要记录数据事件的其他资源类型，请选择**添加数据事件类型**。重复步骤 a 至此步骤，为资源类型配置高级事件选择器。

1. 要在事件数据存储中包含网络活动事件，请执行以下操作。

   1. 从**网络活动事件源**中，选择网络活动事件的来源。

   1. 在**记录选择器模板**中，选择一个模板。您可以选择记录所有网络活动事件、记录所有网络活动访问被拒绝的事件，或者选择**自定义**来构建自定义日志选择器以筛选多个字段（例如 `eventName` 和 `vpcEndpointId`）。

   1. （可选）输入用于标识选择器的名称。选择器名称在高级事件选择器中列为 **名称**，展开 **JSON 视图**即可查看该名称。

   1. 在**高级事件选择器**中，通过为**字段**、**运算符**和**值**选择值来构建表达式。如果您使用的是预定义日志模板，则可跳过此步骤。

      1. 要排除或包括网络活动事件，您可以从控制台中的以下字段中进行选择。
         + **`eventName`**：您可以将任何运算符与 `eventName` 配合使用。您可以使用它来包含或排除任何事件（如 `CreateKey`）。
         + **`errorCode`**：您可以使用它来筛选错误代码。目前，唯一支持的 `errorCode` 是 `VpceAccessDenied`。
         +  **`vpcEndpointId`**：标识操作通过的 VPC 端点。您可以将任何运算符与 `vpcEndpointId` 配合使用。

      1. 对于每个字段，请选择 **\$1 条件**以根据需要添加任意数量的条件，所有条件总共可有最多 500 个指定值。

      1. 根据需要，选择 **\$1 字段**以添加其他字段。为了避免错误，请不要为字段设置冲突或重复的值。

   1. 要添加您想要记录网络活动事件的另一个事件源，请选择**添加网络活动事件选择器**。

   1. 或者，展开 **JSON 视图**将您的高级事件选择器作为 JSON 数据块查看。

1. 要将现有跟踪事件复制到您的事件数据存储，请执行以下操作。

   1. 选择要复制的跟踪。默认情况下， CloudTrail 仅复制 S3 存储桶`CloudTrail`前缀中包含 CloudTrail 的事件和`CloudTrail`前缀中的前缀，而不检查其他 AWS 服务的前缀。如果要复制其他前缀中包含 CloudTrail 的事件，**请选择 Enter S3 URI**，然后选择 **Browse S3** 浏览到该前缀。如果跟踪的源 S3 存储桶使用 KMS 密钥进行数据加密，请确保 KMS 密钥策略 CloudTrail 允许解密数据。如果您的源 S3 存储桶使用多个 KMS 密钥，则必须更新每个密钥的策略 CloudTrail 以允许解密存储桶中的数据。有关更新 KMS 密钥政策的更多信息，请参阅[用于解密源 S3 存储桶中数据的 KMS 密钥政策](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-kms)。

   1. 选择复制事件的时间范围。 CloudTrail 在尝试复制跟踪事件之前，请检查前缀和日志文件名以验证该名称是否包含所选开始日期和结束日期之间的日期。您可以选择一个**相对范围**或者**绝对范围**。为避免源跟踪和目标事件数据存储之间存在重复事件，请选择一个早于事件数据存储创建时间的时间范围。
**注意**  
CloudTrail 仅复制在事件数据存储保留期`eventTime`内的跟踪事件。例如，如果事件数据存储的保留期为 90 天，则 CloudTrail 不会复制任何`eventTime`超过 90 天的跟踪事件。
      + 如果选择 “**相对范围**”，则可以选择复制过去 6 个月、1 年、2 年、7 年或自定义范围内记录的事件。 CloudTrail 复制选定时间段内记录的事件。
      + 如果选择 “**绝对范围**”，则可以选择特定的开始和结束日期。 CloudTrail 复制在所选开始日期和结束日期之间发生的事件。

   1. 对于**权限**，请从以下 IAM 角色选项中进行选择。如果您选择现有的 IAM 角色，请验证 IAM 角色策略是否提供了必要的权限。有关更新 IAM 角色权限的更多信息，请参阅[复制跟踪事件所需的 IAM 权限](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-iam)。
      + 选择**创建新角色（推荐）**以创建新的 IAM 角色。在**输入 IAM 角色名称**中，输入角色的名称。 CloudTrail 会自动为这个新角色创建必要的权限。
      + 选择**使用自定义 IAM 角色 ARN**以使用未列出的自定义 IAM 角色。对于**输入 IAM 角色 ARN**，输入 IAM ARN。
      + 从下拉列表中选择现有的 IAM 角色。

1. 选择**下一步**，以通过添加资源标签键和 IAM 全局条件键来丰富您的事件。

1. 在**丰富事件**中，最多可以添加 50 个资源标签键和 50 个 IAM 全局条件键，以提供有关事件的更多元数据。这有助于您对相关事件进行分类和分组。

   如果您添加资源标签密钥，则 CloudTrail 将包括与 API 调用中涉及的资源关联的选定标签密钥。与已删除资源相关的 API 事件将没有资源标签。

   如果您添加 IAM 全局条件密钥，则CloudTrail 将包含有关在授权过程中评估的所选条件密钥的信息，包括有关委托人、会话、网络和请求本身的其他详细信息。

   有关资源标签键和 IAM 全局条件键的信息显示在事件的 `eventContext` 字段中。有关更多信息，请参阅 [通过添加资源标签密钥和 IAM 全局条件键来丰富 CloudTrail 事件](cloudtrail-context-events.md)。
**注意**  
如果活动包含不属于事件区域的资源， CloudTrail 则不会为该资源填充标签，因为标签检索仅限于事件区域。

1. 选择**扩展事件大小**，将事件有效载荷从 256 KB 扩展到 1 MB。当您添加资源标签键或 IAM 全局条件键时，此选项会自动启用，以确保添加的所有键都包含在事件中。

   扩展事件大小有助于分析事件和对事件进行故障排除，因为只要事件有效载荷小于 1 MB，它就支持您查看以下字段的完整内容：
   + `annotation`
   + `requestID`
   + `additionalEventData`
   + `serviceEventDetails`
   + `userAgent`
   + `errorCode`
   + `responseElements`
   + `requestParameters`
   + `errorMessage`

   有关这些字段的更多信息，请参阅[CloudTrail 记录内容](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html)。

1. 选择**下一步**以查看您的选择。

1. 在**查看并创建**页面上，审核您的选择。选择**编辑**以对这节进行更改。当您准备好创建事件数据存储时，选择**创建事件数据存储**。

1. 在**事件数据存储**页面上的**事件数据存储**表中可以看到新的事件数据存储。

   从现在开始，事件数据存储将捕获与其高级事件选择器匹配的事件（如果保持选中**摄取事件**选项）。除非选择复制现有跟踪事件，否则在创建事件数据存储之前发生的事件不会出现在该事件数据存储中。

现在，您可以对新的事件数据存储运行查询。**Sample queries**（示例查询）选项卡提供了示例查询，以帮助您入门。有关创建和编辑查询的更多信息，请参阅[使用 CloudTrail 控制台创建或编辑查询](query-create-edit-query.md)。

您还可以查看[托管的控制面板](lake-dashboard-managed.md)，也可以[创建自定义控制面板](lake-dashboard-custom.md)来可视化事件趋势。有关 Lake 控制面板的更多信息，请参阅[CloudTrail 湖泊仪表板](lake-dashboard.md)。

# 使用控制台为 Insights 事件创建事件数据存储
<a name="query-event-data-store-insights"></a>

**注意**  
AWS CloudTrail 从 2026 年 5 月 31 日起，Lake 将不再向新客户开放。如果您想使用 CloudTrail Lake，请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息，请参阅 [CloudTrail 湖泊可用性变更](cloudtrail-lake-service-availability-change.md)。

AWS CloudTrail Insights 通过持续分析 CloudTrail 管理事件，帮助 AWS 用户识别和响应与 API 调用率和 API 错误率相关的异常活动。 CloudTrail Insights 会分析您的 API 调用率和 API 错误率的正常模式（也称为*基线*），并在呼叫量或错误率超出正常模式时生成 Insights 事件。为管理层生成有关 API 调用率的 Insights 事件 APIs，为`write`管理层生成有关 API 错误率的 Insights 事件 APIs。`read` `write`

要在 L CloudTrail ake 中记录 Insights 事件，您需要一个用于记录 Insights 事件的目标事件数据存储和一个启用 Insights 并记录管理事件的源事件数据存储。

**注意**  
要针对 API 调用率记录 Insights 事件，源事件数据存储必须记录 `write` 管理事件。要针对 API 错误率记录 Insights 事件，源事件数据存储必须记录 `read` 或 `write` 管理事件。

如果您在源事件数据存储上启用了 CloudTrail Insights 并 CloudTrail 检测到异常活动，则会将 Insigh CloudTrail ts 事件传送到您的目标事件数据存储。与事件数据存储中捕获的其他类型的事件不同，Insights 事件仅在 CloudTrail 检测到您的账户 API 使用情况与账户的典型使用模式明显不同时，才会记录 Insights 事件。 CloudTrail 

首次在事件数据存储上启用 CloudTrail Insights 后，最多 CloudTrail 可能需要 7 天才能开始交付 Insights 事件，前提是在此期间检测到异常活动。

CloudTrail Insights 会分析事件数据存储中每个区域中发生的管理事件，并在检测到偏离基线的异常活动时生成 Insights 事件。 CloudTrail Insights 事件是在生成其支持管理事件的同一区域生成的。

对于组织事件数据存储， CloudTrail Insights 会分析组织中每个成员账户中每个区域的管理事件，并在检测到偏离账户和区域基准的异常活动时生成 Insights 事件。

在 Lake 中 CloudTrail 收取 Insights 事件需要支付额外费用。如果您同时为路径和 CloudTrail 湖泊事件数据存储启用 Insights，则需要单独付费。有关 CloudTrail 定价的信息，请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。

