本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用主控台建立、更新和管理事件資料存放區
**注意**
AWS CloudTrail Lake 自 2026 年 5 月 31 日起不再向新客戶開放。如果您想要使用 CloudTrail Lake,請在該日期之前註冊。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[CloudTrail Lake 可用性變更](cloudtrail-lake-service-availability-change.md)。
您可以使用 CloudTrail 主控台來建立、更新、刪除和還原事件資料存放區。
您可以使用 CloudTrail 主控台更新下列設定:
+ 您可以將[定價選項](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)從**七年保留定價**變更為**一年可延長保留定價**。
+ 您可以更新事件資料存放區的保留期間。保留期將決定事件資料保留在事件資料存放區中的時間長度。
+ 您可以將多區域事件資料存放區轉換為單一區域事件資料存放區,或將單一區域事件資料存放區轉換為多區域事件資料存放區。
+ AWS Organizations 組織的管理帳戶可以將帳戶層級事件資料存放區轉換為組織事件資料存放區,也可以將組織事件資料存放區轉換為帳戶層級事件資料存放區。此設定不適用於收集 外部事件的事件資料存放區 AWS。
+ 您可以啟用或停用 [Lake 查詢聯合](query-federation.md)。聯合事件資料存放區可讓您從 Amazon Athena 查詢事件資料。
+ 您可以新增或編輯事件資料存放區的資源型政策,以提供事件資料存放區的跨帳戶存取權。如需詳細資訊,請參閱[事件資料存放區的資源型政策範例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)。
+ 您可以在收集管理事件、資料事件或 AWS Config 組態項目的事件資料存放區上[停止事件擷取](query-eds-stop-ingestion.md)並重新啟動事件擷取。
+ 您可以啟用或停用[終止保護](query-eds-termination-protection.md)。啟用終止保護可防止意外刪除事件資料存放區。預設會啟用終止保護。
+ 您可以[還原](query-eds-restore.md)待刪除的事件資料存放區。
+ 您可以新增或移除標籤。您最多可以新增 50 個標籤金鑰對,以協助您識別、排序和控制事件資料存放區的存取權限。
+ 您可以新增 KMS 金鑰來加密事件資料存放區。您無法從事件資料存放區移除 KMS 金鑰。
使用 CloudTrail 主控台建立或更新事件資料存放區可提供下列優點:
+ 如果您要設定事件資料存放區來收集資料事件,則使用 CloudTrail 主控台可讓您檢視可用的資料事件資源類型。如需詳細資訊,請參閱[記錄資料事件](logging-data-events-with-cloudtrail.md)。
+ 如果您要設定事件資料存放區來收集網路活動事件,則使用 CloudTrail 主控台可讓您檢視可記錄網路活動事件的事件來源。如需詳細資訊,請參閱[記錄網路活動事件](logging-network-events-with-cloudtrail.md)。
+ 如果您要設定事件資料存放區以收集外部的事件 AWS,使用 CloudTrail 主控台可讓您檢視可用合作夥伴的相關資訊。如需詳細資訊,請參閱[AWS 使用 主控台為 外部的事件建立事件資料存放區](event-data-store-integration-events.md)。
**Topics**
+ [使用主控台為 CloudTrail 事件建立事件資料存放區](query-event-data-store-cloudtrail.md)
+ [使用主控台建立 Insights 事件的事件資料存放區](query-event-data-store-insights.md)
+ [使用主控台為組態項目建立事件資料存放區](query-event-data-store-config.md)
+ [AWS 使用 主控台為 外部的事件建立事件資料存放區](event-data-store-integration-events.md)
+ [使用主控台更新事件資料存放區](query-event-data-store-update.md)
+ [使用主控台停止和啟動事件擷取](query-eds-stop-ingestion.md)
+ [使用主控台變更終止保護](query-eds-termination-protection.md)
+ [使用主控台刪除事件資料存放區](query-event-data-store-delete.md)
+ [使用主控台還原事件資料存放區](query-eds-restore.md)
+ [從 CloudTrail Lake Event Data Store 匯出資料至 CloudWatch](cloudtrail-lake-export-cloudwatch.md)
# 使用主控台為 CloudTrail 事件建立事件資料存放區
**注意**
AWS CloudTrail Lake 自 2026 年 5 月 31 日起不再向新客戶開放。如果您想要使用 CloudTrail Lake,請在該日期之前註冊。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[CloudTrail Lake 可用性變更](cloudtrail-lake-service-availability-change.md)。
CloudTrail 事件的事件資料存放區可以包含 CloudTrail 管理事件、資料事件和網路活動事件。如果您選擇**一年可延長保留定價**選項,則可將事件資料保留在事件資料存放區中最多 3,653 天 (約 10 年);如果您選擇**七年保留定價**選項,則最多可保留 2,557 天 (約 7 年)。
CloudTrail Lake 事件資料存放區會產生費用。建立事件資料存放區時,您可以選擇要用於事件資料存放區的[定價選項](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)。此定價選項將決定擷取和儲存事件的成本,以及事件資料存放區的預設和最長保留期。如需有關 CloudTrail 定價和管理 Lake 成本的詳細資訊,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/) 和 [管理 CloudTrail Lake 成本](cloudtrail-lake-manage-costs.md)。
## 若要為 CloudTrail 事件建立事件資料存放區
使用此程序建立記錄 CloudTrail 管理事件、資料事件或網路活動事件的事件資料存放區。
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 的 CloudTrail 主控台。
1. 在導覽窗格中,選擇 **Lake** 下方的**事件資料存放區**。
1. 選擇 **Create event data store** (建立事件資料存放區)。
1. 在**設定事件資料存放區**頁面上的**一般詳細資訊**中,輸入事件資料存放區的名稱。名稱為必填。
1. 選擇您想用於事件資料存放區的**定價選項**。此定價選項將決定擷取和儲存事件的成本,以及事件資料存放區的預設和最長保留期。如需詳細資訊,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)和 [管理 CloudTrail Lake 成本](cloudtrail-lake-manage-costs.md)。
以下為可用的選項:
+ **一年可延長保留定價** – 如果您預期每月擷取的事件資料少於 25 TB,並需要長達 10 年的彈性保留期,則建議使用此選項。前 366 天 (預設保留期) 的儲存已包含在擷取定價中,無須額外付費。在 366 天之後,延長保留將依用量計費定價。此為預設選項。
+ **預設保留期:**366 天
+ **最長保留期:**3,653 天
+ **七年保留定價** – 如果您預期每月擷取的事件資料超過 25 TB,並需要長達 7 年的彈性保留期,則建議使用此選項。保留已包含在擷取定價中,無須額外付費。
+ **預設保留期:**2,557 天
+ **最長保留期:**2,557 天
1. 指定事件資料存放區的保留期。**一年可延長保留定價**選項的保留期可介於 7 天到 3,653 天 (約 10 年) 之間;或是**七年保留定價**選項,則可介於 7 天到 2,557 天 (約七年) 之間。
CloudTrail Lake 會透過檢查事件的 `eventTime` 是否在指定保留期以內,決定是否要保留該事件。例如,如果您指定的保留期為 90 天,CloudTrail 將移除 `eventTime` 早於 90 天的事件。
**注意**
如果您要將追蹤事件複製到此事件資料存放區,CloudTrail 不會複製 `eventTime` 早於指定保留期的事件。若要決定適當的保留期,請加總您要複製的最舊事件所經歷的天數與要在事件資料存放區中保留事件的天數 (**保留期** = *最舊事件所經歷天數* \$1 *保留天數*)。例如,如果您要複製的最舊事件為 45 天前的事件,並希望這些事件在事件資料存放區中再保留 45 天,則可以將保留期設為 90 天。
1. (選用) 若要使用 啟用加密 AWS Key Management Service,請選擇**使用我自己的 AWS KMS key**。選擇**新增**以為您 AWS KMS key 建立 ,或選擇**現有**以使用現有的 KMS 金鑰。在 **Enter KMS alias** (輸入 KMS 別名) 中,指定別名,格式為 `alias/`*MyAliasName*。使用您自己的 KMS 金鑰需要您編輯 KMS 金鑰政策,以允許加密和解密您的事件資料存放區。如需詳細資訊,請參閱[設定 CloudTrail 的 AWS KMS 金鑰政策](create-kms-key-policy-for-cloudtrail.md)。CloudTrail 也支援 AWS KMS 多區域金鑰。如需多區域金鑰的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的[使用多區域金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)。
使用您自己的 KMS 金鑰會產生加密和解密 AWS KMS 的成本。將事件資料存放區與 KMS 金鑰建立關聯後,就無法移除或變更 KMS 金鑰。
**注意**
若要啟用組織事件資料存放區的 AWS Key Management Service 加密,您必須使用管理帳戶的現有 KMS 金鑰。
1. (選用) 如果您想使用 Amazon Athena 查詢自己的事件資料,請在 **Lake 查詢聯合**中選擇**啟用**。聯合可讓您在 AWS Glue [Data Catalog](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) 中檢視與事件資料存放區相關聯的中繼資料,並在 Athena 中對事件資料執行 SQL 查詢。儲存在 AWS Glue Data Catalog 中的資料表中繼資料可讓 Athena 查詢引擎了解如何尋找、讀取和處理您要查詢的資料。如需詳細資訊,請參閱[聯合事件資料存放區](query-federation.md)。
若要啟用 Lake 查詢聯合,請選擇**啟用**,然後執行下列動作:
1. 選擇要建立新角色還是使用現有的 IAM 角色。[AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) 會使用此角色來管理聯合事件資料存放區的許可。當您使用 CloudTrail 主控台建立新角色時,CloudTrail 會自動建立具有必要許可的角色。如果您選擇現有角色,請確認該角色的政策可提供[必要的最低許可](query-federation.md#query-federation-permissions-role)。
1. 如果您要建立新角色,請輸入名稱以識別角色。
1. 如果您要使用現有角色,請選擇想使用的角色。該角色必須存在於您的帳戶中。
1. (選用) 選擇**啟用資源政策**,將資源型政策新增至您的事件資料存放區。資源型政策可讓您控制哪些主體可對您的事件存放區執行動作。例如,您可以新增資源型政策,允許其他帳戶中的根使用者查詢此事件資料存放區並檢視查詢結果。如需範例政策,請參閱 [事件資料存放區的資源型政策範例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)。
以資源為基礎的政策包含一或多個陳述式。政策中的每個陳述式都會定義允許或拒絕存取事件資料存放區的[委託人](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html),以及委託人可以對事件資料存放區資源執行的動作。
事件資料存放區的資源型政策支援下列動作:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
對於[組織事件資料存放區](cloudtrail-lake-organizations.md),CloudTrail 會建立[預設資源型政策](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp),列出允許委派管理員帳戶在組織事件資料存放區上執行的動作。此政策中的許可衍生自 中的委派管理員許可 AWS Organizations。此政策會在組織事件資料存放區或組織變更後自動更新 (例如,CloudTrail 委派管理員帳戶已註冊或移除)。
1. (選用) 在 **Tags** (標籤) 區段中,您最多可以新增 50 個標籤金鑰對,以協助您識別、排序和控制對事件資料存放區的存取權限。如需使用 IAM 政策,對以標籤為基礎的事件資料存放區授與存取權限的詳細資訊,請參閱[範例:拒絕以標籤為基礎建立或刪除事件資料存放區的存取權限](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags)。如需如何在 中使用標籤的詳細資訊 AWS,請參閱[《標記 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*使用者指南》中的標記 AWS 資源*。
1. 選擇 **Next** (下一步) 以設定事件資料存放區。
1. 在**選擇事件**頁面上,選擇 **AWS 事件**,然後選擇 **CloudTrail 事件**。
1. 針對 **CloudTrail events** (CloudTrail 事件),請至少選擇一種事件類型。根據預設,**管理事件**已選取。您可以將[管理事件](logging-management-events-with-cloudtrail.md)、[資料事件](logging-data-events-with-cloudtrail.md)和[網路活動事件](logging-network-events-with-cloudtrail.md)新增至事件資料存放區。
1. (選擇性) 如果您要從現有追蹤複製事件,以對過去事件執行查詢,請選擇 **Copy trail events** (複製追蹤事件)。若要將追蹤事件複製到組織事件資料存放區,您必須使用組織的管理帳戶。委派的管理員帳戶無法將追蹤事件複製到組織事件資料存放區。如需複製追蹤事件考量事項的詳細資訊,請參閱 [複製追蹤事件的考量](cloudtrail-copy-trail-to-lake-eds.md#cloudtrail-trail-copy-considerations-lake)。