**Topics**
+ [要创建记录 Insights 事件的目标事件数据存储](#query-event-data-store-insights-procedure)
+ [要创建启用 Insights 事件的源事件数据存储](#query-event-data-store-cloudtrail-insights)

## 要创建记录 Insights 事件的目标事件数据存储
<a name="query-event-data-store-insights-procedure"></a>

创建 Insights 事件数据存储时，您可以选择用于记录管理事件的现有源事件数据存储，然后指定要接收的 Insights 类型。或者，您可以在创建 Insights 事件数据存储后在新的或现有的事件数据存储上启用 Insights，然后选择此事件数据存储作为目标事件数据存储。

此过程向您演示如何创建记录 Insights 事件的目标事件数据存储。

1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台，网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。

1.  在导航窗格中，打开 **Lake**（湖）子菜单，然后选择 **Event data stores**（事件数据存储）。

1. 选择 **Create event data store**（创建事件数据存储）。

1. 在 **Configure event data store**（配置事件数据存储）页面上的 **General details**（一般细节）中，输入事件数据存储的名称。名字是必填的。

1. 选择您要用于事件数据存储的**定价选项**。定价选项决定了摄取和存储事件的成本，以及您的事件数据存储的默认和最长保留期。有关更多信息，请参阅 [AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/) 和[管理 CloudTrail 湖泊成本](cloudtrail-lake-manage-costs.md)。

   可用选项如下：
   + **一年可延期保留定价**：如果您希望每月摄取的事件数据少于 25TB，并且想要灵活的保留期（最长 10 年），一般建议采用此选项。在前 366 天（默认保留期）内，存储包含在摄取定价中，没有额外收费。366 天后，可以按 pay-as-you-go定价延长保留期。这是默认选项。
     + **默认保留期：**366 天
     + **最长保留期：**3653 天
   + **七年期保留定价**：如果您希望每月摄取的事件数据大于 25TB，并且需要最长 7 年的保留期，则建议采用此选项。保留包含在摄取定价中，没有额外费用。
     + **默认保留期：**2557 天
     + **最长保留期：**2557 天

1. 指定事件数据存储的保留期（以天为单位）。**一年可延期保留定价**选项的保留期可以介于 7 天到 3653 天（大约 10 年）之间，**七年期保留定价**选项的保留期可以介于 7 天到 2557 天（约七年）之间。事件数据存储将保留指定天数内的事件数据。

1. （可选）要使用启用加密 AWS Key Management Service，请选择**使用我自己的**加密 AWS KMS key。选择 “**新**建” 为您 AWS KMS key 创建，或选择 “**现有” 以使用现**有 KMS 密钥。在**输入 KMS 别**名中，按格式指定别名`alias/`*MyAliasName*。使用您自己的 KMS 密钥需要编辑您的 KMS 密钥策略，以允许加密和解密您的事件数据存储。有关更多信息，请参阅[为以下各项配置 AWS KMS 密钥策略 CloudTrail](create-kms-key-policy-for-cloudtrail.md)。 CloudTrail 还支持 AWS KMS 多区域密钥。有关多区域密钥的更多信息，请参阅 *AWS Key Management Service 开发人员指南*中的[使用多区域密钥](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)。

   使用自己的 KMS 密钥会产生加密和解密 AWS KMS 费用。在将事件数据存储与 KMS 密钥关联后，将无法移除或更改 KMS 密钥。
**注意**  
要为组织事件数据存储启用 AWS Key Management Service 加密，必须使用管理账户的现有 KMS 密钥。

1. （可选）如果您想使用 Amazon Athena 对事件数据进行查询，请在 **Lake 查询联合身份验证**中选择**启用**。通过联合身份验证，您可以在 AWS Glue [数据目录](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)中查看与事件数据存储相关的元数据，并在 Athena 中对事件数据运行 SQL 查询。存储在 AWS Glue 数据目录中的表元数据让 Athena 查询引擎知道如何查找、读取和处理您要查询的数据。有关更多信息，请参阅 [联合事件数据存储](query-federation.md)。

   要启用 Lake 查询联合身份验证，请选择**启用**，然后执行以下操作：

   1. 选择是要创建新角色还是使用现有 IAM 角色。[AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) 使用此角色管理联合事件数据存储的权限。使用 CloudTrail 控制台创建新角色时， CloudTrail 会自动创建一个具有所需权限的角色。如果您选择现有角色，请确保该角色的策略提供[所需的最低权限](query-federation.md#query-federation-permissions-role)。

   1. 如果您在创建新角色，请输入名称来标识该角色。

   1. 如果您使用现有角色，请选择要使用的角色。该角色必须存在于您的 账户中。

1. （可选）选择**启用资源策略**以向您的事件数据存储添加基于资源的策略。基于资源的策略可让您控制哪些主体可以对您的事件数据存储执行操作。例如，您可以添加基于资源的策略，允许其他账户中的根用户查询此事件数据存储并查看查询结果。有关示例策略，请参阅 [事件数据存储的基于资源的策略示例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)。

   基于资源的策略包括一个或多个语句。策略中的每条语句都定义了支持或拒绝访问事件数据存储的[主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)以及主体可以对事件数据存储资源执行的操作。

   事件数据存储的基于资源的策略支持以下操作：
   +  `cloudtrail:StartQuery` 
   +  `cloudtrail:CancelQuery` 
   +  `cloudtrail:ListQueries` 
   +  `cloudtrail:DescribeQuery` 
   +  `cloudtrail:GetQueryResults` 
   +  `cloudtrail:GenerateQuery` 
   +  `cloudtrail:GenerateQueryResultsSummary` 
   +  `cloudtrail:GetEventDataStore` 

   对于[组织事件数据存储](cloudtrail-lake-organizations.md)， CloudTrail 创建[基于资源的默认策略，该策略](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)列出了允许委派管理员帐户对组织事件数据存储执行的操作。此策略中的权限来自 AWS Organizations中的委派管理员权限。在组织事件数据存储或组织发生更改后（例如，注册或删除了 CloudTrail 委托管理员帐户），此策略会自动更新。

1. （可选）在 **Tags**（标签）部分中，您最多可以添加 50 个标签键对，以帮助您对事件数据存储的访问进行识别、排序和控制。要详细了解如何使用 IAM 策略以根据标签授权对事件数据存储的访问，请参阅[示例：拒绝基于标签创建或删除事件数据存储的访问权限](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags)。有关如何在中使用标签的更多信息 AWS，请参阅《[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*用户指南》中的为 AWS 资源添加标签*。

1.  选择**下一步**以配置事件数据存储。

1.  在 **“选择事件**” 页面上，选择**AWS 事件**，然后选择 **CloudTrailInsights 事件**。

1. 在 **CloudTrail Insights 事件**中，执行以下操作。

   1. 如果您要向组织的委托管理员授予对此事件数据存储的访问权限，请选择**允许委托管理员访问权**。只有当您使用 AWS Organizations 组织的管理账户登录时，此选项才可用。

   1. （可选）选择用于记录管理事件的现有源事件数据存储，并指定要接收的 Insights 类型。

      要添加源事件数据存储，请执行以下操作。

      1. 选择**添加源事件数据存储**。

      1. 选择源事件数据存储。

      1. 选择要接收的 **Insights 类型**。
         + `ApiCallRateInsight`：`ApiCallRateInsight`Insights 类型根据基准 API 调用量分析每分钟汇总的只写管理 API 调用。要接收关于 `ApiCallRateInsight` 的 Insights，源事件数据存储必须记录**写入**管理事件。
         + `ApiErrorRateInsight`：`ApiErrorRateInsight`Insights 类型分析生成错误代码的管理 API 调用。如果 API 调用不成功，就会显示错误。要接收关于 `ApiErrorRateInsight` 的 Insights，源事件数据存储必须记录**写入**或**读取**管理事件。

      1. 重复前两个步骤（ii 和 iii），以添加您想要接收的任何其他 Insights 类型。

1. 选择**下一步**以查看您的选择。

1. 在**查看并创建**页面上，审核您的选择。选择**编辑**以对这节进行更改。当您准备好创建事件数据存储时，选择**创建事件数据存储**。

1. 在**事件数据存储**页面上的**事件数据存储**表中可以看到新的事件数据存储。

1. 如果您没有在步骤 10 中选择源事件数据存储，请按照[要创建启用 Insights 事件的源事件数据存储](#query-event-data-store-cloudtrail-insights)中的步骤创建源事件数据存储。

## 要创建启用 Insights 事件的源事件数据存储
<a name="query-event-data-store-cloudtrail-insights"></a>

此过程向您演示如何创建启用 Insights 事件和记录管理事件的源事件数据存储。

1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台，网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。

1.  在导航窗格中，打开 **Lake**（湖）子菜单，然后选择 **Event data stores**（事件数据存储）。

1. 选择 **Create event data store**（创建事件数据存储）。

1. 在 **Configure event data store**（配置事件数据存储）页面上的 **General details**（一般细节）中，输入事件数据存储的名称。名字是必填的。

1. 选择您要用于事件数据存储的**定价选项**。定价选项决定了摄取和存储事件的成本，以及您的事件数据存储的默认和最长保留期。有关更多信息，请参阅 [AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/) 和[管理 CloudTrail 湖泊成本](cloudtrail-lake-manage-costs.md)。

   可用选项如下：
   + **一年可延期保留定价**：如果您希望每月摄取的事件数据少于 25TB，并且想要灵活的保留期（最长 10 年），一般建议采用此选项。在前 366 天（默认保留期）内，存储包含在摄取定价中，没有额外收费。366 天后，可以按 pay-as-you-go定价延长保留期。这是默认选项。
     + **默认保留期：**366 天
     + **最长保留期：**3653 天
   + **七年期保留定价**：如果您希望每月摄取的事件数据大于 25TB，并且需要最长 7 年的保留期，则建议采用此选项。保留包含在摄取定价中，没有额外费用。
     + **默认保留期：**2557 天
     + **最长保留期：**2557 天