1. 若要讓事件資料存放區從 AWS Organizations 組織中的所有帳戶收集事件,請選取 **Enable for all accounts in my organization** (啟用我組織中的所有帳戶)。您必須登入到組織的管理帳戶或委派的管理員帳戶,才能建立為組織收集事件的事件資料存放區。
**注意**
若要複製追蹤事件或啟用 Insights 事件,您必須登入到組織的管理帳戶。
1. 展開**其他設定**以選擇您希望事件資料存放區收集所有事件 AWS 區域,還是僅收集目前事件 AWS 區域,然後選擇事件資料存放區是否擷取事件。依預設,您的事件資料存放區會從帳戶的所有區域收集事件,而且會在建立時開始擷取事件。
1. 選取**在我的事件資料存放區中僅包含目前區域**以僅包括在目前區域中記錄的事件。如果未選擇此選項,則您的事件資料存放區將包含來自所有區域的事件。
1. 如果您不希望事件資料存放區開始擷取事件,則取消選取**擷取事件**。例如,如果您要複製追蹤事件,並且不希望事件資料存放區包含任何未來事件,您可能想要取消選取**擷取事件**。依預設,事件資料存放區會在建立時開始擷取事件。
1. 如果您的事件資料存放區包括管理事件,您可以選擇下列選項。如需有關管理事件的詳細資訊,請參閱 [記錄管理事件](logging-management-events-with-cloudtrail.md)。
1. 選擇**簡易事件集合**或**進階事件集合**:
+ 如果您想要記錄所有事件、僅記錄讀取事件或僅記錄寫入事件,請選擇**簡易事件收集**。您也可以選擇排除 AWS Key Management Service 和 Amazon RDS Data API 事件。
+ 如果您想要根據**進階事件選取器欄位的值包含或排除管理事件,包括 、、、 和 欄位,請選擇進階事件集合**。 `eventName` `eventType` `eventSource` `sessionCredentialFromConsole` `userIdentity.arn`
1. 如果您選擇**簡易事件集合**,請選擇是否要記錄所有事件、僅記錄讀取事件,或僅記錄寫入事件。您也可以選擇排除 AWS KMS 和 Amazon RDS Data API 事件。
1. 如果您選取**進階事件集合**,請進行下列選擇:
1. 在**日誌選取器範本**中,選擇預先定義的範本,或選擇**自訂**以根據進階事件選取器欄位值建置自訂組態。
您可以從下列預先定義的範本中選擇:
+ **記錄所有事件**:選擇此範本記錄所有事件。
+ **僅記錄讀取事件** – 選擇此範本以僅記錄讀取事件。唯讀事件是不會變更資源狀態的事件,例如 `Get*`或 `Describe*`事件。
+ **僅記錄寫入事件** – 選擇此範本僅記錄寫入事件。寫入事件新增、變更或刪除資源、屬性或成品,例如 `Put*`、`Delete*` 或 `Write*` 事件。
+ **僅記錄 AWS 管理主控台 事件** – 選擇此範本僅記錄源自 的事件 AWS 管理主控台。
+ **排除 AWS 服務 啟動的事件** – 選擇此範本以排除具有 `eventType`之 AWS 服務 的事件`AwsServiceEvent`,以及使用連結角色 (SLRs) AWS 服務啟動的事件。
1. (選用) 在**選取器名稱**中,輸入用於識別選取器的名稱。選擇器名稱是進階事件選擇器的描述性名稱,例如「從 AWS 管理主控台 工作階段記錄管理事件」。選取器名稱會被作為 `Name` 列在進階事件選取器中,您在展開 **JSON 檢視**時可檢視該名稱。
1. 如果您選擇**自訂**,在**進階事件選取**器中,會根據進階事件選取器欄位值建立表達式。
**注意**
選取器不支援使用萬用字元,例如 `*` 。若要將多個值與單一條件比對,您可以使用 `StartsWith`、`NotStartsWith`、 `EndsWith`或 `NotEndsWith`來明確比對事件欄位的開頭或結尾。
1. 從下列欄位選取。
+ **`readOnly`** – `readOnly`可設定為**等於** `true`或 的值`false`。設定為 時`false`,事件資料存放區會記錄唯讀管理事件。唯讀管理事件是不會變更資源狀態的事件,例如 `Get*`或 `Describe*`事件。寫入事件新增、變更或刪除資源、屬性或成品,例如 `Put*`、`Delete*` 或 `Write*` 事件。若要同時記錄**讀取**和**寫入**事件,請勿新增`readOnly`選取器。
+ **`eventName`** – `eventName` 可以使用任何運算子。您可以使用它來包含或排除任何管理事件,例如 `CreateAccessPoint`或 `GetAccessPoint`。
+ **`userIdentity.arn`** – 包含或排除特定 IAM 身分所採取動作的事件。如需更多詳細資訊,請參閱 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
+ **`sessionCredentialFromConsole`** – 包含或排除源自 AWS 管理主控台 工作階段的事件。此欄位可以設定為**等於**或不**等於** 的值`true`。
+ **`eventSource`** – 您可以使用它來包含或排除特定事件來源。`eventSource` 通常是簡短形式的服務名稱,不含空格加 `.amazonaws.com`。例如,您可以將`eventSource`**等於 **設定為僅`ec2.amazonaws.com`記錄 Amazon EC2 管理事件。
+ **`eventType`** – 要包含或排除的 [eventType](cloudtrail-event-reference-record-contents.md#ct-event-type)。例如,您可以將此欄位設定為**不等於**`AwsServiceEvent`排除[AWS 服務 事件](non-api-aws-service-events.md)。
1. 針對每個欄位,選擇 **\$1 條件**,視需要新增任意數目的條件,所有條件最多可指定 500 個值。
如需有關 CloudTrail 如何評估多個條件的資訊,請參閱 [CloudTrail 如何評估欄位的多項條件](filtering-data-events.md#filtering-data-events-conditions)。
**注意**
對於事件資料存放區上的所有選取器,您最多可以有 500 個值。這包括一個選擇器的多個值的陣列,如 `eventName`。如果所有選擇器都有單個值,則最多可以有 500 個條件新增至選擇器。
1. 選擇 **\$1 欄位**以根據需要新增其他欄位。為避免發生錯誤,請勿為欄位設定衝突或重複的值。
1. 也可選擇展開 **JSON 檢視畫面**將進階事件選取器視為 JSON 區塊。
1. 選擇**啟用 Insights 事件擷取**以啟用 Insights。若要啟用 Insights,您需要設定[目的地事件資料存放區](query-event-data-store-insights.md#query-event-data-store-insights-procedure),以便依據此事件資料存放區中的管理事件活動收集 Insights 事件。
如果您選擇啟用 Insights,請執行下列動作。
1. 選擇將記錄 Insights 事件的目的地事件存放區。目的地事件資料存放區將依據此事件資料存放區中的管理事件活動收集 Insights 事件。如需有關如何建立目的地事件資料存放區的資訊,請參閱 [若要建立會記錄 Insights 事件的目的地事件資料存放區](query-event-data-store-insights.md#query-event-data-store-insights-procedure)。
1. 選擇 Insights 類型。您可以選擇 **API 呼叫率**、**API 錯誤率**,或兩者。您必須記錄**寫入**管理事件,以便記錄 **API 呼叫率**的 Insights 事件。您必須記錄**讀取**或**寫入**管理事件,以便記錄 **API 錯誤率**的 Insights 事件。
1. 若要在事件資料存放區中包含資料事件,請執行以下操作。
1. 選擇資源類型。這是記錄資料事件的 AWS 服務 和資源。
1. 在**日誌選取器範本**中,選擇預先定義的範本,或選擇**自訂**,根據進階事件選取器欄位的值來定義您自己的事件收集條件。
您可以從下列預先定義的範本中選擇:
+ **記錄所有事件**:選擇此範本記錄所有事件。
+ **僅記錄讀取事件** – 選擇此範本以僅記錄讀取事件。唯讀事件是不會變更資源狀態的事件,例如 `Get*`或 `Describe*`事件。
+ **僅記錄寫入事件** – 選擇此範本以僅記錄寫入事件。寫入事件新增、變更或刪除資源、屬性或成品,例如 `Put*`、`Delete*` 或 `Write*` 事件。
+ **僅記錄 AWS 管理主控台 事件** – 選擇此範本僅記錄源自 的事件 AWS 管理主控台。
+ **排除 AWS 服務 啟動的事件** – 選擇此範本以排除具有 `eventType`之 AWS 服務 的事件`AwsServiceEvent`,以及使用連結角色 (SLRs) AWS 服務啟動的事件。
1. (選用) 在**選取器名稱**中,輸入用於識別選取器的名稱。選取器名稱是進階事件選擇器的描述性名稱,例如「僅為兩個 S3 儲存貯體記錄資料事件」。選取器名稱會被作為 `Name` 列在進階事件選取器中,您在展開 **JSON 檢視**時可檢視該名稱。
1. 如果您選取**自訂**,在**進階事件選取**器中,會根據進階事件選取器欄位的值來建置表達式。
**注意**
選取器不支援使用萬用字元,例如 `*` 。若要將多個值與單一條件比對,您可以使用 `StartsWith`、`NotStartsWith`、 `EndsWith`或 `NotEndsWith`來明確比對事件欄位的開頭或結尾。
1. 從下列欄位選取。
+ **`readOnly`** - `readOnly`可以設定為**等於** `true`或 的值`false`。唯讀資料事件是不會變更資源狀態的事件,例如 `Get*` 或 `Describe*` 事件. 寫入事件新增、變更或刪除資源、屬性或成品,例如 `Put*`、`Delete*` 或 `Write*` 事件。若要同時記錄 `read` 和 `write` 事件,請勿新增 `readOnly` 選擇器。
+ **`eventName`**-`eventName`可以使用任何運算子。您可以使用它來包含或排除任何記錄到 CloudTrail 的資料事件,例如 `PutBucket`、`GetItem` 或 `GetSnapshotBlock`。
+ **`eventSource`** – 要包含或排除的事件來源。此欄位可以使用任何運算子。
+ **eventType** – 要納入或排除的事件類型。例如,您可以將此欄位設定為**不等於**`AwsServiceEvent`排除 [AWS 服務 事件](non-api-aws-service-events.md)。如需事件類型的清單,請參閱 [`eventType`](cloudtrail-event-reference-record-contents.md#ct-event-type)中的 [CloudTrail 記錄管理、資料和網路活動事件的內容](cloudtrail-event-reference-record-contents.md)。
+ **sessionCredentialFromConsole** – 包含或排除源自 AWS 管理主控台 工作階段的事件。此欄位可以設定為**等於**或不**等於** 的值`true`。
+ **userIdentity.arn** – 針對特定 IAM 身分執行的動作納入或排除事件。如需更多詳細資訊,請參閱 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
+ **`resources.ARN`** - 您可以將任何運算子與 搭配使用`resources.ARN`,但如果您使用**等於**或不**等於**,則該值必須完全符合您在範本中指定之類型之有效資源的 ARN,做為 的值`resources.type`。
**注意**
您無法使用 `resources.ARN` 欄位來篩選沒有 ARNs的資源類型。
如需資料事件資源 ARN 格式的詳細資訊,請參閱*《服務授權參考*》中的 [的動作、資源和條件索引鍵 AWS 服務](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)。
1. 針對每個欄位,選擇 **\$1 條件**,視需要新增任意數目的條件,所有條件最多可指定 500 個值。例如,若要從記錄於事件資料存放區的資料事件中排除兩個 S3 儲存貯體的資料事件,您可以將 欄位設定為 **resources.ARN**,設定 的運算子**不會以 開頭**,然後貼入您不想記錄事件的 S3 儲存貯體 ARN。
若要新增第二個 S3 儲存貯體,請選擇 **\$1 條件**,然後重複上述指令,在 ARN 中粘貼或瀏覽不同的儲存貯體。
如需有關 CloudTrail 如何評估多個條件的資訊,請參閱 [CloudTrail 如何評估欄位的多項條件](filtering-data-events.md#filtering-data-events-conditions)。
**注意**
對於事件資料存放區上的所有選取器,您最多可以有 500 個值。這包括一個選擇器的多個值的陣列,如 `eventName`。如果所有選擇器都有單個值,則最多可以有 500 個條件新增至選擇器。
1. 選擇 **\$1 欄位**以根據需要新增其他欄位。為避免發生錯誤,請勿為欄位設定衝突或重複的值。例如,不要在一個選擇器中指定 ARN 等於一個值,然後指定 ARN 不等於另一個選取器中的相同值。
1. 也可選擇展開 **JSON 檢視畫面**將進階事件選取器視為 JSON 區塊。
1. 若要新增要記錄資料事件的其他資源類型,請選擇**新增資料事件類型**。重複步驟 a 到此步驟,以設定資源類型的進階事件選取器。
1. 若要在您的事件資料存放區中包含網路活動事件,請執行下列動作。
1. 從**網路活動事件來源**中,選擇網路活動事件的來源。
1. 在**日誌選取器範本**中,選擇範本。您可以選擇記錄所有網路活動事件、記錄所有網路活動存取遭拒的事件,或選擇**自訂**以建置自訂日誌選取器來篩選多個欄位,例如 `eventName`和 `vpcEndpointId`。
1. (選用) 輸入名稱以識別選取器。選擇器名稱在進階事件選擇器中列為**名稱**,如果您展開 **JSON 檢視**,則可檢視。
1. 在**進階事件選取器**中,選擇**欄位**、**運算子**和**值**的值來建置表達式。如果您使用預先定義的日誌範本,則可略過此步驟。
1. 對於排除或包含網路活動事件,您可以在 主控台中選擇下列欄位。
+ **`eventName`** – 您可以將任何運算子與 搭配使用`eventName`。您可以使用它來包含或排除任何事件,例如 `CreateKey`。
+ **`errorCode`** – 您可以使用它來篩選錯誤碼。目前,唯一支援的`errorCode`是 `VpceAccessDenied`。