1. 指定事件数据存储的保留期。**一年可延期保留定价**选项的保留期可以介于 7 天到 3653 天（大约 10 年）之间，**七年期保留定价**选项的保留期可以介于 7 天到 2557 天（约七年）之间。

    CloudTrail Lake 通过检查事件是否在`eventTime`指定的保留期内来确定是否保留该事件。例如，如果您将保留期指定为 90 天，`eventTime`则 CloudTrail 会删除超过 90 天的事件。

1. （可选）要使用启用加密 AWS Key Management Service，请选择**使用我自己的**加密 AWS KMS key。选择 “**新**建” 为您 AWS KMS key 创建，或选择 “**现有” 以使用现**有 KMS 密钥。在**输入 KMS 别**名中，按格式指定别名`alias/`*MyAliasName*。使用您自己的 KMS 密钥需要编辑您的 KMS 密钥策略，以允许加密和解密您的事件数据存储。有关更多信息，请参阅[为以下各项配置 AWS KMS 密钥策略 CloudTrail](create-kms-key-policy-for-cloudtrail.md)。 CloudTrail 还支持 AWS KMS 多区域密钥。有关多区域密钥的更多信息，请参阅 *AWS Key Management Service 开发人员指南*中的[使用多区域密钥](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)。

   使用自己的 KMS 密钥会产生加密和解密 AWS KMS 费用。在将事件数据存储与 KMS 密钥关联后，将无法移除或更改 KMS 密钥。
**注意**  
要为组织事件数据存储启用 AWS Key Management Service 加密，必须使用管理账户的现有 KMS 密钥。

1. （可选）如果您想使用 Amazon Athena 对事件数据进行查询，请在 **Lake 查询联合身份验证**中选择**启用**。通过联合身份验证，您可以在 AWS Glue [数据目录](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)中查看与事件数据存储相关的元数据，并在 Athena 中对事件数据运行 SQL 查询。存储在 AWS Glue 数据目录中的表元数据让 Athena 查询引擎知道如何查找、读取和处理您要查询的数据。有关更多信息，请参阅 [联合事件数据存储](query-federation.md)。

   要启用 Lake 查询联合身份验证，请选择**启用**，然后执行以下操作：

   1. 选择是要创建新角色还是使用现有 IAM 角色。[AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) 使用此角色管理联合事件数据存储的权限。使用 CloudTrail 控制台创建新角色时， CloudTrail 会自动创建一个具有所需权限的角色。如果您选择现有角色，请确保该角色的策略提供[所需的最低权限](query-federation.md#query-federation-permissions-role)。

   1. 如果您在创建新角色，请输入名称来标识该角色。

   1. 如果您使用现有角色，请选择要使用的角色。该角色必须存在于您的 账户中。

1. （可选）选择**启用资源策略**以向您的事件数据存储添加基于资源的策略。基于资源的策略可让您控制哪些主体可以对您的事件数据存储执行操作。例如，您可以添加基于资源的策略，允许其他账户中的根用户查询此事件数据存储并查看查询结果。有关示例策略，请参阅 [事件数据存储的基于资源的策略示例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)。

   基于资源的策略包括一个或多个语句。策略中的每条语句都定义了支持或拒绝访问事件数据存储的[主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)以及主体可以对事件数据存储资源执行的操作。

   事件数据存储的基于资源的策略支持以下操作：
   +  `cloudtrail:StartQuery` 
   +  `cloudtrail:CancelQuery` 
   +  `cloudtrail:ListQueries` 
   +  `cloudtrail:DescribeQuery` 
   +  `cloudtrail:GetQueryResults` 
   +  `cloudtrail:GenerateQuery` 
   +  `cloudtrail:GenerateQueryResultsSummary` 
   +  `cloudtrail:GetEventDataStore` 

   对于[组织事件数据存储](cloudtrail-lake-organizations.md)， CloudTrail 创建[基于资源的默认策略，该策略](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)列出了允许委派管理员帐户对组织事件数据存储执行的操作。此策略中的权限来自 AWS Organizations中的委派管理员权限。在组织事件数据存储或组织发生更改后（例如，注册或删除了 CloudTrail 委托管理员帐户），此策略会自动更新。

1. （可选）在 **Tags**（标签）部分中，您最多可以添加 50 个标签键对，以帮助您对事件数据存储的访问进行识别、排序和控制。要详细了解如何使用 IAM 策略以根据标签授权对事件数据存储的访问，请参阅[示例：拒绝基于标签创建或删除事件数据存储的访问权限](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags)。有关如何在中使用标签的更多信息 AWS，请参阅《[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*用户指南》中的为 AWS 资源添加标签*。

1.  选择**下一步**以配置事件数据存储。

1.  在 **“选择事件**” 页面上，选择**AWS 事件**，然后选择**CloudTrail事件**。

1. 在**CloudTrail 事件**中，将**管理事件**保留为选中状态。

1. 要让您的事件数据存储收集 AWS Organizations 企业中所有账户的事件，请选择 **Enable for all accounts in my organization**（为我的企业中的所有账户启用）。您必须登录组织的管理账户，才能创建启用 Insights 解的事件数据存储。

1. 展开**其他设置**以选择是希望事件数据存储收集所有 AWS 区域事件还是仅收集当前事件 AWS 区域，并选择事件数据存储是提取事件。默认情况下，您的事件数据存储会收集您账户中所有区域的事件，并在事件创建后开始摄取事件。

   1. 如果您想要仅包含在当前区域中记录的事件，选择**在我的事件数据存储中仅包含当前区域**。如果不选择此选项，则您的事件数据存储将包含来自所有区域的事件。

   1. 将**摄取事件**保留为选中状态。

1. 在**简单事件收集**或**高级事件收集**之间进行选择：
   + 如果要记录所有事件、记录仅读取事件或记录仅写入事件，请选择**简单事件收集**。您也可以选择排除 AWS Key Management Service 和 Amazon RDS 数据 API 事件。
   + 如果要根据高级事件选择器字段（包括 `eventName`、`eventType`、`eventSource`、`sessionCredentialFromConsole` 和 `userIdentity.arn` 字段）的值包括或排除管理事件，请选择**高级事件收集**。

1. 如果您选择了**简单事件收集**，请选择是要记录所有事件、仅记录读取事件还是仅记录写入事件。您也可以选择排除 AWS KMS 和 Amazon RDS 数据 API 事件。

1. 如果您选择了**高级事件收集**，请进行以下选择：

   1. 在**日志选择器模板**中，选择一个预定义的模板，或者选择自**定义**以基于高级事件选择器字段的值写入您自己的事件收集条件。

      您可以从以下预定义模板中进行选择：
      + **记录所有事件**：选择此模板以记录所有事件。
      + **仅记录读取事件**：选择此模板以仅记录读取事件。只读事件是不会更改资源状态的事件，例如 `Get*` 或 `Describe*` 事件。
      + **仅记录写入事件**：选择此模板以仅记录写入事件。写入事件可添加、更改或删除资源、属性或构件，例如 `Put*`、`Delete*` 或 `Write*` 事件。
      + **仅记录 AWS 管理控制台 事件**-选择此模板仅记录源自的事件 AWS 管理控制台。
      + **排除 AWS 服务 已启动的事件**-选择此模板可排除 AWS 服务 具有`eventType`关联角色的事件和使用 AWS 服务关联角色启动的事件 (SLRs)。`AwsServiceEvent`

   1. （可选）在**选择器名称**中，输入用于标识选择器的名称。选择器名称是高级事件选择器的描述性名称，例如 “记录 AWS 管理控制台 会话中的管理事件”。选择器名称在高级事件选择器中列为 `Name`，展开 **JSON 视图**即可查看该名称。

   1. 如果您选择了**自定义**，则在**高级事件选择器**中，将基于高级事件选择器字段值构建表达式。
**注意**  
选择器不支持使用通配符，例如 `*`。要将多个值与单个条件匹配，可以使用 `StartsWith`、`EndsWith`、`NotStartsWith` 或 `NotEndsWith` 明确匹配事件字段的开头或结尾。

      1. 从下面的字段中选择。
         + **`readOnly`**：`readOnly`可以设置为**等于**值 `true` 或 `false`。当它设置为 `false` 时，事件数据存储将记录只写管理事件。只读管理事件是不会更改资源状态的事件，例如 `Get*` 或 `Describe*` 事件。写入事件可添加、更改或删除资源、属性或构件，例如 `Put*`、`Delete*` 或 `Write*` 事件。要同时记录**读取**和**写入**事件，请勿添加 `readOnly` 选择器。
         + **`eventName`**：`eventName`可以使用任何运算符。您可以使用它来包含或排除任何管理事件，例如 `CreateAccessPoint` 或 `GetAccessPoint`。
         + **`userIdentity.arn`**：包含或排除特定 IAM 身份所采取操作的事件。有关更多信息，请参阅 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
         + **`sessionCredentialFromConsole`**— 包括或排除源自 AWS 管理控制台 会话的事件。可以将此字段设置为**等于**或**不等于**值 `true`。
         + **`eventSource`**：可以使用它来包含或排除特定的事件源。`eventSource` 通常为服务名称的简短形式，不含空格但会加上 `.amazonaws.com`。例如，可以设置 `eventSource` **等于** `ec2.amazonaws.com`，以便仅记录 Amazon EC2 管理事件。
         + **`eventType`**：要包括或排除的 [eventType](cloudtrail-event-reference-record-contents.md#ct-event-type)。例如，可以将此字段设置为**不等于** `AwsServiceEvent`，以排除 [AWS 服务 事件](non-api-aws-service-events.md)。

      1. 对于每个字段，请选择 **\$1 条件**以根据需要添加任意数量的条件，所有条件总共可有最多 500 个指定值。

         有关如何 CloudTrail 评估多个条件的信息，请参阅[如何 CloudTrail 评估一个字段的多个条件](filtering-data-events.md#filtering-data-events-conditions)。
**注意**  
对于事件数据存储上的所有选择器，最多可以有 500 个值。这包括选择器的多个值的数组，例如 `eventName`。如果所有选择器均为单个值，则最多可以向选择器添加 500 个条件。

      1. 根据需要，选择 **\$1 字段**以添加其他字段。为了避免错误，请不要为字段设置冲突或重复的值。

   1. 或者，展开 **JSON 视图**将您的高级事件选择器作为 JSON 数据块查看。

1. 选择**启用 Insights 事件捕获**。

1. 选择将记录 Insights 事件的目标事件存储。目标事件数据存储将根据该事件数据存储中的管理事件活动收集 Insights 事件。有关如何创建目标事件数据存储的信息，请参阅[要创建记录 Insights 事件的目标事件数据存储](#query-event-data-store-insights-procedure)。

1. 选择 Insights 类型。您可以选择 **API 调用率**、**API 错误率**或同时选择此两者。您必须记录**写入**管理事件，以针对 **API 调用率**记录 Insights 事件。您必须记录**读取**或**写入**管理事件，以针对 **API 错误率**记录 Insights 事件。

1. 选择**下一步**，以通过添加资源标签键和 IAM 全局条件键来丰富您的事件。

1. 在**丰富事件**中，最多可以添加 50 个资源标签键和 50 个 IAM 全局条件键，以提供有关事件的更多元数据。这有助于您对相关事件进行分类和分组。

   如果您添加资源标签密钥，则 CloudTrail 将包括与 API 调用中涉及的资源关联的选定标签密钥。与已删除资源相关的 API 事件将没有资源标签。

   如果您添加 IAM 全局条件密钥，则CloudTrail 将包含有关在授权过程中评估的所选条件密钥的信息，包括有关委托人、会话、网络和请求本身的其他详细信息。

   有关资源标签键和 IAM 全局条件键的信息显示在事件的 `eventContext` 字段中。有关更多信息，请参阅 [通过添加资源标签密钥和 IAM 全局条件键来丰富 CloudTrail 事件](cloudtrail-context-events.md)。
**注意**  
如果活动包含不属于事件区域的资源， CloudTrail 则不会为该资源填充标签，因为标签检索仅限于事件区域。

1. 选择**扩展事件大小**，将事件有效载荷从 256 KB 扩展到 1 MB。当您添加资源标签键或 IAM 全局条件键时，此选项会自动启用，以确保添加的所有键都包含在事件中。

   扩展事件大小有助于分析事件和对事件进行故障排除，因为只要事件有效载荷小于 1 MB，它就支持您查看以下字段的完整内容：
   + `annotation`
   + `requestID`
   + `additionalEventData`
   + `serviceEventDetails`
   + `userAgent`
   + `errorCode`
   + `responseElements`
   + `requestParameters`
   + `errorMessage`

   有关这些字段的更多信息，请参阅[CloudTrail 记录内容](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html)。

1. 选择**下一步**以查看您的选择。

1. 在**查看并创建**页面上，审核您的选择。选择**编辑**以对这节进行更改。当您准备好创建事件数据存储时，选择**创建事件数据存储**。

1. 在**事件数据存储**页面上的**事件数据存储**表中可以看到新的事件数据存储。

   从现在开始，事件数据存储将捕获与其高级事件选择器匹配的事件。首次在源事件数据存储上启用 CloudTrail Insights 后，最多 CloudTrail 可能需要 7 天才能开始交付 Insights 事件，前提是在此期间检测到异常活动。

   您可以查看 CloudTrail Lake 仪表板以可视化目标事件数据存储中的 Insights 事件。有关 Lake 控制面板的更多信息，请参阅[CloudTrail 湖泊仪表板](lake-dashboard.md)。

在 Lake 中 CloudTrail 收取 Insights 事件需要支付额外费用。如果您同时为跟踪和事件数据存储启用 Insights，则需要单独付费。有关 CloudTrail 定价的信息，请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。

# 使用控制台为配置项创建事件数据存储
<a name="query-event-data-store-config"></a>

**注意**  
AWS CloudTrail 从 2026 年 5 月 31 日起，Lake 将不再向新客户开放。如果您想使用 CloudTrail Lake，请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息，请参阅 [CloudTrail 湖泊可用性变更](cloudtrail-lake-service-availability-change.md)。

您可以创建事件数据存储以包含 [AWS Config 配置项目](https://docs.aws.amazon.com/config/latest/developerguide/config-concepts.html#config-items)，并使用事件数据存储来调查对生产环境的不合规更改。通过事件数据存储，您可以将不合规的规则与跟更改相关的用户和资源关联起来。配置项目表示您的账户中存在的受支持 AWS 资源的属性的 point-in-time视图。 AWS Config 每当它检测到正在记录的资源类型发生变化时，都会创建一个配置项目。 AWS Config 还会在捕获配置快照时创建配置项目。

您可以同时使用 AWS Config 和 CloudTrail Lake 来对您的配置项目运行查询。您可以使用 AWS Config 基于单个 AWS 账户 和或多个账户和 AWS 区域区域的配置属性查询 AWS 资源的当前配置状态。相比之下，您可以使用 CloudTrail Lake 跨不同的数据源进行查询，例如 CloudTrail 事件、配置项目和规则评估。 CloudTrail Lake 查询涵盖所有 AWS Config 配置项目，包括资源配置和合规性历史记录。

为配置项目创建事件数据存储不会影响现有的 AWS Config 高级查询或任何已配置的 AWS Config 聚合器。您可以继续使用运行高级查询 AWS Config，并 AWS Config 继续将历史文件传送到您的 S3 存储桶。

CloudTrail 湖泊事件数据存储会产生费用。创建事件数据存储时，您可以选择要用于事件数据存储的[定价选项](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)。定价选项决定了摄取和存储事件的成本，以及事件数据存储的默认和最长保留期。有关 CloudTrail 定价和管理 Lake 成本的信息，请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)和[管理 CloudTrail 湖泊成本](cloudtrail-lake-manage-costs.md)。

## 限制
<a name="query-event-data-store-config-limitations"></a>

以下限制适用于配置项目的事件数据存储。
+ 不支持自定义配置项目
+ 不支持使用高级事件选择器筛选事件

## 先决条件
<a name="query-event-data-store-config-prerequisites"></a>

在创建事件数据存储之前，请为所有账户和地区设置 AWS Config 记录。您可以使用 [“快速设置”](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-config.html)（一项功能）来快速创建由提供支持的配置记录器 AWS Config。 AWS Systems Manager

**注意**  
 AWS Config 开始记录配置时，您需要支付服务使用费。有关定价的更多信息，请参阅 [AWS Config 定价](https://aws.amazon.com/config/pricing/)。有关管理配置记录器的信息，请参阅*《AWS Config 开发人员指南》*中的[管理配置记录器](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)。  


此外，建议执行以下操作，但这些操作不是创建事件数据存储所必需的。
+  设置 Amazon S3 桶以接收配置快照（按需）和配置历史记录。有关快照的更多信息，请参阅*《AWS Config 开发人员指南》*中的 [Managing the Delivery Channel](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html)（管理传送通道）和 [Delivering Configuration Snapshot to an Amazon S3 Bucket](https://docs.aws.amazon.com/config/latest/developerguide/deliver-snapshot-cli.html)（将配置快照传送到 Amazon S3 桶）。
+  指定要 AWS Config 用来评估所记录资源类型的合规性信息的规则。 CloudTrail Lake 的几个 Lake 示例查询 AWS Config AWS Config 规则 需要评估 AWS 资源的合规性状态。有关更多信息 AWS Config 规则，请参阅《*AWS Config 开发人员指南》 AWS Config 规则*中的[使用评估资源](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)。

## 为配置项目创建事件数据存储
<a name="create-config-event-data-store"></a>

1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台，网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。

1.  在导航窗格中，在 **Lake** 下，选择**事件数据存储**。

1. 选择**创建事件数据存储**。

1. 在 **Configure event data store**（配置事件数据存储）页面上的 **General details**（一般细节）中，输入事件数据存储的名称。名字是必填的。

1. 选择您要用于事件数据存储的**定价选项**。定价选项决定了摄取和存储事件的成本，以及您的事件数据存储的默认和最长保留期。有关更多信息，请参阅 [AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/) 和[管理 CloudTrail 湖泊成本](cloudtrail-lake-manage-costs.md)。

   可用选项如下：
   + **一年可延期保留定价**：如果您希望每月摄取的事件数据少于 25TB，并且想要灵活的保留期（最长 10 年），一般建议采用此选项。在前 366 天（默认保留期）内，存储包含在摄取定价中，没有额外收费。366 天后，可以按 pay-as-you-go定价延长保留期。这是默认选项。
     + **默认保留期：**366 天
     + **最长保留期：**3653 天
   + **七年期保留定价**：如果您希望每月摄取的事件数据大于 25TB，并且需要最长 7 年的保留期，则建议采用此选项。保留包含在摄取定价中，没有额外费用。
     + **默认保留期：**2557 天
     + **最长保留期：**2557 天

1. 指定事件数据存储的保留期。**一年可延期保留定价**选项的保留期可以介于 7 天到 3653 天（大约 10 年）之间，**七年期保留定价**选项的保留期可以介于 7 天到 2557 天（约七年）之间。

    CloudTrail Lake 通过检查事件是否在`eventTime`指定的保留期内来确定是否保留该事件。例如，如果您将保留期指定为 90 天，`eventTime`则 CloudTrail 会删除超过 90 天的事件。