+ **`vpcEndpointId`** – 識別操作通過的 VPC 端點。您可以搭配 使用任何運算子`vpcEndpointId`。
1. 針對每個欄位,選擇 **\$1 條件**,視需要新增任意數目的條件,所有條件最多可指定 500 個值。
1. 選擇 **\$1 欄位**以根據需要新增其他欄位。為避免發生錯誤,請勿為欄位設定衝突或重複的值。
1. 若要新增要記錄網路活動事件的其他事件來源,請選擇**新增網路活動事件選取器**。
1. 也可選擇展開 **JSON 檢視畫面**將進階事件選取器視為 JSON 區塊。
1. 若要將現有追蹤事件複製到您的事件資料存放區,請執行下列操作。
1. 選擇您要複製的追蹤。根據預設,CloudTrail 只會複製包含在 S3 儲存貯體`CloudTrail`字首和`CloudTrail`字首內的字首中的 CloudTrail 事件,而不會檢查其他服務的字首 AWS 。如果您要複製其他字首中包含的 CloudTrail 事件,請選擇 **Enter S3 URI** (輸入 S3 URI),然後選擇 **Browse S3** (瀏覽 S3) 以瀏覽至字首。如果追蹤的來源 S3 儲存貯體使用 KMS 金鑰進行資料加密,請確保 KMS 金鑰政策允許 CloudTrail 解密資料。如果您的來源 S3 儲存貯體使用多個 KMS 金鑰,則必須更新每個金鑰的政策以允許 CloudTrail 解密儲存貯體中的資料。如需更新 KMS 金鑰政策的詳細資訊,請參閱 [用於解密來源 S3 儲存貯體中資料的 KMS 金鑰政策](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-kms)。
1. 選擇複製事件的時間範圍。CloudTrail 會在嘗試複製追蹤事件之前檢查字首和日誌檔案名稱,以確認名稱包含介於所選開始日期和結束日期之間的日期。您可以選擇 **Relative range** (相對範圍) 或 **Absolute range** (絕對範圍)。若要避免來源追蹤和目的地事件資料存放區之間發生重複事件,請選擇早於事件資料存放區建立日期的時間範圍。
**注意**
CloudTrail 只會複製 `eventTime` 在事件資料存放區保留期內的追蹤事件。例如,如果事件資料存放區的保留期為 90 天,則 CloudTrail 將不會複製 `eventTime` 早於 90 天的任何追蹤事件。
+ 如果選擇**相對範圍**,您可以選擇複製過去 6 個月、1 年、2 年、7 年或自訂範圍內記錄的事件。CloudTrail 會複製所選時段內記錄的事件。
+ 如果選擇 **Absolute range** (絕對範圍),您可以選擇特定的開始和結束日期。CloudTrail 會複製所選開始日期和結束日期之間發生的事件。
1. 對於 **Permissions** (許可),從下列 IAM 角色選項中選擇。如果您選擇現有的 IAM 角色,請確認 IAM 角色政策提供必要的許可。如需更新 IAM 角色許可的詳細資訊,請參閱[複製追蹤事件的 IAM 許可](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-iam)。
+ 選擇 **Create a new role (recommended)** (建立新角色 (建議使用)) 以建立新的 IAM 角色。對於 **Enter IAM role name** (輸入 IAM 角色名稱),請輸入角色的名稱。CloudTrail 會自動為此新角色建立必要的許可。
+ 選擇**使用自訂 IAM 角色 ARN**,以使用未列出的自訂 IAM 角色。對於 **Enter IAM role ARN** (輸入 IAM 角色 ARN),輸入 IAM ARN。
+ 從下拉式清單中選擇現有的 IAM 角色。
1. 選擇**下一步**,透過新增資源標籤索引鍵和 IAM 全域條件索引鍵來豐富您的事件。
1. 在**富集事件**中,新增最多 50 個資源標籤金鑰和 50 個 IAM 全域條件金鑰,以提供事件的其他中繼資料。這可協助您分類和分組相關事件。
如果您新增資源標籤索引鍵,CloudTrail 將包含與 API 呼叫中所涉及資源相關聯的所選標籤索引鍵。與已刪除資源相關的 API 事件將不會有資源標籤。
如果您新增 IAM 全域條件金鑰,CloudTrail 將包含授權程序期間評估之所選條件金鑰的相關資訊,包括委託人、工作階段、網路和請求本身的其他詳細資訊。
資源標籤索引鍵和 IAM 全域條件索引鍵的相關資訊會顯示在事件的 `eventContext`欄位中。如需詳細資訊,請參閱[透過新增資源標籤索引鍵和 IAM 全域條件索引鍵來豐富 CloudTrail 事件](cloudtrail-context-events.md)。
**注意**
如果事件包含不屬於事件區域的資源,CloudTrail 將不會填入此資源的標籤,因為標籤擷取僅限於事件區域。
1. 選擇**展開事件大小**,將事件承載從 256 KB 擴展到 1 MB。當您新增資源標籤金鑰或 IAM 全域條件金鑰時,此選項會自動啟用,以確保所有新增的金鑰都包含在事件中。
擴展事件大小有助於分析和疑難排解事件,因為它可讓您查看下列欄位的完整內容,只要事件承載小於 1 MB:
+ `annotation`
+ `requestID`
+ `additionalEventData`
+ `serviceEventDetails`
+ `userAgent`
+ `errorCode`
+ `responseElements`
+ `requestParameters`
+ `errorMessage`
如需這些欄位的詳細資訊,請參閱 [CloudTrail 記錄內容](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html)。
1. 選擇 **Next** (下一步) 以檢閱您的選項。
1. 在 **Review and create** (檢閱和建立) 頁面上,檢閱您的選擇。選擇 **Edit** (編輯) 以對區段進行變更。當您準備建立事件資料存放區時,請選擇 **Create event data store** (建立事件資料存放區)。
1. 新的事件資料存放區出現在**事件資料存放區**頁面上的**事件資料存放區**表格中。
從此開始,事件資料存放區將擷取與其進階事件選取器相符的事件 (如果您保持選取**擷取事件**選項)。建立事件資料存放區之前發生的事件,不會儲存在事件資料存放區中,除非您選擇複製現有追蹤事件。
您現在可以對新事件資料存放區執行查詢。**Sample queries** (範例查詢) 索引標籤提供範例查詢,以協助您開始使用。如需建立及編輯查詢的詳細資訊,請參閱 [使用 CloudTrail 主控台建立或編輯查詢](query-create-edit-query.md)。
您也可以檢視[受管儀表板](lake-dashboard-managed.md),或[建立自訂儀表板](lake-dashboard-custom.md)以視覺化事件趨勢。如需有關 Lake 儀表板的詳細資訊,請參閱 [CloudTrail Lake 儀表板](lake-dashboard.md)。
# 使用主控台建立 Insights 事件的事件資料存放區
**注意**
AWS CloudTrail Lake 自 2026 年 5 月 31 日起不再向新客戶開放。如果您想要使用 CloudTrail Lake,請在該日期之前註冊。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[CloudTrail Lake 可用性變更](cloudtrail-lake-service-availability-change.md)。
AWS CloudTrail Insights 透過持續分析 CloudTrail 管理事件,協助 AWS 使用者識別和回應與 API 呼叫率和 API 錯誤率相關的異常活動。CloudTrail Insights 會分析 API 呼叫率和 API 錯誤率的正常模式,也稱為*基準*,並在呼叫量或錯誤率超出正常模式時產生 Insights 事件。API 呼叫率上的 Insights 事件會針對`write`管理 APIs產生,而 API 錯誤率上的 Insights 事件會針對 `write` `read`和管理 APIs產生。
若要在 CloudTrail Lake 中記錄 Insights 事件,您需要會記錄 Insights 事件的目的地事件資料存放區和啟用 Insights 和日誌管理事件的來源事件資料存放區。
**注意**
若要在 API 呼叫率上記錄 Insights 事件,來源事件資料存放區必須記錄`write`管理事件。若要以 API 錯誤率記錄 Insights 事件,來源事件資料存放區必須記錄`read`或`write`管理事件。
如果您已在來源事件資料存放區上啟用 CloudTrail Insights,而且 CloudTrail 偵測到異常活動,CloudTrail 會傳遞 Insights 事件至您的目的地事件資料存放區。與 CloudTrail 事件資料存放區中擷取的其他類型的事件不同,只有在 CloudTrail 偵測到帳戶 API 使用方式與帳戶的一般使用模式有很大差異時,才會加以記錄。
在您第一次在事件資料存放區上啟用 CloudTrail Insights 之後,CloudTrail 最多可能需要 7 天才能開始交付 Insights 事件,前提是在此期間偵測到異常活動。
CloudTrail Insights 會分析事件資料存放區中每個區域中發生的管理事件,並在偵測到偏離基準的異常活動時產生 Insights 事件。CloudTrail Insights 事件會在產生其支援管理事件的相同區域中產生。
對於組織事件資料存放區,CloudTrail Insights 會分析組織中每個區域每個成員帳戶的管理事件,並在偵測到異常活動偏離帳戶和區域的基準時產生 Insights 事件。
擷取 CloudTrail Lake 中的 Insights 事件需支付額外費用。如果您同時為追蹤和 CloudTrail Lake 事件資料存放區啟用 Insights,則將分別支付它們的費用。如需有關 CloudTrail 定價的資訊,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。
**Topics**
+ [若要建立會記錄 Insights 事件的目的地事件資料存放區](#query-event-data-store-insights-procedure)
+ [若要建立會啟用 Insights 事件的來源事件資料存放區](#query-event-data-store-cloudtrail-insights)
## 若要建立會記錄 Insights 事件的目的地事件資料存放區
在建立 Insights 事件資料存放區時,您可以選擇一個記錄管理事件的現有來源事件資料存放區,然後指定想要接收的 Insights 類型。或者,您也可以在建立 Insights 事件資料存放區後啟用新的或現有事件資料存放區上的 Insights,然後選擇此事件資料存放區作為目的地事件資料存放區。
此程序將向您說明如何建立記錄 Insights 事件的目的地事件資料存放區。
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 的 CloudTrail 主控台。
1. 在導覽窗格中,開啟 **Lake** 子選單,然後選擇 **Event data stores** (事件資料存放區)。
1. 選擇 **Create event data store** (建立事件資料存放區)。
1. 在**設定事件資料存放區**頁面上的**一般詳細資訊**中,輸入事件資料存放區的名稱。名稱為必填。
1. 選擇您想用於事件資料存放區的**定價選項**。此定價選項將決定擷取和儲存事件的成本,以及事件資料存放區的預設和最長保留期。如需詳細資訊,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)和 [管理 CloudTrail Lake 成本](cloudtrail-lake-manage-costs.md)。
以下為可用的選項:
+ **一年可延長保留定價** – 如果您預期每月擷取的事件資料少於 25 TB,並需要長達 10 年的彈性保留期,則建議使用此選項。前 366 天 (預設保留期) 的儲存已包含在擷取定價中,無須額外付費。在 366 天之後,延長保留將依用量計費定價。此為預設選項。
+ **預設保留期:**366 天
+ **最長保留期:**3,653 天
+ **七年保留定價** – 如果您預期每月擷取的事件資料超過 25 TB,並需要長達 7 年的彈性保留期,則建議使用此選項。保留已包含在擷取定價中,無須額外付費。
+ **預設保留期:**2,557 天
+ **最長保留期:**2,557 天
1. 指定事件資料存放區的保留期間 (以天為單位)。**一年可延長保留定價**選項的保留期可介於 7 天到 3,653 天 (約 10 年) 之間;或是**七年保留定價**選項,則可介於 7 天到 2,557 天 (約七年) 之間。事件資料存放區會在指定的天數內保留事件資料。
1. (選用) 若要使用 啟用加密 AWS Key Management Service,請選擇**使用我自己的 AWS KMS key**。選擇**新增**以為您 AWS KMS key 建立 ,或選擇**現有**以使用現有的 KMS 金鑰。在 **Enter KMS alias** (輸入 KMS 別名) 中,指定別名,格式為 `alias/`*MyAliasName*。使用您自己的 KMS 金鑰需要您編輯 KMS 金鑰政策,以允許加密和解密您的事件資料存放區。如需詳細資訊,請參閱[設定 CloudTrail 的 AWS KMS 金鑰政策](create-kms-key-policy-for-cloudtrail.md)。CloudTrail 也支援 AWS KMS 多區域金鑰。如需多區域金鑰的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的[使用多區域金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)。
使用您自己的 KMS 金鑰會產生加密和解密 AWS KMS 的成本。將事件資料存放區與 KMS 金鑰建立關聯後,就無法移除或變更 KMS 金鑰。
**注意**
若要啟用組織事件資料存放區的 AWS Key Management Service 加密,您必須使用管理帳戶的現有 KMS 金鑰。
1. (選用) 如果您想使用 Amazon Athena 查詢自己的事件資料,請在 **Lake 查詢聯合**中選擇**啟用**。聯合可讓您在 AWS Glue [Data Catalog](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) 中檢視與事件資料存放區相關聯的中繼資料,並在 Athena 中對事件資料執行 SQL 查詢。儲存在 AWS Glue Data Catalog 中的資料表中繼資料可讓 Athena 查詢引擎了解如何尋找、讀取和處理您要查詢的資料。如需詳細資訊,請參閱[聯合事件資料存放區](query-federation.md)。
若要啟用 Lake 查詢聯合,請選擇**啟用**,然後執行下列動作:
1. 選擇要建立新角色還是使用現有的 IAM 角色。[AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) 會使用此角色來管理聯合事件資料存放區的許可。當您使用 CloudTrail 主控台建立新角色時,CloudTrail 會自動建立具有必要許可的角色。如果您選擇現有角色,請確認該角色的政策可提供[必要的最低許可](query-federation.md#query-federation-permissions-role)。
1. 如果您要建立新角色,請輸入名稱以識別角色。
1. 如果您要使用現有角色,請選擇想使用的角色。該角色必須存在於您的帳戶中。
1. (選用) 選擇**啟用資源政策**,將資源型政策新增至您的事件資料存放區。資源型政策可讓您控制哪些主體可對您的事件存放區執行動作。例如,您可以新增資源型政策,允許其他帳戶中的根使用者查詢此事件資料存放區並檢視查詢結果。如需範例政策,請參閱 [事件資料存放區的資源型政策範例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)。
以資源為基礎的政策包含一或多個陳述式。政策中的每個陳述式都會定義允許或拒絕存取事件資料存放區的[委託人](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html),以及委託人可以對事件資料存放區資源執行的動作。
事件資料存放區的資源型政策支援下列動作:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
對於[組織事件資料存放區](cloudtrail-lake-organizations.md),CloudTrail 會建立[預設資源型政策](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp),列出允許委派管理員帳戶在組織事件資料存放區上執行的動作。此政策中的許可衍生自 中的委派管理員許可 AWS Organizations。此政策會在組織事件資料存放區或組織變更後自動更新 (例如,CloudTrail 委派管理員帳戶已註冊或移除)。
1. (選用) 在 **Tags** (標籤) 區段中,您最多可以新增 50 個標籤金鑰對,以協助您識別、排序和控制對事件資料存放區的存取權限。如需使用 IAM 政策,對以標籤為基礎的事件資料存放區授與存取權限的詳細資訊,請參閱[範例:拒絕以標籤為基礎建立或刪除事件資料存放區的存取權限](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags)。如需如何在 中使用標籤的詳細資訊 AWS,請參閱[《標記 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*使用者指南》中的標記 AWS 資源*。
1. 選擇 **Next** (下一步) 以設定事件資料存放區。
1. 在**選擇事件**頁面上,選擇 **AWS 事件**,然後選擇 **CloudTrail Insights 事件**。
1. 在 **CloudTrail Insights 事件**中,執行下列動作。
1. 如果您想要為組織的委派管理員授予存取此事件資料存放區的權限,則選擇**允許委派管理員存取權**。只有在您使用 AWS Organizations 組織的管理帳戶登入時,才能使用此選項。
1. (選用) 選擇記錄管理事件的現有來源事件資料存放區,並指定您想要接收的 Insights 類型。
若要新增來源事件資料存放區,請執行下列動作。
1. 選擇**新增來源事件資料存放區**。
1. 選擇來源事件資料存放區。
1. 選擇您想要接收的 **Insights 類型**。
+ `ApiCallRateInsight` – `ApiCallRateInsight` Insights 類型會分析針對基準 API 呼叫量彙總的每分鐘唯寫管理 API 呼叫。若要接收 `ApiCallRateInsight` 上的 Insights,來源事件資料存放區必須記錄**寫入**管理事件。
+ `ApiErrorRateInsight` – `ApiErrorRateInsight` Insights 類型會分析導致錯誤碼的管理 API 呼叫。如果 API 呼叫失敗,則顯示錯誤。若要接收 `ApiErrorRateInsight` 上的 Insights,來源事件資料存放區必須記錄**寫入**或**讀取**管理事件。
1. 重複前兩個步驟 (ii 和 iii),以新增任何您想要接收的其他 Insights 類型。
1. 選擇 **Next** (下一步) 以檢閱您的選項。
1. 在 **Review and create** (檢閱和建立) 頁面上,檢閱您的選擇。選擇 **Edit** (編輯) 以對區段進行變更。當您準備建立事件資料存放區時,請選擇 **Create event data store** (建立事件資料存放區)。
1. 新的事件資料存放區出現在**事件資料存放區**頁面上的**事件資料存放區**表格中。
1. 如果您在步驟 10 中未選擇來源事件資料存放區,請依照 [若要建立會啟用 Insights 事件的來源事件資料存放區](#query-event-data-store-cloudtrail-insights) 中的步驟來建立一個來源事件資料存放區。
## 若要建立會啟用 Insights 事件的來源事件資料存放區
此程序將向您說明如何建立會啟用 Insights 事件並記錄管理事件的來源事件資料存放區。
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 開啟 CloudTrail 主控台。
1. 在導覽窗格中,開啟 **Lake** 子選單,然後選擇 **Event data stores** (事件資料存放區)。
1. 選擇 **Create event data store** (建立事件資料存放區)。
1. 在**設定事件資料存放區**頁面上的**一般詳細資訊**中,輸入事件資料存放區的名稱。名稱為必填。
1. 選擇您想用於事件資料存放區的**定價選項**。此定價選項將決定擷取和儲存事件的成本,以及事件資料存放區的預設和最長保留期。如需詳細資訊,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)和 [管理 CloudTrail Lake 成本](cloudtrail-lake-manage-costs.md)。
以下為可用的選項:
+ **一年可延長保留定價** – 如果您預期每月擷取的事件資料少於 25 TB,並需要長達 10 年的彈性保留期,則建議使用此選項。前 366 天 (預設保留期) 的儲存已包含在擷取定價中,無須額外付費。在 366 天之後,延長保留將依用量計費定價。此為預設選項。
+ **預設保留期:**366 天
+ **最長保留期:**3,653 天
+ **七年保留定價** – 如果您預期每月擷取的事件資料超過 25 TB,並需要長達 7 年的彈性保留期,則建議使用此選項。保留已包含在擷取定價中,無須額外付費。
+ **預設保留期:**2,557 天
+ **最長保留期:**2,557 天
1. 指定事件資料存放區的保留期。**一年可延長保留定價**選項的保留期可介於 7 天到 3,653 天 (約 10 年) 之間;或是**七年保留定價**選項,則可介於 7 天到 2,557 天 (約七年) 之間。
CloudTrail Lake 會透過檢查事件的 `eventTime` 是否在指定保留期以內,決定是否要保留該事件。例如,如果您指定的保留期為 90 天,CloudTrail 將移除 `eventTime` 早於 90 天的事件。
1. (選用) 若要使用 啟用加密 AWS Key Management Service,請選擇**使用我自己的 AWS KMS key**。選擇**新增**以為您 AWS KMS key 建立 ,或選擇**現有**以使用現有的 KMS 金鑰。在 **Enter KMS alias** (輸入 KMS 別名) 中,指定別名,格式為 `alias/`*MyAliasName*。使用您自己的 KMS 金鑰需要您編輯 KMS 金鑰政策,以允許加密和解密您的事件資料存放區。如需詳細資訊,請參閱[設定 CloudTrail 的 AWS KMS 金鑰政策](create-kms-key-policy-for-cloudtrail.md)。CloudTrail 也支援 AWS KMS 多區域金鑰。如需多區域金鑰的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的[使用多區域金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)。
使用您自己的 KMS 金鑰會產生加密和解密 AWS KMS 的成本。將事件資料存放區與 KMS 金鑰建立關聯後,就無法移除或變更 KMS 金鑰。
**注意**
若要啟用組織事件資料存放區的 AWS Key Management Service 加密,您必須使用管理帳戶的現有 KMS 金鑰。
1. (選用) 如果您想使用 Amazon Athena 查詢自己的事件資料,請在 **Lake 查詢聯合**中選擇**啟用**。聯合可讓您在 AWS Glue [Data Catalog](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) 中檢視與事件資料存放區相關聯的中繼資料,並在 Athena 中對事件資料執行 SQL 查詢。儲存在 AWS Glue Data Catalog 中的資料表中繼資料可讓 Athena 查詢引擎了解如何尋找、讀取和處理您要查詢的資料。如需詳細資訊,請參閱[聯合事件資料存放區](query-federation.md)。
若要啟用 Lake 查詢聯合,請選擇**啟用**,然後執行下列動作:
1. 選擇要建立新角色還是使用現有的 IAM 角色。[AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) 會使用此角色來管理聯合事件資料存放區的許可。當您使用 CloudTrail 主控台建立新角色時,CloudTrail 會自動建立具有必要許可的角色。如果您選擇現有角色,請確認該角色的政策可提供[必要的最低許可](query-federation.md#query-federation-permissions-role)。
1. 如果您要建立新角色,請輸入名稱以識別角色。
1. 如果您要使用現有角色,請選擇想使用的角色。該角色必須存在於您的帳戶中。
1. (選用) 選擇**啟用資源政策**,將資源型政策新增至您的事件資料存放區。資源型政策可讓您控制哪些主體可對您的事件存放區執行動作。例如,您可以新增資源型政策,允許其他帳戶中的根使用者查詢此事件資料存放區並檢視查詢結果。如需範例政策,請參閱 [事件資料存放區的資源型政策範例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)。
以資源為基礎的政策包含一或多個陳述式。政策中的每個陳述式都會定義允許或拒絕存取事件資料存放區的[委託人](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html),以及委託人可以對事件資料存放區資源執行的動作。
事件資料存放區的資源型政策支援下列動作:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
對於[組織事件資料存放區](cloudtrail-lake-organizations.md),CloudTrail 會建立[預設資源型政策](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp),列出允許委派管理員帳戶在組織事件資料存放區上執行的動作。此政策中的許可衍生自 中的委派管理員許可 AWS Organizations。此政策會在組織事件資料存放區或組織變更後自動更新 (例如,CloudTrail 委派管理員帳戶已註冊或移除)。
1. (選用) 在 **Tags** (標籤) 區段中,您最多可以新增 50 個標籤金鑰對,以協助您識別、排序和控制對事件資料存放區的存取權限。如需使用 IAM 政策,對以標籤為基礎的事件資料存放區授與存取權限的詳細資訊,請參閱[範例:拒絕以標籤為基礎建立或刪除事件資料存放區的存取權限](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags)。如需如何在 中使用標籤的詳細資訊 AWS,請參閱[《標記 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*使用者指南》中的標記 AWS 資源*。
1. 選擇 **Next** (下一步) 以設定事件資料存放區。
1. 在**選擇事件**頁面上,選擇 **AWS 事件**,然後選擇 **CloudTrail 事件**。
1. 在 **CloudTrail 事件**中,維持選取**管理事件**。
1. 若要讓事件資料存放區從 AWS Organizations 組織中的所有帳戶收集事件,請選取 **Enable for all accounts in my organization** (啟用我組織中的所有帳戶)。您必須登入到組織的管理帳戶,才能建立會啟用 Insights 的事件資料存放區。
1. 展開**其他設定**,選擇您希望事件資料存放區收集所有事件 AWS 區域,還是僅收集目前事件 AWS 區域,然後選擇事件資料存放區是否擷取事件。依預設,您的事件資料存放區會從帳戶的所有區域收集事件,而且會在建立時開始擷取事件。
1. 如果您希望僅包括目前區域中記錄的事件,請選擇**在我的事件資料存放區中僅包含目前區域**。如果未選擇此選項,則您的事件資料存放區將包含來自所有區域的事件。
1. 維持選取**擷取事件**。
1. 選擇**簡易事件集合**或**進階事件集合**:
+ 如果您想要記錄所有事件、僅記錄讀取事件或僅記錄寫入事件,請選擇**簡單事件集合**。您也可以選擇排除 AWS Key Management Service 和 Amazon RDS Data API 事件。
+ 如果您想要根據**進階事件選取器欄位的值包含或排除管理事件,包括 、、、 和 欄位,請選擇進階事件集合**。 `eventName` `eventType` `eventSource` `sessionCredentialFromConsole` `userIdentity.arn`
1. 如果您選擇**簡易事件集合**,請選擇是否要記錄所有事件、僅記錄讀取事件,或僅記錄寫入事件。您也可以選擇排除 AWS KMS 和 Amazon RDS Data API 事件。
1. 如果您選取**進階事件集合**,請進行下列選擇:
1. 在**日誌選取器範本**中,選擇預先定義的範本,或選擇**自訂**,根據進階事件選取器欄位的值來撰寫您自己的事件收集條件。
您可以從下列預先定義的範本中選擇:
+ **記錄所有事件**:選擇此範本記錄所有事件。
+ **僅記錄讀取事件** – 選擇此範本以僅記錄讀取事件。唯讀事件是不會變更資源狀態的事件,例如 `Get*`或 `Describe*`事件。
+ **僅記錄寫入事件** – 選擇此範本僅記錄寫入事件。寫入事件新增、變更或刪除資源、屬性或成品,例如 `Put*`、`Delete*` 或 `Write*` 事件。
+ **僅記錄 AWS 管理主控台 事件** – 選擇此範本僅記錄源自 的事件 AWS 管理主控台。
+ **排除 AWS 服務 啟動的事件** – 選擇此範本以排除具有 `eventType`之 AWS 服務 的事件`AwsServiceEvent`,以及使用連結角色 (SLRs) AWS 服務啟動的事件。
1. (選用) 在**選取器名稱**中,輸入用於識別選取器的名稱。選擇器名稱是進階事件選擇器的描述性名稱,例如「從 AWS 管理主控台 工作階段記錄管理事件」。選取器名稱會被作為 `Name` 列在進階事件選取器中,您在展開 **JSON 檢視**時可檢視該名稱。