1. （可选）要使用启用加密 AWS Key Management Service，请选择**使用我自己的**加密 AWS KMS key。选择 “**新**建” 为您 AWS KMS key 创建，或选择 “**现有” 以使用现**有 KMS 密钥。在**输入 KMS 别**名中，按格式指定别名`alias/`*MyAliasName*。使用您自己的 KMS 密钥需要编辑您的 KMS 密钥策略，以允许加密和解密您的事件数据存储。有关更多信息，请参阅[为以下各项配置 AWS KMS 密钥策略 CloudTrail](create-kms-key-policy-for-cloudtrail.md)。 CloudTrail 还支持 AWS KMS 多区域密钥。有关多区域密钥的更多信息，请参阅 *AWS Key Management Service 开发人员指南*中的[使用多区域密钥](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)。

   使用自己的 KMS 密钥会产生加密和解密 AWS KMS 费用。在将事件数据存储与 KMS 密钥关联后，将无法移除或更改 KMS 密钥。
**注意**  
要为组织事件数据存储启用 AWS Key Management Service 加密，必须使用管理账户的现有 KMS 密钥。

1. （可选）如果您想使用 Amazon Athena 对事件数据进行查询，请在 **Lake 查询联合身份验证**中选择**启用**。通过联合身份验证，您可以在 AWS Glue [数据目录](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)中查看与事件数据存储相关的元数据，并在 Athena 中对事件数据运行 SQL 查询。存储在 AWS Glue 数据目录中的表元数据让 Athena 查询引擎知道如何查找、读取和处理您要查询的数据。有关更多信息，请参阅 [联合事件数据存储](query-federation.md)。

   要启用 Lake 查询联合身份验证，请选择**启用**，然后执行以下操作：

   1. 选择是要创建新角色还是使用现有 IAM 角色。[AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) 使用此角色管理联合事件数据存储的权限。使用 CloudTrail 控制台创建新角色时， CloudTrail 会自动创建一个具有所需权限的角色。如果您选择现有角色，请确保该角色的策略提供[所需的最低权限](query-federation.md#query-federation-permissions-role)。

   1. 如果您在创建新角色，请输入名称来标识该角色。

   1. 如果您使用现有角色，请选择要使用的角色。该角色必须存在于您的 账户中。

1. （可选）选择**启用资源策略**以向您的事件数据存储添加基于资源的策略。基于资源的策略可让您控制哪些主体可以对您的事件数据存储执行操作。例如，您可以添加基于资源的策略，允许其他账户中的根用户查询此事件数据存储并查看查询结果。有关示例策略，请参阅 [事件数据存储的基于资源的策略示例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)。

   基于资源的策略包括一个或多个语句。策略中的每条语句都定义了支持或拒绝访问事件数据存储的[主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)以及主体可以对事件数据存储资源执行的操作。

   事件数据存储的基于资源的策略支持以下操作：
   +  `cloudtrail:StartQuery` 
   +  `cloudtrail:CancelQuery` 
   +  `cloudtrail:ListQueries` 
   +  `cloudtrail:DescribeQuery` 
   +  `cloudtrail:GetQueryResults` 
   +  `cloudtrail:GenerateQuery` 
   +  `cloudtrail:GenerateQueryResultsSummary` 
   +  `cloudtrail:GetEventDataStore` 

   对于[组织事件数据存储](cloudtrail-lake-organizations.md)， CloudTrail 创建[基于资源的默认策略，该策略](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)列出了允许委派管理员帐户对组织事件数据存储执行的操作。此策略中的权限来自 AWS Organizations中的委派管理员权限。在组织事件数据存储或组织发生更改后（例如，注册或删除了 CloudTrail 委托管理员帐户），此策略会自动更新。

1. （可选）在 **Tags**（标签）部分中，您最多可以添加 50 个标签键对，以帮助您对事件数据存储的访问进行识别、排序和控制。要详细了解如何使用 IAM 策略以根据标签授权对事件数据存储的访问，请参阅[示例：拒绝基于标签创建或删除事件数据存储的访问权限](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags)。有关如何在中使用标签的更多信息 AWS，请参阅《[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*用户指南》中的为 AWS 资源添加标签*。

1. 选择**下一步**。

1. 在**选择事件**页面上，选择 **AWS 事件**，然后选择**配置项目**。

1. CloudTrail 将事件数据存储资源存储在您创建该资源的区域中，但默认情况下，在数据存储中收集的配置项目来自您账户中所有启用了录制的区域。（可选）您可以选择 **Include only the current region in my event data store**（在我的事件数据存储中仅包含当前区域），以便仅包含在当前区域中捕获的配置项目。如果不选择此选项，则您的事件数据存储将包含所有已启用记录的所在区域中的配置项目。

1. 要让您的事件数据存储收集组织中所有账户的配置项目，请选择 “**为我的 AWS Organizations 组织中的所有帐户启用**”。您必须登录到组织的管理账户或委托管理员账户，才能创建为组织收集配置项目的事件数据存储。

1. 选择 **Next**（下一步）以查看您的选择。

1. 在**查看并创建**页面上，审核您的选择。选择**编辑**以对这节进行更改。当您准备好创建事件数据存储时，选择**创建事件数据存储**。

1. 在**事件数据存储**页面上的**事件数据存储**表中可以看到新的事件数据存储。

   从此时开始，事件数据存储将捕获配置项目。在创建事件数据存储之前出现的配置项目不会在该事件数据存储中。

## 配置项目架构
<a name="query-event-data-store-config-schema"></a>

下表描述了与配置项目记录中的架构元素相匹配的必需和可选架构元素。的`eventData`内容由您的配置项目提供；其他字段由摄取 CloudTrail 后提供。

CloudTrail 中对事件记录内容进行了更详细的描述[CloudTrail 记录管理、数据和网络活动事件的内容](cloudtrail-event-reference-record-contents.md)。
+ [摄取 CloudTrail 后提供的字段](#fields-cloudtrail-event)
+ [由您的事件提供的字段](#fields-config)<a name="fields-cloudtrail-event"></a>


**摄取 CloudTrail 后提供的字段**  

| 字段名称 | 输入类型 | 要求 | 说明 | 
| --- | --- | --- | --- | 
| eventVersion | 字符串 | 必需 |   AWS 事件格式的版本。  | 
| eventCategory | 字符串 | 必需 |  事件类别。对于配置项目，有效值为 `ConfigurationItem`。  | 
| eventType | 字符串 | 必需 |  事件类型。对于配置项目，有效值为 `AwsConfigurationItem`。  | 
| eventID | 字符串 | 必需 |  事件的唯一 ID。  | 
| eventTime |  字符串  | 必需 |  采用通用协调时间（UTC）的事件时间戳，格式为 `yyyy-MM-DDTHH:mm:ss`。  | 
| awsRegion | 字符串 | 必需 |   AWS 区域 要将事件分配给哪个。  | 
| recipientAccountId | 字符串 | 必需 |  表示收到此事件的 AWS 账户 ID。  | 
| 附录 |  附录  | 可选 |  显示有关事件延迟原因的信息。如果现有事件中缺少信息，则附录块将包含缺失的信息，以及缺失信息的原因。  | <a name="fields-config"></a>


**`eventData` 中的字段由您的配置项目提供**  

| 字段名称 | 输入类型 | 要求 | 说明 | 
| --- | --- | --- | --- | 
| eventData |  -  | 必需 | eventData 中的字段由您的配置项目提供。 | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/query-event-data-store-config.html)  | 字符串 | 可选 |  来自其来源的配置项目的版本。  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/query-event-data-store-config.html)  | 字符串 | 可选 |  开始配置记录的时间。  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/query-event-data-store-config.html)  | 字符串 | 可选 |  配置项目状态。有效值为 `OK`、`ResourceDiscovered`、`ResourceNotRecorded`、` ResourceDeleted` 和 `ResourceDeletedNotRecorded`。  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/query-event-data-store-config.html)  | 字符串 | 可选 |  与资源关联 AWS 账户 的 12 位数字 ID。  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/query-event-data-store-config.html)  | 字符串 | 可选 |   AWS 资源的类型。有关有效资源类型的更多信息，请参阅 *AWS Config API 参考[ConfigurationItem](https://docs.aws.amazon.com/config/latest/APIReference/API_ConfigurationItem.html)*中的。  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/query-event-data-store-config.html)  | 字符串 | 可选 |  资源的 ID（例如.，sg-*xxxxxx*）。  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/query-event-data-store-config.html)  | 字符串 | 可选 |  资源的自定义名称（如果可用）。  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/query-event-data-store-config.html)  | 字符串 | 可选 |  与资源关联的 Amazon 资源名称（ARN）。  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/query-event-data-store-config.html)  |  字符串  | 可选 |  资源 AWS 区域 所在的位置。  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/query-event-data-store-config.html)  |  字符串  | 可选 |  与资源关联的可用区。  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/query-event-data-store-config.html)  |  字符串  | 可选 |  创建资源时的时间戳。  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/query-event-data-store-config.html)  |  JSON  | 可选 |  资源配置的描述。  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/query-event-data-store-config.html)  |  JSON  | 可选 |  为某些资源类型 AWS Config 返回的配置属性，用于补充为配置参数返回的信息。  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/query-event-data-store-config.html)  |  字符串  | 可选 |   CloudTrail 活动清单 IDs。  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/query-event-data-store-config.html)  | - | 可选 |  相关 AWS 资源列表。  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/query-event-data-store-config.html)  |  字符串  | 可选 |  与相关资源的关系的类型。  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/query-event-data-store-config.html)  |  字符串  | 可选 |  相关资源的资源类型。  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/query-event-data-store-config.html)  |  字符串  | 可选 |  相关资源的 ID（例如，sg-*xxxxxx*）。  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/query-event-data-store-config.html)  |  字符串  | 可选 |  相关资源的自定义名称（如果可用）。  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/query-event-data-store-config.html)  |  JSON  | 可选 |  与资源关联的键值标签的映射。  | 