1. 如果您選擇**自訂**,在**進階事件選取器**中,會根據進階事件選取器欄位值建立表達式。
**注意**
選取器不支援使用萬用字元,例如 `*` 。若要以單一條件比對多個值,您可以使用 `StartsWith`、`NotStartsWith`、 `EndsWith`或 `NotEndsWith`來明確比對事件欄位的開頭或結尾。
1. 從下列欄位選取。
+ **`readOnly`** – `readOnly` 可設定為**等於** `true`或 的值`false`。設定為 時`false`,事件資料存放區會記錄唯讀管理事件。唯讀管理事件是不會變更資源狀態的事件,例如 `Get*`或 `Describe*`事件。寫入事件新增、變更或刪除資源、屬性或成品,例如 `Put*`、`Delete*` 或 `Write*` 事件。若要同時記錄**讀取**和**寫入**事件,請勿新增`readOnly`選取器。
+ **`eventName`** – `eventName` 可以使用任何運算子。您可以使用它來包含或排除任何管理事件,例如 `CreateAccessPoint`或 `GetAccessPoint`。
+ **`userIdentity.arn`** – 包含或排除特定 IAM 身分所採取動作的事件。如需更多詳細資訊,請參閱 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
+ **`sessionCredentialFromConsole`** – 包含或排除源自 AWS 管理主控台 工作階段的事件。此欄位可以設定為**等於**或不**等於** 的值`true`。
+ **`eventSource`** – 您可以使用它來包含或排除特定事件來源。`eventSource` 通常是簡短形式的服務名稱,不含空格加 `.amazonaws.com`。例如,您可以將`eventSource`**等於 **設定為僅`ec2.amazonaws.com`記錄 Amazon EC2 管理事件。
+ **`eventType`** – 要包含或排除的 [eventType](cloudtrail-event-reference-record-contents.md#ct-event-type)。例如,您可以將此欄位設定為**不等於**`AwsServiceEvent`排除[AWS 服務 事件](non-api-aws-service-events.md)。
1. 針對每個欄位,選擇 **\$1 條件**,視需要新增任意數目的條件,所有條件最多可指定 500 個值。
如需有關 CloudTrail 如何評估多個條件的資訊,請參閱 [CloudTrail 如何評估欄位的多項條件](filtering-data-events.md#filtering-data-events-conditions)。
**注意**
對於事件資料存放區上的所有選取器,您最多可以有 500 個值。這包括一個選擇器的多個值的陣列,如 `eventName`。如果所有選擇器都有單個值,則最多可以有 500 個條件新增至選擇器。
1. 選擇 **\$1 欄位**以根據需要新增其他欄位。為避免發生錯誤,請勿為欄位設定衝突或重複的值。
1. 也可選擇展開 **JSON 檢視畫面**將進階事件選取器視為 JSON 區塊。
1. 選擇**啟用 Insights 事件擷取**。
1. 選擇將記錄 Insights 事件的目的地事件存放區。目的地事件資料存放區將依據此事件資料存放區中的管理事件活動收集 Insights 事件。如需有關如何建立目的地事件資料存放區的資訊,請參閱 [若要建立會記錄 Insights 事件的目的地事件資料存放區](#query-event-data-store-insights-procedure)。
1. 選擇 Insights 類型。您可以選擇 **API 呼叫率**、**API 錯誤率**,或兩者。您必須記錄**寫入**管理事件,以便記錄 **API 呼叫率**的 Insights 事件。您必須記錄**讀取**或**寫入**管理事件,以便記錄 **API 錯誤率**的 Insights 事件。
1. 選擇**下一步**,透過新增資源標籤索引鍵和 IAM 全域條件索引鍵來豐富您的事件。
1. 在**富集事件**中,新增最多 50 個資源標籤金鑰和 50 個 IAM 全域條件金鑰,以提供事件的其他中繼資料。這可協助您分類和分組相關事件。
如果您新增資源標籤索引鍵,CloudTrail 將包含與 API 呼叫中所涉及資源相關聯的所選標籤索引鍵。與已刪除資源相關的 API 事件將不會有資源標籤。
如果您新增 IAM 全域條件金鑰,CloudTrail 將包含授權程序期間評估之所選條件金鑰的相關資訊,包括委託人、工作階段、網路和請求本身的其他詳細資訊。
資源標籤索引鍵和 IAM 全域條件索引鍵的相關資訊會顯示在事件的 `eventContext` 欄位中。如需詳細資訊,請參閱[透過新增資源標籤索引鍵和 IAM 全域條件索引鍵來豐富 CloudTrail 事件](cloudtrail-context-events.md)。
**注意**
如果事件包含不屬於事件區域的資源,CloudTrail 將不會填入此資源的標籤,因為標籤擷取僅限於事件區域。
1. 選擇**展開事件大小**,將事件承載從 256 KB 擴展到 1 MB。當您新增資源標籤金鑰或 IAM 全域條件金鑰時,此選項會自動啟用,以確保所有新增的金鑰都包含在事件中。
擴展事件大小有助於分析和疑難排解事件,因為它可讓您查看下列欄位的完整內容,只要事件承載小於 1 MB:
+ `annotation`
+ `requestID`
+ `additionalEventData`
+ `serviceEventDetails`
+ `userAgent`
+ `errorCode`
+ `responseElements`
+ `requestParameters`
+ `errorMessage`
如需這些欄位的詳細資訊,請參閱 [CloudTrail 記錄內容](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html)。
1. 選擇 **Next** (下一步) 以檢閱您的選項。
1. 在 **Review and create** (檢閱和建立) 頁面上,檢閱您的選擇。選擇 **Edit** (編輯) 以對區段進行變更。當您準備建立事件資料存放區時,請選擇 **Create event data store** (建立事件資料存放區)。
1. 新的事件資料存放區出現在**事件資料存放區**頁面上的**事件資料存放區**表格中。
從此開始,事件資料存放區將擷取與其進階事件選取器相符的事件。在您第一次在來源事件資料存放區上啟用 CloudTrail Insights 之後,CloudTrail 最多可能需要 7 天才能開始交付 Insights 事件,前提是在此期間偵測到異常活動。
您可以檢視 CloudTrail Lake 儀表板,對目的地事件資料存放區內的 Insights 事件進行視覺化呈現。如需有關 Lake 儀表板的詳細資訊,請參閱 [CloudTrail Lake 儀表板](lake-dashboard.md)。
擷取 CloudTrail Lake 中的 Insights 事件需支付額外費用。如果您同時為追蹤和事件資料存放區啟用 Insights,則將分別支付它們的費用。如需有關 CloudTrail 定價的資訊,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。
# 使用主控台為組態項目建立事件資料存放區
**注意**
AWS CloudTrail Lake 自 2026 年 5 月 31 日起不再向新客戶開放。如果您想要使用 CloudTrail Lake,請在該日期之前註冊。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[CloudTrail Lake 可用性變更](cloudtrail-lake-service-availability-change.md)。
您可以建立事件資料存放區以包含 [AWS Config 組態項目](https://docs.aws.amazon.com/config/latest/developerguide/config-concepts.html#config-items),並使用事件資料存放區來調查您生產環境的不合規變更。使用事件資料存放區,您可以將不合規的規則,和與變更相關的使用者和資源建立關聯。組態項目代表存在於您帳戶中的支援 AWS 資源屬性point-in-time檢視。 會在偵測到正在記錄的資源類型變更時 AWS Config 建立組態項目。 AWS Config 也會在擷取組態快照時建立組態項目。
您可以使用 AWS Config 和 CloudTrail Lake 對組態項目執行查詢。您可以使用 根據單一 AWS 帳戶 和 或跨多個帳戶和區域的組態屬性 AWS 區域, AWS Config 來查詢 AWS 資源的目前組態狀態。相比之下,您可以使用 CloudTrail Lake 來跨各種資料來源進行查詢,例如 CloudTrail 事件、組態項目和規則評估。CloudTrail Lake 查詢涵蓋所有 AWS Config 組態項目,包括資源組態和合規歷史記錄。
為組態項目建立事件資料存放區不會影響現有的 AWS Config 進階查詢或任何設定的 AWS Config 彙總工具。您可以使用 繼續執行進階查詢 AWS Config,並繼續將歷史記錄檔案 AWS Config 交付至 S3 儲存貯體。
CloudTrail Lake 事件資料存放區會產生費用。建立事件資料存放區時,您可以選擇要用於事件資料存放區的[定價選項](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)。此定價選項將決定擷取和儲存事件的成本,以及事件資料存放區的預設和最長保留期。如需有關 CloudTrail 定價和管理 Lake 成本的詳細資訊,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/) 和 [管理 CloudTrail Lake 成本](cloudtrail-lake-manage-costs.md)。
## 限制
以下限制適用於組態項目的事件資料存放區。
+ 不支援自訂組態項目
+ 不支援使用進階事件選取器進行事件篩選
## 先決條件
建立事件資料存放區之前,請先為所有帳戶和區域設定 AWS Config 記錄。您可以使用 [Quick Setup](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-config.html) 功能 AWS Systems Manager,快速建立採用 技術的組態記錄器 AWS Config。
**注意**
AWS Config 開始記錄組態時,需支付服務費用。如需定價的詳細資訊,請參閱 [AWS Config 定價](https://aws.amazon.com/config/pricing/)。如需管理組態記錄器的詳細資訊,請參閱《AWS Config 開發人員指南》**中的[管理組態記錄器](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)。
此外,建立事件資料存放區時,建議您執行下列動作,但並非必要。
+ 設定 Amazon S3 儲存貯體於請求時接收組態快照及組態歷史記錄。如需快照的詳細資訊,請參閱《AWS Config 開發人員指南》**中的[管理交付通道](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html)和[將組態快照交付至 Amazon S3 儲存貯體](https://docs.aws.amazon.com/config/latest/developerguide/deliver-snapshot-cli.html)。
+ 指定 AWS Config 您要用來評估所記錄資源類型合規資訊的規則。的數個 CloudTrail Lake 範例查詢 AWS Config 需要 AWS Config 規則 評估 AWS 資源的合規狀態。如需 的詳細資訊 AWS Config 規則,請參閱《 *AWS Config 開發人員指南*》中的[使用 評估資源 AWS Config 規則](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)。
## 若要為組態項目建立事件資料存放區
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 開啟 CloudTrail 主控台。
1. 在導覽窗格中,選擇 **Lake** 下方的**事件資料存放區**。
1. 選擇 **Create event data store** (建立事件資料存放區)。
1. 在**設定事件資料存放區**頁面上的**一般詳細資訊**中,輸入事件資料存放區的名稱。名稱為必填。
1. 選擇您想用於事件資料存放區的**定價選項**。此定價選項將決定擷取和儲存事件的成本,以及事件資料存放區的預設和最長保留期。如需詳細資訊,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)和 [管理 CloudTrail Lake 成本](cloudtrail-lake-manage-costs.md)。
以下為可用的選項:
+ **一年可延長保留定價** – 如果您預期每月擷取的事件資料少於 25 TB,並需要長達 10 年的彈性保留期,則建議使用此選項。前 366 天 (預設保留期) 的儲存已包含在擷取定價中,無須額外付費。在 366 天之後,延長保留將依用量計費定價。此為預設選項。
+ **預設保留期:**366 天
+ **最長保留期:**3,653 天
+ **七年保留定價** – 如果您預期每月擷取的事件資料超過 25 TB,並需要長達 7 年的彈性保留期,則建議使用此選項。保留已包含在擷取定價中,無須額外付費。
+ **預設保留期:**2,557 天
+ **最長保留期:**2,557 天
1. 指定事件資料存放區的保留期。**一年可延長保留定價**選項的保留期可介於 7 天到 3,653 天 (約 10 年) 之間;或是**七年保留定價**選項,則可介於 7 天到 2,557 天 (約七年) 之間。
CloudTrail Lake 會透過檢查事件的 `eventTime` 是否在指定保留期以內,決定是否要保留該事件。例如,如果您指定的保留期為 90 天,CloudTrail 將移除 `eventTime` 早於 90 天的事件。
1. (選用) 若要使用 啟用加密 AWS Key Management Service,請選擇**使用我自己的 AWS KMS key**。選擇**新增**以為您 AWS KMS key 建立 ,或選擇**現有**以使用現有的 KMS 金鑰。在 **Enter KMS alias** (輸入 KMS 別名) 中,指定別名,格式為 `alias/`*MyAliasName*。使用您自己的 KMS 金鑰需要您編輯 KMS 金鑰政策,以允許加密和解密您的事件資料存放區。如需詳細資訊,請參閱[設定 CloudTrail 的 AWS KMS 金鑰政策](create-kms-key-policy-for-cloudtrail.md)。CloudTrail 也支援 AWS KMS 多區域金鑰。如需多區域金鑰的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的[使用多區域金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)。
使用您自己的 KMS 金鑰會產生加密和解密 AWS KMS 的成本。將事件資料存放區與 KMS 金鑰建立關聯後,就無法移除或變更 KMS 金鑰。
**注意**
若要啟用組織事件資料存放區的 AWS Key Management Service 加密,您必須使用管理帳戶的現有 KMS 金鑰。
1. (選用) 如果您想使用 Amazon Athena 查詢自己的事件資料,請在 **Lake 查詢聯合**中選擇**啟用**。聯合可讓您在 AWS Glue [Data Catalog](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) 中檢視與事件資料存放區相關聯的中繼資料,並在 Athena 中對事件資料執行 SQL 查詢。儲存在 AWS Glue Data Catalog 中的資料表中繼資料可讓 Athena 查詢引擎了解如何尋找、讀取和處理您要查詢的資料。如需詳細資訊,請參閱[聯合事件資料存放區](query-federation.md)。
若要啟用 Lake 查詢聯合,請選擇**啟用**,然後執行下列動作:
1. 選擇要建立新角色還是使用現有的 IAM 角色。[AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) 會使用此角色來管理聯合事件資料存放區的許可。當您使用 CloudTrail 主控台建立新角色時,CloudTrail 會自動建立具有必要許可的角色。如果您選擇現有角色,請確認該角色的政策可提供[必要的最低許可](query-federation.md#query-federation-permissions-role)。
1. 如果您要建立新角色,請輸入名稱以識別角色。
1. 如果您要使用現有角色,請選擇想使用的角色。該角色必須存在於您的帳戶中。
1. (選用) 選擇**啟用資源政策**,將資源型政策新增至您的事件資料存放區。資源型政策可讓您控制哪些主體可對您的事件存放區執行動作。例如,您可以新增資源型政策,允許其他帳戶中的根使用者查詢此事件資料存放區並檢視查詢結果。如需範例政策,請參閱 [事件資料存放區的資源型政策範例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)。
以資源為基礎的政策包含一或多個陳述式。政策中的每個陳述式都會定義允許或拒絕存取事件資料存放區的[委託人](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html),以及委託人可以對事件資料存放區資源執行的動作。
事件資料存放區的資源型政策支援下列動作:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
對於[組織事件資料存放區](cloudtrail-lake-organizations.md),CloudTrail 會建立[預設資源型政策](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp),列出允許委派管理員帳戶在組織事件資料存放區上執行的動作。此政策中的許可衍生自 中的委派管理員許可 AWS Organizations。此政策會在組織事件資料存放區或組織變更後自動更新 (例如,CloudTrail 委派管理員帳戶已註冊或移除)。
1. (選用) 在 **Tags** (標籤) 區段中,您最多可以新增 50 個標籤金鑰對,以協助您識別、排序和控制對事件資料存放區的存取權限。如需使用 IAM 政策,對以標籤為基礎的事件資料存放區授與存取權限的詳細資訊,請參閱[範例:拒絕以標籤為基礎建立或刪除事件資料存放區的存取權限](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags)。如需如何在 中使用標籤的詳細資訊 AWS,請參閱[《標記 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*使用者指南》中的標記 AWS 資源*。
1. 選擇**下一步**。
1. 在**選擇事件**頁面上,選擇 **AWS 事件**,然後選擇**組態項目**。
1. CloudTrail 會將事件資料存放區資源儲存在您建立該資源的區域中,但在預設情況下,資料存放區中收集的組態項目來自已啟用記錄的帳戶中的所有區域。或者,您也可以選擇 **Include only the current region in my event data store** (在我的事件資料存放區中僅包含目前區域) 以僅包括在目前區域中擷取的組態項目。如果未選擇此選項,則事件資料存放區將包含來自已啟用記錄的所有區域的事件。
1. 若要讓您的事件資料存放區從 AWS Organizations 組織中的所有帳戶收集組態項目,請選取**為組織中的所有帳戶啟用**。您必須登入到組織的管理帳戶或委派的管理員帳戶,才能建立為組織收集組態項目的事件資料存放區。
1. 選擇 **Next** (下一步) 以檢閱您的選項。
1. 在 **Review and create** (檢閱和建立) 頁面上,檢閱您的選擇。選擇 **Edit** (編輯) 以對區段進行變更。當您準備建立事件資料存放區時,請選擇 **Create event data store** (建立事件資料存放區)。
1. 新的事件資料存放區出現在**事件資料存放區**頁面上的**事件資料存放區**表格中。
從此時開始,事件資料存放區將擷取組態項目。建立事件資料存放區之前發生的組態項目,不會儲存在事件資料存放區中。
## 組態項目結構描述
下表說明符合組態項目記錄中的必要和選用結構描述元素。`eventData` 的內容由您的組態項目提供;其他欄位則在擷取後由 CloudTrail 提供。
[CloudTrail 記錄管理、資料和網路活動事件的內容](cloudtrail-event-reference-record-contents.md) 將詳細說明 CloudTrail 事件記錄內容。
+ [擷取後由 CloudTrail 提供的欄位](#fields-cloudtrail-event)
+ [您的事件提供的欄位](#fields-config)
**擷取後由 CloudTrail 提供的欄位**
| 欄位名稱 | 輸入類型 | 需求 | Description |
| --- | --- | --- | --- |
| eventVersion | string | 必要 | AWS 事件格式的版本。 |
| eventCategory | string | 必要 | 事件類別。對於組態項目,有效值為 `ConfigurationItem`。 |
| eventType | string | 必要 | 事件類型。對於組態項目,有效值為 `AwsConfigurationItem`。 |
| eventID | string | 必要 | 事件的唯一 ID。 |
| eventTime | string | 必要 | 事件時間戳記,採用 `yyyy-MM-DDTHH:mm:ss` 格式和國際標準時間 (UTC)。 |
| awsRegion | string | 必要 | 要指派事件 AWS 區域 的 。 |
| recipientAccountId | string | 必要 | 代表收到此事件的 AWS 帳戶 ID。 |
| 附錄 | 附錄 | 選用 | 顯示事件延遲原因的相關資訊。如果現有事件中缺少資訊,則附錄區塊會包含缺少的資訊,以及缺失的原因。 |
**`eventData` 中的欄位由您的組態項目提供**
| 欄位名稱 | 輸入類型 | 需求 | Description |
| --- | --- | --- | --- |
| eventData | - | 必要 | eventData 中的欄位由您的組態項目提供。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/query-event-data-store-config.html) | string | 選用 | 來自其來源的組態項目版本。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/query-event-data-store-config.html) | string | 選用 | 初始化組態記錄的時間。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/query-event-data-store-config.html) | string | 選用 | 組態項目狀態。有效值為`OK`、`ResourceDiscovered`、`ResourceNotRecorded`、` ResourceDeleted`、`ResourceDeletedNotRecorded`。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/query-event-data-store-config.html) | string | 選用 | 與資源相關聯的 12 位數 AWS 帳戶 ID。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/query-event-data-store-config.html) | string | 選用 | AWS 資源的類型。如需有效資源類型的詳細資訊,請參閱 *AWS Config API 參考*中的 [ConfigurationItem](https://docs.aws.amazon.com/config/latest/APIReference/API_ConfigurationItem.html)。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/query-event-data-store-config.html) | string | 選用 | 資源的 ID (例如,sg-*xxxxxx*)。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/query-event-data-store-config.html) | string | 選用 | 資源的自訂名稱 (若有)。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/query-event-data-store-config.html) | string | 選用 | 與資源關聯的 Amazon Resource Name (ARN)。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/query-event-data-store-config.html) | string | 選用 | AWS 區域 資源所在的 。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/query-event-data-store-config.html) | string | 選用 | 與資源關聯的可用區域。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/query-event-data-store-config.html) | string | 選用 | 建立資源時的時間戳記。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/query-event-data-store-config.html) | JSON | 選用 | 資源組態的描述。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/query-event-data-store-config.html) | JSON | 選用 | 針對特定資源類型 AWS Config 傳回的組態屬性,以補充針對組態參數傳回的資訊。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/query-event-data-store-config.html) | string | 選用 | CloudTrail 事件 ID 的清單。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/query-event-data-store-config.html) | - | 選用 | 相關 AWS 資源的清單。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/query-event-data-store-config.html) | string | 選用 | 與相關資源的關係類型。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/query-event-data-store-config.html) | string | 選用 | 相關資源的資源類型。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/query-event-data-store-config.html) | string | 選用 | 相關資源的 ID (例如,sg-*xxxxxx*)。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/query-event-data-store-config.html) | string | 選用 | 相關資源的自訂名稱 (若有)。 |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/query-event-data-store-config.html) | JSON | 選用 | 與資源相關聯的鍵值標籤對應。 |
以下範例說明與組態項目記錄相符的結構描述元素的階層。
```
{
"eventVersion": String,
"eventCategory: String,
"eventType": String,
"eventID": String,
"eventTime": String,
"awsRegion": String,
"recipientAccountId": String,
"addendum": Addendum,
"eventData": {
"configurationItemVersion": String,
"configurationItemCaptureTime": String,
"configurationItemStatus": String,
"configurationStateId": String,
"accountId": String,
"resourceType": String,
"resourceId": String,
"resourceName": String,
"arn": String,
"awsRegion": String,
"availabilityZone": String,
"resourceCreationTime": String,
"configuration": {
JSON,
},
"supplementaryConfiguration": {
JSON,
},
"relatedEvents": [
String
],
"relationships": [