以下示例显示了与配置项目记录中的架构元素匹配的架构元素的层次结构。

```
{
  "eventVersion": String,
  "eventCategory: String,
  "eventType": String,
  "eventID": String,
  "eventTime": String,
  "awsRegion": String,
  "recipientAccountId": String,
  "addendum": Addendum,
  "eventData": {
      "configurationItemVersion": String,
      "configurationItemCaptureTime": String,
      "configurationItemStatus": String,
      "configurationStateId": String,
      "accountId": String,
      "resourceType": String,
      "resourceId": String,
      "resourceName": String,
      "arn": String,
      "awsRegion": String, 
      "availabilityZone": String,
      "resourceCreationTime": String,
      "configuration": {
        JSON,
      },
      "supplementaryConfiguration": {
        JSON,
      },
      "relatedEvents": [
        String
      ],
      "relationships": [
        struct{
          "name" : String,
          "resourceType": String,
          "resourceId": String,
          "resourceName": String
        }
      ],
     "tags": {
       JSON
     }
    }
  }
}
```

# 使用控制台为外部的事件创建事件数据存储 AWS
<a name="event-data-store-integration-events"></a>

**注意**  
AWS CloudTrail 从 2026 年 5 月 31 日起，Lake 将不再向新客户开放。如果您想使用 CloudTrail Lake，请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息，请参阅 [CloudTrail 湖泊可用性变更](cloudtrail-lake-service-availability-change.md)。

您可以创建事件数据存储以包含外部的事件 AWS，然后使用 CloudTrail Lake 搜索、查询和分析应用程序中记录的数据。

您可以使用 La CloudTrail ke *集成*来记录和存储来自外部的用户活动数据 AWS；这些数据来自混合环境中的任何来源，例如本地或云端托管的内部或 SaaS 应用程序、虚拟机或容器。

在为集成创建事件数据存储时，您还会创建一个通道，并将资源策略附加到该通道。

CloudTrail 湖泊事件数据存储会产生费用。创建事件数据存储时，您可以选择要用于事件数据存储的[定价选项](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)。定价选项决定了摄取和存储事件的成本，以及事件数据存储的默认和最长保留期。有关 CloudTrail 定价和管理 Lake 成本的信息，请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)和[管理 CloudTrail 湖泊成本](cloudtrail-lake-manage-costs.md)。

## 为之外的事件创建事件数据存储 AWS
<a name="event-data-store-integration-events-procedure"></a>

1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台，网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。

1.  在导航窗格中，在 **Lake** 下，选择**事件数据存储**。

1. 选择**创建事件数据存储**。

1. 在 **Configure event data store**（配置事件数据存储）页面上的 **General details**（一般细节）中，输入事件数据存储的名称。名字是必填的。

1. 选择您要用于事件数据存储的**定价选项**。定价选项决定了摄取和存储事件的成本，以及您的事件数据存储的默认和最长保留期。有关更多信息，请参阅 [AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/) 和[管理 CloudTrail 湖泊成本](cloudtrail-lake-manage-costs.md)。

   可用选项如下：
   + **一年可延期保留定价**：如果您希望每月摄取的事件数据少于 25TB，并且想要灵活的保留期（最长 10 年），一般建议采用此选项。在前 366 天（默认保留期）内，存储包含在摄取定价中，没有额外收费。366 天后，可以按 pay-as-you-go定价延长保留期。这是默认选项。
     + **默认保留期：**366 天
     + **最长保留期：**3653 天
   + **七年期保留定价**：如果您希望每月摄取的事件数据大于 25TB，并且需要最长 7 年的保留期，则建议采用此选项。保留包含在摄取定价中，没有额外费用。
     + **默认保留期：**2557 天
     + **最长保留期：**2557 天

1. 指定事件数据存储的保留期。**一年可延期保留定价**选项的保留期可以介于 7 天到 3653 天（大约 10 年）之间，**七年期保留定价**选项的保留期可以介于 7 天到 2557 天（约七年）之间。

    CloudTrail Lake 通过检查事件是否在`eventTime`指定的保留期内来确定是否保留该事件。例如，如果您将保留期指定为 90 天，`eventTime`则 CloudTrail 会删除超过 90 天的事件。

1. （可选）要使用启用加密 AWS Key Management Service，请选择**使用我自己的**加密 AWS KMS key。选择 “**新**建” 为您 AWS KMS key 创建，或选择 “**现有” 以使用现**有 KMS 密钥。在**输入 KMS 别**名中，按格式指定别名`alias/`*MyAliasName*。使用您自己的 KMS 密钥需要编辑您的 KMS 密钥策略，以允许加密和解密您的事件数据存储。有关更多信息，请参阅[为以下各项配置 AWS KMS 密钥策略 CloudTrail](create-kms-key-policy-for-cloudtrail.md)。 CloudTrail 还支持 AWS KMS 多区域密钥。有关多区域密钥的更多信息，请参阅 *AWS Key Management Service 开发人员指南*中的[使用多区域密钥](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)。

   使用自己的 KMS 密钥会产生加密和解密 AWS KMS 费用。在将事件数据存储与 KMS 密钥关联后，将无法移除或更改 KMS 密钥。
**注意**  
要为组织事件数据存储启用 AWS Key Management Service 加密，必须使用管理账户的现有 KMS 密钥。

1. （可选）如果您想使用 Amazon Athena 对事件数据进行查询，请在 **Lake 查询联合身份验证**中选择**启用**。通过联合身份验证，您可以在 AWS Glue [数据目录](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)中查看与事件数据存储相关的元数据，并在 Athena 中对事件数据运行 SQL 查询。存储在 AWS Glue 数据目录中的表元数据让 Athena 查询引擎知道如何查找、读取和处理您要查询的数据。有关更多信息，请参阅 [联合事件数据存储](query-federation.md)。

   要启用 Lake 查询联合身份验证，请选择**启用**，然后执行以下操作：

   1. 选择是要创建新角色还是使用现有 IAM 角色。[AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) 使用此角色管理联合事件数据存储的权限。使用 CloudTrail 控制台创建新角色时， CloudTrail 会自动创建一个具有所需权限的角色。如果您选择现有角色，请确保该角色的策略提供[所需的最低权限](query-federation.md#query-federation-permissions-role)。

   1. 如果您在创建新角色，请输入名称来标识该角色。

   1. 如果您使用现有角色，请选择要使用的角色。该角色必须存在于您的 账户中。

1. （可选）选择**启用资源策略**以向您的事件数据存储添加基于资源的策略。基于资源的策略可让您控制哪些主体可以对您的事件数据存储执行操作。例如，您可以添加基于资源的策略，允许其他账户中的根用户查询此事件数据存储并查看查询结果。有关示例策略，请参阅 [事件数据存储的基于资源的策略示例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)。

   基于资源的策略包括一个或多个语句。策略中的每条语句都定义了支持或拒绝访问事件数据存储的[主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)以及主体可以对事件数据存储资源执行的操作。

   事件数据存储的基于资源的策略支持以下操作：
   +  `cloudtrail:StartQuery` 
   +  `cloudtrail:CancelQuery` 
   +  `cloudtrail:ListQueries` 
   +  `cloudtrail:DescribeQuery` 
   +  `cloudtrail:GetQueryResults` 
   +  `cloudtrail:GenerateQuery` 
   +  `cloudtrail:GenerateQueryResultsSummary` 
   +  `cloudtrail:GetEventDataStore` 

   对于[组织事件数据存储](cloudtrail-lake-organizations.md)， CloudTrail 创建[基于资源的默认策略，该策略](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)列出了允许委派管理员帐户对组织事件数据存储执行的操作。此策略中的权限来自 AWS Organizations中的委派管理员权限。在组织事件数据存储或组织发生更改后（例如，注册或删除了 CloudTrail 委托管理员帐户），此策略会自动更新。

1. （可选）在 **Tags**（标签）部分中，您最多可以添加 50 个标签键对，以帮助您对事件数据存储的访问进行识别、排序和控制。要详细了解如何使用 IAM 策略以根据标签授权对事件数据存储的访问，请参阅[示例：拒绝基于标签创建或删除事件数据存储的访问权限](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags)。有关如何在中使用标签的更多信息 AWS，请参阅《[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*用户指南》中的为 AWS 资源添加标签*。

1.  选择**下一步**以配置事件数据存储。

1.  在 **Choose events**（选择事件）页面上，选择 **Events from integrations**（来自集成的事件）。

1.  在 **Events from integration**（来自集成的事件）中，选择来源以将事件传送到事件数据存储。

1. 提供一个名称，用于标识集成的通道。该名称可以包含 3-128 个字符。只允许使用字母、数字、句点、下划线和短划线。

1. 在 **Resource policy**（资源策略）中，为集成的通道配置资源策略。资源策略是 JSON 策略文档，它们指定了指定主体可在资源上执行的操作，以及在什么条件下执行操作。在资源策略中定义为主体的账户可以调用 `PutAuditEvents` API，以向您的通道传送事件。如果资源所有者的 IAM policy 允许 `cloudtrail-data:PutAuditEvents` 操作，则资源所有者将拥有对资源的隐式访问权限。

   该策略所需的信息由集成类型决定。对于方向集成， CloudTrail 会自动添加合作伙伴的 AWS 账户 IDs，并要求您输入合作伙伴提供的唯一外部 ID。对于解决方案集成，您必须将至少一个 AWS 账户 ID 指定为委托人，并且可以选择输入外部 ID 以防止副手感到困惑。
**注意**  
如果您没有为通道创建资源策略，则只有通道所有者可以针对该通道调用 `PutAuditEvents` API。

   1. 对于直接集成，请输入您的合作伙伴提供的外部 ID。集成合作伙伴将提供唯一的外部 ID（如账户 ID 或随机生成的字符串）用于集成，以防范混淆代理。合作伙伴负责创建和提供唯一的外部 ID。

       您可以选择 **How to find this?**（如何查找？），以查看描述如何查找外部 ID 的合作伙伴文档。  
![\[外部 ID 的合作伙伴文档\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/integration-external-id.png)
**注意**  
如果资源策略包括外部 ID，则针对 `PutAuditEvents` API 的所有调用都必须包括该外部 ID。但是，如果策略未定义外部 ID，合作伙伴仍然可以调用 `PutAuditEvents` API，并指定 `externalId` 参数。

   1.  对于解决方案集成，请选择**添加 AWS 账户**以指定要作为委托人添加到策略中的每个 AWS 账户 ID。

1. 选择**下一步**以查看您的选择。

1. 在**查看并创建**页面上，审核您的选择。选择**编辑**以对这节进行更改。当您准备好创建事件数据存储时，选择**创建事件数据存储**。

1. 在**事件数据存储**页面上的**事件数据存储**表中可以看到新的事件数据存储。

1. 向合作伙伴应用程序提供通道 Amazon 资源名称（ARN）。有关向合作伙伴应用程序提供通道 ARN 的说明，可在合作伙伴文档网站上找到。有关更多信息，请在 **Integrations**（集成）页面的 **Available sources**（可用来源）选项卡上，选择与合作伙伴相对应的 **Learn more**（了解更多）链接，以便在 AWS Marketplace中打开合作伙伴的页面。

当您、合作伙伴或合作伙伴应用程序在渠道上调用 `PutAuditEvents` API 时，事件数据存储会开始 CloudTrail 通过集成的渠道将合作伙伴事件提取到该渠道中。

# 使用控制台更新事件数据存储
<a name="query-event-data-store-update"></a>

**注意**  
AWS CloudTrail 从 2026 年 5 月 31 日起，Lake 将不再向新客户开放。如果您想使用 CloudTrail Lake，请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息，请参阅 [CloudTrail 湖泊可用性变更](cloudtrail-lake-service-availability-change.md)。

本部分介绍如何使用 AWS 管理控制台更新事件数据存储的设置。有关如何使用更新事件数据存储的信息 AWS CLI，请参阅[使用更新事件数据存储 AWS CLI](lake-cli-update-eds.md)。

**要更新事件数据存储**

1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台，网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。

1. 在导航窗格中，在 **Lake** 下，选择**事件数据存储**。

1. 选择要更新的事件数据存储。此操作会打开事件数据存储的详细信息页面。

1. 在**一般详细信息**中，选择**编辑**以更改以下设置：
   + **事件数据存储名称**：更改用于标识事件数据存储的名称。
   + **[定价选项](cloudtrail-lake-concepts.md#eds-pricing-tier)**：对于使用**七年期保留定价**选项的事件数据存储，您可以选择改用**一年可延期保留定价**。对于每月摄取的事件数据少于 25TB 的事件数据存储，我们建议采用一年可延期保留定价。如果您在寻求最长 10 年的灵活保留期，我们也建议您采用一年可延期保留定价。有关更多信息，请参阅 [AWS CloudTrail Pricing](https://aws.amazon.com/cloudtrail/pricing/) 和[管理 CloudTrail 湖泊成本](cloudtrail-lake-manage-costs.md)。
**注意**  
对于使用**一年可延期保留定价**的事件数据存储，您无法更改定价选项。如果您想使用**七年期保留定价**，请[停止在当前事件数据存储上进行摄取](query-eds-stop-ingestion.md)。然后使用**七年期保留定价**选项创建新的事件数据存储。
   + **保留期**：更改事件数据存储的保留期。保留期决定事件数据在事件数据存储中保存的时长。**一年可延期保留定价**选项的保留期可以介于 7 天到 3653 天（大约 10 年）之间，**七年期保留定价**选项的保留期可以介于 7 天到 2557 天（约七年）之间。
**注意**  
如果您缩短了事件数据存储的保留期，则 CloudTrail 会删除所有保留期`eventTime`早于新保留期的事件。例如，如果之前的保留期为 365 天，而您将其缩短为 100 天，则 CloudTrail 会移除`eventTime`超过 100 天的事件。
   + **加密**：要使用自己的 KMS 密钥加密您的事件数据存储，请选择**使用我自己的 AWS KMS key**。默认情况下，事件数据存储中的所有事件都由加密 CloudTrail。使用自己的 KMS 密钥会产生加密和解密 AWS KMS 费用。
**注意**  
在将事件数据存储与 KMS 密钥关联后，将无法移除或更改 KMS 密钥。
   + 要仅包含在当前 AWS 区域中记录的事件，请选择**在我的事件数据存储中仅包含在当前区域中**。如果不选择此选项，则您的事件数据存储将包含来自所有区域的事件。
   + 要让您的事件数据存储收集组织中所有账户的事件，请**为我的 AWS Organizations 组织中的所有账户选择 “启用**”。只有当您使用组织的管理帐户登录并且事件数据存储**的事件类型为**CloudTrail事件****或**配置项目**时，此选项才可用。

   完成后，选择**保存更改**。

1. 在 **Lake 查询联合身份验证**中，选择**编辑**以启用或禁用 Lake 查询联合身份验证。[启用 Lake 查询联合](query-enable-federation.md)功能可让您在数据[目录中查看事件数据存储的元 AWS Glue 数据](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)，并使用 Amazon Athena 对事件数据运行 SQL 查询。[禁用 Lake 查询联合功能会](query-disable-federation.md)禁用与 AWS Glue AWS Lake Formation、和 Amazon Athena 的集成。禁用 Lake 查询联合身份验证后，您将无法再在 Athena 中查询数据。禁用联合后，不会删除任何 CloudTrail Lake 数据，并且您可以继续在 CloudTrail Lake 中运行查询。

   要启用联合身份验证，请执行以下操作：

   1. 请选择**启用**。

   1. 选择是创建新的 IAM 角色还是使用现有角色。创建新角色时， CloudTrail 会自动创建一个具有所需权限的角色。如果您使用现有角色，请确保该角色的策略提供[所需的最低权限](query-federation.md#query-federation-permissions-role)。

   1.  如果您在创建新的 IAM 角色，请为该角色输入名称。

   1.  如果您选择现有的 IAM 角色，请选择要使用的角色。角色必须存在于您的账户中。

   完成后选择**保存更改**。

1. 在**资源策略**中，选择**编辑**，以添加或修订事件数据存储的基于资源的策略。

   基于资源的策略可让您控制哪些主体可以对您的事件数据存储执行操作。例如，您可以添加基于资源的策略，允许其他账户中的根用户查询此事件数据存储并查看查询结果。有关示例策略，请参阅 [事件数据存储的基于资源的策略示例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)。

   基于资源的策略包括一个或多个语句。策略中的每条语句都定义了支持或拒绝访问事件数据存储的[主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)以及主体可以对事件数据存储资源执行的操作。

   事件数据存储的基于资源的策略支持以下操作：
   +  `cloudtrail:StartQuery` 
   +  `cloudtrail:CancelQuery` 
   +  `cloudtrail:ListQueries` 
   +  `cloudtrail:DescribeQuery` 
   +  `cloudtrail:GetQueryResults` 
   +  `cloudtrail:GenerateQuery` 
   +  `cloudtrail:GenerateQueryResultsSummary` 
   +  `cloudtrail:GetEventDataStore` 

   对于[组织事件数据存储](cloudtrail-lake-organizations.md)， CloudTrail 创建[基于资源的默认策略，该策略](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)列出了允许委派管理员帐户对组织事件数据存储执行的操作。此策略中的权限来自 AWS Organizations中的委派管理员权限。在组织事件数据存储或组织发生更改后（例如，注册或删除了 CloudTrail 委托管理员帐户），此策略会自动更新。

1. 编辑特定于您的事件数据存储的**事件类型**的任何其他设置。

   ** CloudTrail 活动设置**
   + 要更改您的事件数据存储的日志事件，请选择在**CloudTrail 事件**中**编辑**。
   + 在**管理事件**中，选择**编辑**以更改管理事件的设置。有关更多信息，请参阅 [更新现有事件数据存储的管理事件设置](logging-management-events-with-cloudtrail.md#logging-management-events-with-the-cloudtrail-console-eds)。
   + 在**数据事件**中，选择**编辑**以更改数据事件的设置。您可以选择要记录的资源类型，也可以选择要使用的日志选择器模板。有关更多信息，请参阅 [更新现有的事件数据存储以使用控制台记录数据事件](logging-data-events-with-cloudtrail.md#logging-data-events-with-the-cloudtrail-console-eds)。
   + 在**网络活动事件**中，选择**编辑**以更改网络活动事件的设置。您可以选择要记录的网络活动事件类型，也可以选择要使用的日志选择器模板。有关更多信息，请参阅 [更新现有事件数据存储以记录网络活动事件](logging-network-events-with-cloudtrail.md#log-network-events-lake-console)。
   + 在**丰富事件，扩展事件大小**中，选择**编辑**以添加或移除资源标签键和 IAM 全局条件键，然后扩展事件大小。

     在**丰富事件**中，最多可以添加 50 个资源标签键和 50 个 IAM 全局条件键，以提供有关事件的更多元数据。这有助于您对相关事件进行分类和分组。

     如果您添加资源标签密钥，则 CloudTrail 将包括与 API 调用中涉及的资源关联的选定标签密钥。与已删除资源相关的 API 事件将没有资源标签。

     如果您添加 IAM 全局条件密钥，则 CloudTrail 将包含有关在授权过程中评估的所选条件密钥的信息，包括有关委托人、会话、网络和请求本身的其他详细信息。

     有关资源标签键和 IAM 全局条件键的信息显示在事件的 `eventContext` 字段中。有关更多信息，请参阅 [通过添加资源标签密钥和 IAM 全局条件键来丰富 CloudTrail 事件](cloudtrail-context-events.md)。
**注意**  
如果活动包含不属于事件区域的资源， CloudTrail 则不会为该资源填充标签，因为标签检索仅限于事件区域。