struct{
"name" : String,
"resourceType": String,
"resourceId": String,
"resourceName": String
}
],
"tags": {
JSON
}
}
}
}
```
# AWS 使用 主控台為 外部的事件建立事件資料存放區
**注意**
AWS CloudTrail Lake 自 2026 年 5 月 31 日起不再向新客戶開放。如果您想要使用 CloudTrail Lake,請在該日期之前註冊。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[CloudTrail Lake 可用性變更](cloudtrail-lake-service-availability-change.md)。
您可以建立事件資料存放區以包含 外部的事件 AWS,然後使用 CloudTrail Lake 搜尋、查詢和分析從應用程式記錄的資料。
您可以使用 CloudTrail Lake *整合*,從 外部記錄和存放使用者活動資料 AWS;從混合環境中的任何來源,例如內部或內部部署託管或在雲端、虛擬機器或容器中託管的 SaaS 應用程式。
當您為整合建立事件資料存放區時,也會建立通道,並將資源政策連接到通道。
CloudTrail Lake 事件資料存放區會產生費用。建立事件資料存放區時,您可以選擇要用於事件資料存放區的[定價選項](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)。此定價選項將決定擷取和儲存事件的成本,以及事件資料存放區的預設和最長保留期。如需有關 CloudTrail 定價和管理 Lake 成本的詳細資訊,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/) 和 [管理 CloudTrail Lake 成本](cloudtrail-lake-manage-costs.md)。
## 為 外部的事件建立事件資料存放區 AWS
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 的 CloudTrail 主控台。
1. 在導覽窗格中,選擇 **Lake** 下方的**事件資料存放區**。
1. 選擇 **Create event data store** (建立事件資料存放區)。
1. 在**設定事件資料存放區**頁面上的**一般詳細資訊**中,輸入事件資料存放區的名稱。名稱為必填。
1. 選擇您想用於事件資料存放區的**定價選項**。此定價選項將決定擷取和儲存事件的成本,以及事件資料存放區的預設和最長保留期。如需詳細資訊,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)和 [管理 CloudTrail Lake 成本](cloudtrail-lake-manage-costs.md)。
以下為可用的選項:
+ **一年可延長保留定價** – 如果您預期每月擷取的事件資料少於 25 TB,並需要長達 10 年的彈性保留期,則建議使用此選項。前 366 天 (預設保留期) 的儲存已包含在擷取定價中,無須額外付費。在 366 天之後,延長保留將依用量計費定價。此為預設選項。
+ **預設保留期:**366 天
+ **最長保留期:**3,653 天
+ **七年保留定價** – 如果您預期每月擷取的事件資料超過 25 TB,並需要長達 7 年的彈性保留期,則建議使用此選項。保留已包含在擷取定價中,無須額外付費。
+ **預設保留期:**2,557 天
+ **最長保留期:**2,557 天
1. 指定事件資料存放區的保留期。**一年可延長保留定價**選項的保留期可介於 7 天到 3,653 天 (約 10 年) 之間;或是**七年保留定價**選項,則可介於 7 天到 2,557 天 (約七年) 之間。
CloudTrail Lake 會透過檢查事件的 `eventTime` 是否在指定保留期以內,決定是否要保留該事件。例如,如果您指定的保留期為 90 天,CloudTrail 將移除 `eventTime` 早於 90 天的事件。
1. (選用) 若要使用 啟用加密 AWS Key Management Service,請選擇**使用我自己的 AWS KMS key**。選擇**新增**以為您 AWS KMS key 建立 ,或選擇**現有**以使用現有的 KMS 金鑰。在 **Enter KMS alias** (輸入 KMS 別名) 中,指定別名,格式為 `alias/`*MyAliasName*。使用您自己的 KMS 金鑰需要您編輯 KMS 金鑰政策,以允許加密和解密您的事件資料存放區。如需詳細資訊,請參閱[設定 CloudTrail 的 AWS KMS 金鑰政策](create-kms-key-policy-for-cloudtrail.md)。CloudTrail 也支援 AWS KMS 多區域金鑰。如需多區域金鑰的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》**中的[使用多區域金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)。
使用您自己的 KMS 金鑰會產生加密和解密 AWS KMS 的成本。將事件資料存放區與 KMS 金鑰建立關聯後,就無法移除或變更 KMS 金鑰。
**注意**
若要啟用組織事件資料存放區的 AWS Key Management Service 加密,您必須使用管理帳戶的現有 KMS 金鑰。
1. (選用) 如果您想使用 Amazon Athena 查詢自己的事件資料,請在 **Lake 查詢聯合**中選擇**啟用**。聯合可讓您在 AWS Glue [Data Catalog](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) 中檢視與事件資料存放區相關聯的中繼資料,並在 Athena 中對事件資料執行 SQL 查詢。儲存在 AWS Glue Data Catalog 中的資料表中繼資料可讓 Athena 查詢引擎了解如何尋找、讀取和處理您要查詢的資料。如需詳細資訊,請參閱[聯合事件資料存放區](query-federation.md)。
若要啟用 Lake 查詢聯合,請選擇**啟用**,然後執行下列動作:
1. 選擇要建立新角色還是使用現有的 IAM 角色。[AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) 會使用此角色來管理聯合事件資料存放區的許可。當您使用 CloudTrail 主控台建立新角色時,CloudTrail 會自動建立具有必要許可的角色。如果您選擇現有角色,請確認該角色的政策可提供[必要的最低許可](query-federation.md#query-federation-permissions-role)。
1. 如果您要建立新角色,請輸入名稱以識別角色。
1. 如果您要使用現有角色,請選擇想使用的角色。該角色必須存在於您的帳戶中。
1. (選用) 選擇**啟用資源政策**,將資源型政策新增至您的事件資料存放區。資源型政策可讓您控制哪些主體可對您的事件存放區執行動作。例如,您可以新增資源型政策,允許其他帳戶中的根使用者查詢此事件資料存放區並檢視查詢結果。如需範例政策,請參閱 [事件資料存放區的資源型政策範例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)。
以資源為基礎的政策包含一或多個陳述式。政策中的每個陳述式都會定義允許或拒絕存取事件資料存放區的[委託人](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html),以及委託人可以在事件資料存放區資源上執行的動作。
事件資料存放區的資源型政策支援下列動作:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
對於[組織事件資料存放區](cloudtrail-lake-organizations.md),CloudTrail 會建立[預設資源型政策](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp),列出允許委派管理員帳戶在組織事件資料存放區上執行的動作。此政策中的許可衍生自 中的委派管理員許可 AWS Organizations。此政策會在組織事件資料存放區或組織變更後自動更新 (例如,CloudTrail 委派管理員帳戶已註冊或移除)。
1. (選用) 在 **Tags** (標籤) 區段中,您最多可以新增 50 個標籤金鑰對,以協助您識別、排序和控制對事件資料存放區的存取權限。如需使用 IAM 政策,對以標籤為基礎的事件資料存放區授與存取權限的詳細資訊,請參閱[範例:拒絕以標籤為基礎建立或刪除事件資料存放區的存取權限](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags)。如需如何在 中使用標籤的詳細資訊 AWS,請參閱[《標記 AWS 資源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*使用者指南》中的標記 AWS 資源*。
1. 選擇 **Next** (下一步) 以設定事件資料存放區。
1. 在 **Choose events** (選擇事件) 頁面上,選擇 **Events from integrations** (來自整合的事件)。
1. 從 **Events from integration** (來自整合的事件) 中,選擇要將事件傳送至事件資料存放區的來源。
1. 提供名稱以識別整合的通道。名稱長度範圍是 3-128 個字元。只能使用字母、數字、句號、底線和破折號。
1. 在 **Resource policy** (資源政策) 中,為整合的通道設定資源政策。資源政策是 JSON 政策文件,這些文件會指出指定的主體可對資源執行哪些動作以及相關條件。在資源政策中定義為主體的帳戶可以呼叫 `PutAuditEvents` API,將事件傳送至您的通道。如果資源擁有者的 IAM 政策允許 `cloudtrail-data:PutAuditEvents` 動作,則資源擁有者對資源具有隱含存取權。
政策所需的資訊取決於整合類型。對於方向整合,CloudTrail 會自動新增合作夥伴 AWS 的帳戶 IDs,並要求您輸入合作夥伴提供的唯一外部 ID。對於解決方案整合,您必須指定至少一個 AWS 帳戶 ID 作為委託人,並且可以選擇輸入外部 ID 以防止混淆代理人。
**注意**
如果您沒有為通道建立資源政策,則只有通道擁有者可以在通道上呼叫 `PutAuditEvents` API。
1. 對於直接整合,請輸入合作夥伴提供的外部 ID。整合合作夥伴提供唯一外部 ID,例如帳戶 ID 或隨機產生的字串,以供整合用於預防混淆代理人。合作夥伴負責建立並提供唯一外部 ID。
您可以選擇 **How to find this?** (如何尋找此資訊?) 以檢視合作夥伴有關描述如何尋找外部 ID 的文件。
![\[外部 ID 的合作夥伴文件\]](http://docs.aws.amazon.com/zh_tw/awscloudtrail/latest/userguide/images/integration-external-id.png)
**注意**
如果資源政策包含外部 ID,則對 `PutAuditEvents` API 的所有呼叫都必須包含外部 ID。不過,如果政策未定義外部 ID,合作夥伴仍可呼叫 `PutAuditEvents` API 並指定 `externalId` 參數。
1. 針對解決方案整合,選擇**新增 AWS 帳戶**以指定要新增為政策中主體的每個 AWS 帳戶 ID。
1. 選擇 **Next** (下一步) 以檢閱您的選項。
1. 在 **Review and create** (檢閱和建立) 頁面上,檢閱您的選擇。選擇 **Edit** (編輯) 以對區段進行變更。當您準備建立事件資料存放區時,請選擇 **Create event data store** (建立事件資料存放區)。
1. 新的事件資料存放區出現在**事件資料存放區**頁面上的**事件資料存放區**表格中。
1. 提供通道 Amazon Resource Name (ARN) 給合作夥伴應用程式。如需將通道 ARN 提供給合作夥伴應用程式的說明,請參閱合作夥伴文件網站。如需詳細資訊,請在 **Integrations** (整合) 頁面的 **Available sources** (可用來源) 索引標籤中選擇合作夥伴的 **Learn more** (進一步了解) 連結,以在 AWS Marketplace中開啟合作夥伴的頁面。
當您、合作夥伴或合作夥伴應用程式在通道上呼叫 `PutAuditEvents` API 時,事件資料存放區就會開始透過整合的通道將合作夥伴事件擷取到 CloudTrail 中。
# 使用主控台更新事件資料存放區
**注意**
AWS CloudTrail Lake 自 2026 年 5 月 31 日起不再向新客戶開放。如果您想要使用 CloudTrail Lake,請在該日期之前註冊。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[CloudTrail Lake 可用性變更](cloudtrail-lake-service-availability-change.md)。
本節說明如何使用 AWS 管理主控台更新事件資料存放區的設定。如需如何使用 更新事件資料存放區的資訊 AWS CLI,請參閱 [使用 更新事件資料存放區 AWS CLI](lake-cli-update-eds.md)。
**更新事件資料存放區**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 的 CloudTrail 主控台。
1. 在導覽窗格中,選擇 **Lake** 下方的**事件資料存放區**。
1. 選擇您要更新的事件資料存放區。此動作會開啟事件資料存放區的詳細資訊頁面。
1. 在**一般詳細資訊**中,選擇**編輯**以變更下列設定:
+ **事件資料存放區名稱** – 變更可識別事件資料存放區的名稱。
+ **[定價選項](cloudtrail-lake-concepts.md#eds-pricing-tier)** – 對於使用**七年保留定價**選項的事件資料存放區,您可以改為選擇使用**一年可延長保留定價**。如果事件資料存放區每月擷取的事件資料少於 25 TB,建議您使用一年可延長保留定價。如果您需要長達 10 年的彈性保留期,同樣建議您使用一年可延長保留定價。如需詳細資訊,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)和 [管理 CloudTrail Lake 成本](cloudtrail-lake-manage-costs.md)。
**注意**
對於使用**一年可延長保留定價**的事件資料存放區,您無法變更其定價選項。如果您要使用**七年保留定價**,請在事件資料存放區上[停止擷取](query-eds-stop-ingestion.md)。然後,使用**七年保留定價**選項建立新的事件資料存放區。
+ **保留期** – 變更事件資料存放區的保留期。保留期將決定事件資料保留在事件資料存放區中的時間長度。**一年可延長保留定價**選項的保留期可介於 7 天到 3,653 天 (約 10 年) 之間;或是**七年保留定價**選項,則可介於 7 天到 2,557 天 (約七年) 之間。