     选择**扩展事件大小**，将事件有效载荷从 256 KB 扩展到 1 MB。当您添加资源标签键或 IAM 全局条件键时，此选项会自动启用，以确保添加的所有键都包含在事件中。

     扩展事件大小有助于分析事件和对事件进行故障排除，因为只要事件有效载荷小于 1 MB，它就支持您查看以下字段的完整内容：
     + `annotation`
     + `requestID`
     + `additionalEventData`
     + `serviceEventDetails`
     + `userAgent`
     + `errorCode`
     + `responseElements`
     + `requestParameters`
     + `errorMessage`

     有关这些字段的更多信息，请参阅[CloudTrail 记录内容](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html)。

     完成后，选择**保存更改**。

   **集成事件设置**

   在**集成**中，选择您的集成。然后选择**编辑**以更改以下设置：
   + 在**集成详细信息**中，更改标识集成通道的名称。
   + 在**事件传输位置**中，选择事件的目的地。
   + 在 **Resource policy**（资源策略）中，为集成的通道配置资源策略。

   完成后，选择**保存更改**。

   有关这些设置的更多信息，请参阅 [使用控制台创建与 CloudTrail 合作伙伴的集成](query-event-data-store-integration-partner.md)。

1. 要添加、更改或移除标签，请在**标签**中选择**编辑**。您最多可以添加 50 个标签键对，以帮助您对事件数据存储的访问进行识别、排序和控制。完成后，选择**保存更改**。

# 使用控制台停止和启动事件摄取
<a name="query-eds-stop-ingestion"></a>

**注意**  
AWS CloudTrail 从 2026 年 5 月 31 日起，Lake 将不再向新客户开放。如果您想使用 CloudTrail Lake，请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息，请参阅 [CloudTrail 湖泊可用性变更](cloudtrail-lake-service-availability-change.md)。

默认情况下，事件数据存储被配置为摄取事件。您可以使用控制台、 AWS CLI或来阻止事件数据存储提取事件。 APIs

“**开始摄取**” 和 “**停止摄取**” 选项仅适用于包含 CloudTrail 事件（管理事件、数据事件和网络活动事件）或配置项目的事件数据存储。 AWS Config 

当您停止对事件数据存储的摄取时，事件数据存储的状态将更改为 `STOPPED_INGESTION`。您仍然可以对事件数据存储中已存在的任何事件运行查询。您也可以将跟踪事件复制到事件数据存储中（如果它仅包含 CloudTrail 事件）。

**阻止事件数据存储摄取事件**

1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台，网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。

1. 在导航窗格中，在 **Lake** 下，选择**事件数据存储**。

1. 选择事件数据存储。

1. 在**操作**中，选择**停止摄取**。

1. 在提示您确认时，选择**停止日志记录**。事件数据存储将停止摄取实时事件。

1. 要恢复摄取，请选择**开始摄取**。

**要重新启动事件摄取**

1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台，网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。

1. 在导航窗格中，在 **Lake** 下，选择**事件数据存储**。

1. 选择事件数据存储。

1. 从**操作**中，选择**开始摄取**。

# 使用控制台更改终止保护
<a name="query-eds-termination-protection"></a>

**注意**  
AWS CloudTrail 从 2026 年 5 月 31 日起，Lake 将不再向新客户开放。如果您想使用 CloudTrail Lake，请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息，请参阅 [CloudTrail 湖泊可用性变更](cloudtrail-lake-service-availability-change.md)。

默认情况下， AWS CloudTrail Lake 中的事件数据存储配置为启用终止保护。终止保护可防止事件数据存储被意外删除。如果要删除事件数据存储，您必须禁用终止保护。您可以使用 AWS 管理控制台 AWS CLI、或 API 操作禁用终止保护。

**要关闭终止保护**

1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台，网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。

1. 在导航窗格中，在 **Lake** 下，选择**事件数据存储**。

1. 选择事件数据存储。

1. 从**操作**中，选择**更改终止保护**。

1. 选择**禁用**。

1. 选择**保存**。现在，您可以[删除事件数据存储](query-event-data-store-delete.md)。

**要开启终止保护**

1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台，网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。

1. 在导航窗格中，在 **Lake** 下，选择**事件数据存储**。

1. 选择事件数据存储。

1. 从**操作**中，选择**更改终止保护**。

1. 要开启终止保护，请选择**启用**。

1. 选择**保存**。

# 使用控制台删除事件数据存储
<a name="query-event-data-store-delete"></a>

**注意**  
AWS CloudTrail 从 2026 年 5 月 31 日起，Lake 将不再向新客户开放。如果您想使用 CloudTrail Lake，请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息，请参阅 [CloudTrail 湖泊可用性变更](cloudtrail-lake-service-availability-change.md)。

本部分介绍如何使用 CloudTrail 控制台删除事件数据存储。有关如何使用删除事件数据存储的信息 AWS CLI，请参阅[使用删除事件数据存储 AWS CLI](lake-cli-delete-eds.md)。

**注意**  
如果启用了[终止保护](query-eds-termination-protection.md)或 [Lake 查询联合身份验证](query-enable-federation.md)，则无法删除事件数据存储。默认情况下， CloudTrail 启用终止保护以防止事件数据存储被意外删除。  
要删除事件类型为**集成中的事件**的事件数据存储，必须先删除该集成的通道。您可以从集成的详细信息页面中或使用 **aws cloudtrail delete-channel** 命令删除通道。有关更多信息，请参阅 [删除频道以删除与的集成 AWS CLI](lake-cli-delete-integration.md)。

**要删除事件数据存储**

1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台，网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。

1. 在导航窗格中，在 **Lake** 下，选择**事件数据存储**。

1. 选择事件数据存储。

1. 对于**操作**，请选择**删除**。

1. 键入事件数据存储的名称以确认您要将其删除。

1. 选择**删除**。

在您删除事件数据存储后，事件数据存储的状态将更改为 `PENDING_DELETION` 并在该状态保留 7 天。在这 7 天的等待期内，您可以[恢复](query-eds-restore.md)事件数据存储。在 `PENDING_DELETION` 状态下，事件数据存储不可用于查询，除恢复操作之外，无法对事件数据存储执行其它操作。待删除的事件数据存储不会摄取事件，也不会产生成本。待删除的事件数据存储将计入一个 AWS 区域中可存在的事件数据存储配额。

# 使用控制台还原事件数据存储
<a name="query-eds-restore"></a>

**注意**  
AWS CloudTrail 从 2026 年 5 月 31 日起，Lake 将不再向新客户开放。如果您想使用 CloudTrail Lake，请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息，请参阅 [CloudTrail 湖泊可用性变更](cloudtrail-lake-service-availability-change.md)。

删除 AWS CloudTrail Lake 中的事件数据存储后，其状态将更改为该状态`PENDING_DELETION`并保持 7 天。在此期间，您可以使用 AWS 管理控制台 AWS CLI、或 [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_RestoreEventDataStore.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_RestoreEventDataStore.html)API 操作恢复事件数据存储。

本部分介绍如何使用控制台恢复事件数据存储。有关如何使用恢复事件数据存储的信息 AWS CLI，请参阅[使用恢复事件数据存储 AWS CLI](lake-cli-manage-eds.md#lake-cli-restore-eds)。

**要恢复事件数据存储**

1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台，网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。

1. 在导航窗格中，在 **Lake** 下，选择**事件数据存储**。

1. 选择事件数据存储。

1. 从**操作**中，选择**恢复**。

# 将数据从 CloudTrail 湖泊事件数据存储导出到 CloudWatch
<a name="cloudtrail-lake-export-cloudwatch"></a>

**注意**  
AWS CloudTrail 从 2026 年 5 月 31 日起，Lake 将不再向新客户开放。如果您想使用 CloudTrail Lake，请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息，请参阅 [CloudTrail 湖泊可用性变更](cloudtrail-lake-service-availability-change.md)。

将 L CloudTrail ake 数据 CloudWatch 提供给有以下几个好处：
+ **集中式日志管理**-将 CloudTrail 事件与应用程序日志、基础架构日志和其他数据源相结合 CloudWatch。
+ **简化的集 CloudWatch 成**-只需几个步骤即可完成导入过程-指定事件数据存储和数据范围。
+ **历史数据访问** ——导入 CloudTrail 湖泊历史数据，分析过去的事件以及当前的运营数据。
+ **无需额外 CloudTrail 费用**-无需额外 CloudTrail 费用即可轻松导入 La CloudTrail ke 数据。但是，如果采用 CloudWatch 低频访问自定义日志定价，则会产生费用。

本节介绍如何使用 CloudTrail控制台从事件数据存储中导出数据。有关如何通过 SDK 或执行此操作的信息 AWS CLI，请参阅[CloudWatch 文档](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/)

**从事件数据存储中导出数据**

1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台，网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。

1. 在导航窗格中，在 **Lake** 下，选择**事件数据存储**。

1. 选择事件数据存储。

1. 从 “**操作**” 中选择 “**导出至**” CloudWatch。

1. 选择要为 EDS 导出数据的时间范围。

1. 按照说明创建或提供一个 IAM 角色，该角色 CloudTrail 将用于访问您的导出数据。

1. 选择**导出**。

在将 CloudTrail Lake 数据导出到中时 CloudWatch，请考虑以下几点：
+ **定价**-虽然可以简化 CloudTrail Lake 数据的导出，无需支付额外 CloudTrail CloudWatch 费用，但您需要根据自定义日志定价付费
+ **数据保留**-确保您的 CloudTrail Lake 事件数据存储保留期涵盖您要导出的历史数据
+ **区域可用性**-请查看 CloudWatch 文档以了解此功能的支持 AWS 区域
+ **事件数据存储访问权限**-您必须有权访问要从中导出数据的事件数据存储。