**注意**
如果您縮短事件資料存放區的保留期,CloudTrail 將移除 `eventTime` 早於新保留期的任何事件。例如,如果先前的保留期為 365 天,而您將其縮短到 100 天,則 CloudTrail 會移除 `eventTime` 早於 100 天的事件。
+ **加密** – 若要使用您自己的 KMS 金鑰來加密事件資料存放區,請選擇**使用我自己的 AWS KMS key**。依預設,CloudTrail 會加密事件資料存放區中的所有事件。使用您自己的 KMS 金鑰會產生加密和解密 AWS KMS 的成本。
**注意**
將事件資料存放區與 KMS 金鑰建立關聯後,您便無法移除或變更 KMS 金鑰。
+ 若只要包含目前 AWS 區域中記錄的事件,請選擇**在我的事件資料存放區中僅包含目前區域**。如果您未選擇此選項,則事件資料存放區將包含來自所有區域的事件。
+ 若要讓您的事件資料存放區從 AWS Organizations 組織中的所有帳戶收集事件,請**為組織中的所有帳戶選擇啟用**。只有在您使用組織的管理帳戶登入,且事件資料存放區的**事件類型**為 **CloudTrail 事件**或**組態項目**時,才能使用此選項。
完成後,請選擇**儲存變更**。
1. 在 **Lake 查詢聯合**中,選擇**編輯**以啟用或停用 Lake 查詢聯合。[啟用 Lake 查詢聯合](query-enable-federation.md)可讓您在 AWS Glue [資料目錄中](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)檢視事件資料存放區的中繼資料,並使用 Amazon Athena 對事件資料執行 SQL 查詢。[停用 Lake 查詢聯合會](query-disable-federation.md)會停用與 AWS Glue AWS Lake Formation和 Amazon Athena 的整合。停用 Lake 查詢聯合後,您將無法再於 Athena 中查詢資料。當您停用聯合時,系統不會刪除任何 CloudTrail Lake 資料,而且您可以繼續在 CloudTrail Lake 中執行查詢。
若要啟用聯合,請執行下列動作:
1. 選擇**啟用**。
1. 選擇是要建立新的 IAM 角色,還是使用現有角色。當您建立新角色時,CloudTrail 會自動建立具有所需許可的角色。如果您使用現有角色,請確認該角色的政策可提供[所需的最低許可](query-federation.md#query-federation-permissions-role)。
1. 如果您要建立新的 IAM 角色,請輸入角色的名稱。
1. 如果您要選擇現有的 IAM 角色,請選擇想使用的角色。該角色必須存在於您的帳戶中。
完成時,請選擇**儲存變更**。
1. 在**資源政策**中,選擇**編輯**以新增或修改事件資料存放區的資源型政策。
資源型政策可讓您控制哪些主體可對您的事件存放區執行動作。例如,您可以新增資源型政策,允許其他帳戶中的根使用者查詢此事件資料存放區並檢視查詢結果。如需範例政策,請參閱 [事件資料存放區的資源型政策範例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)。
以資源為基礎的政策包含一或多個陳述式。政策中的每個陳述式都會定義允許或拒絕存取事件資料存放區的[委託人](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html),以及委託人可以對事件資料存放區資源執行的動作。
事件資料存放區的資源型政策支援下列動作:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
對於[組織事件資料存放區](cloudtrail-lake-organizations.md),CloudTrail 會建立[預設資源型政策](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp),列出允許委派管理員帳戶在組織事件資料存放區上執行的動作。此政策中的許可衍生自 中的委派管理員許可 AWS Organizations。此政策會在組織事件資料存放區或組織變更後自動更新 (例如,CloudTrail 委派管理員帳戶已註冊或移除)。
1. 編輯事件資料存放區**事件類型**特有的任何其他設定。
**CloudTrail 事件的設定**
+ 若要變更事件資料存放區記錄的事件,請在 **CloudTrail 事件**中選擇**編輯**。
+ 在**管理事件**中,選擇**編輯**以變更管理事件的設定。如需詳細資訊,請參閱[更新現有事件資料存放區的管理事件設定](logging-management-events-with-cloudtrail.md#logging-management-events-with-the-cloudtrail-console-eds)。
+ 在**資料事件**中,選擇**編輯**以變更資料事件的設定。您可以選擇要記錄的資源類型,然後選擇要使用的日誌選取器範本。如需詳細資訊,請參閱[更新現有的事件資料存放區,以使用主控台記錄資料事件](logging-data-events-with-cloudtrail.md#logging-data-events-with-the-cloudtrail-console-eds)。
+ 在**網路活動事件**中,選擇**編輯**以變更網路活動事件的設定。您可以選擇要記錄的網路活動事件類型,然後選擇要使用的日誌選取器範本。如需詳細資訊,請參閱[更新現有的事件資料存放區以記錄網路活動事件](logging-network-events-with-cloudtrail.md#log-network-events-lake-console)。
+ 在**富集事件中,展開事件大小**,選擇**編輯**以新增或移除資源標籤和 IAM 全域條件索引鍵,然後展開事件大小。
在**富集事件**中,新增最多 50 個資源標籤金鑰和 50 個 IAM 全域條件金鑰,以提供事件的其他中繼資料。這可協助您分類和分組相關事件。
如果您新增資源標籤索引鍵,CloudTrail 將包含與 API 呼叫中所涉及資源相關聯的所選標籤索引鍵。與已刪除資源相關的 API 事件將不會有資源標籤。
如果您新增 IAM 全域條件金鑰,CloudTrail 將包含授權程序期間評估之所選條件金鑰的相關資訊,包括委託人、工作階段、網路和請求本身的其他詳細資訊。
資源標籤索引鍵和 IAM 全域條件索引鍵的相關資訊會顯示在事件的 `eventContext` 欄位中。如需詳細資訊,請參閱[透過新增資源標籤索引鍵和 IAM 全域條件索引鍵來豐富 CloudTrail 事件](cloudtrail-context-events.md)。
**注意**
如果事件包含不屬於事件區域的資源,CloudTrail 將不會填入此資源的標籤,因為標籤擷取僅限於事件區域。
選擇**展開事件大小**,將事件承載從 256 KB 擴展到 1 MB。當您新增資源標籤金鑰或 IAM 全域條件金鑰時,此選項會自動啟用,以確保所有新增的金鑰都包含在事件中。
擴展事件大小有助於分析和疑難排解事件,因為它可讓您查看下列欄位的完整內容,只要事件承載小於 1 MB:
+ `annotation`
+ `requestID`
+ `additionalEventData`
+ `serviceEventDetails`
+ `userAgent`
+ `errorCode`
+ `responseElements`
+ `requestParameters`
+ `errorMessage`
如需這些欄位的詳細資訊,請參閱 [CloudTrail 記錄內容](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html)。
完成後,請選擇**儲存變更**。
**整合事件的設定**
在**整合**中,選擇您的整合。然後,選擇**編輯**以變更下列設定:
+ 在**整合詳細資訊**中,變更可識別整合通道的名稱。
+ 在**事件交付位置**中,選擇事件的目的地。
+ 在 **Resource policy** (資源政策) 中,為整合的通道設定資源政策。
完成後,請選擇**儲存變更**。
如需這些設定的詳細資訊,請參閱 [使用主控台建立與 CloudTrail 合作夥伴的整合](query-event-data-store-integration-partner.md)。
1. 若要新增、變更或移除標籤,請在**標籤**中選擇**編輯**。您最多可以新增 50 個標籤金鑰對,以協助您識別、排序和控制事件資料存放區的存取權限。完成後,請選擇**儲存變更**。
# 使用主控台停止和啟動事件擷取
**注意**
AWS CloudTrail Lake 自 2026 年 5 月 31 日起不再向新客戶開放。如果您想要使用 CloudTrail Lake,請在該日期之前註冊。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[CloudTrail Lake 可用性變更](cloudtrail-lake-service-availability-change.md)。
依預設,事件資料存放區設定為擷取事件。您可以使用 主控台 AWS CLI或 APIs 來停止事件資料存放區擷取事件。
**開始擷取**和**停止擷取**的選項僅適用於包含 CloudTrail 事件 (管理事件、資料事件和網路活動事件) 或 AWS Config 組態項目的事件資料存放區。
當您停止事件資料存放區的擷取時,該事件資料存放區的狀態變更為 `STOPPED_INGESTION`。您仍然可以對已在事件資料存放區內的任何事件執行查詢。您也可以將追蹤事件複製到事件資料存放區 (如果只包含 CloudTrail 事件)。
**若要使事件資料存放區停止擷取事件**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 的 CloudTrail 主控台。
1. 在導覽窗格中,選擇 **Lake** 下方的**事件資料存放區**。
1. 選擇事件資料存放區。
1. 在**動作**中,選擇**停止擷取**。
1. 出現確認提示時,選擇**停止擷取**。事件資料存放區將停止擷取即時事件。
1. 若要繼續擷取,選擇**開始擷取**。
**重新開始事件擷取**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 的 CloudTrail 主控台。
1. 在導覽窗格中,選擇 **Lake** 下方的**事件資料存放區**。
1. 選擇事件資料存放區。
1. 在**動作**中,選擇**開始擷取**。
# 使用主控台變更終止保護
**注意**
AWS CloudTrail Lake 自 2026 年 5 月 31 日起不再向新客戶開放。如果您想要使用 CloudTrail Lake,請在該日期之前註冊。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[CloudTrail Lake 可用性變更](cloudtrail-lake-service-availability-change.md)。
根據預設, AWS CloudTrail Lake 中的事件資料存放區會設定為啟用終止保護。終止保護可防止意外刪除事件資料存放區。如果您要刪除事件資料存放區,必須停用終止保護。您可以使用 AWS 管理主控台 AWS CLI或 API 操作來停用終止保護。
**關閉終止保護**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 開啟 CloudTrail 主控台。
1. 在導覽窗格中,選擇 **Lake** 下方的**事件資料存放區**。
1. 選擇事件資料存放區。
1. 在**動作**中,選擇**變更終止保護**。
1. 選擇**停用**。
1. 選擇**儲存**。您現在可以[刪除事件資料存放區](query-event-data-store-delete.md)。
**開啟終止保護**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 的 CloudTrail 主控台。
1. 在導覽窗格中,選擇 **Lake** 下方的**事件資料存放區**。
1. 選擇事件資料存放區。
1. 在**動作**中,選擇**變更終止保護**。
1. 若要開啟終止保護,請選擇**啟用**。
1. 選擇**儲存**。
# 使用主控台刪除事件資料存放區
**注意**
AWS CloudTrail Lake 自 2026 年 5 月 31 日起不再向新客戶開放。如果您想要使用 CloudTrail Lake,請在該日期之前註冊。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[CloudTrail Lake 可用性變更](cloudtrail-lake-service-availability-change.md)。
本節說明如何使用 CloudTrail 主控台刪除事件資料存放區。如需如何使用 刪除事件資料存放區的資訊 AWS CLI,請參閱 [使用 刪除事件資料存放區 AWS CLI](lake-cli-delete-eds.md)。
**注意**
如果已啟用[終止保護](query-eds-termination-protection.md)或 [Lake 查詢聯合](query-enable-federation.md),則無法刪除事件資料存放區。依預設,CloudTrail 會啟用終止保護,以防止意外刪除事件資料存放區。
若要刪除事件類型為**來自整合的事件**的事件資料存放區,您必須先刪除整合的通道。您可以從整合的詳細資訊頁面或使用 **aws cloudtrail delete-channel** 命令刪除通道。如需詳細資訊,請參閱[刪除頻道以刪除與 的整合 AWS CLI](lake-cli-delete-integration.md)
**刪除事件資料存放區**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 開啟 CloudTrail 主控台。
1. 在導覽窗格中,選擇 **Lake** 下方的**事件資料存放區**。
1. 選擇事件資料存放區。
1. 對於 **Actions** (動作),選擇 **Delete** (刪除)。
1. 輸入事件資料存放區的名稱,以確認您要將其刪除。
1. 選擇 **刪除**。
刪除事件資料存放區後,該事件資料存放區的狀態會變更為 `PENDING_DELETION`,並維持在該狀態 7 天。您可以在 7 天等待期內[還原](query-eds-restore.md)事件資料存放區。事件資料存放區處於 `PENDING_DELETION` 狀態時無法用於查詢,而且除了還原操作外,您不能對事件資料存放區執行其他任何操作。待刪除的事件資料存放區不會擷取事件,也不會產生費用。待刪除的事件資料存放區會計入一個 中可能存在的事件資料存放區的配額 AWS 區域。
# 使用主控台還原事件資料存放區
**注意**
AWS CloudTrail Lake 自 2026 年 5 月 31 日起不再向新客戶開放。如果您想要使用 CloudTrail Lake,請在該日期之前註冊。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[CloudTrail Lake 可用性變更](cloudtrail-lake-service-availability-change.md)。
在您刪除 AWS CloudTrail Lake 中的事件資料存放區之後,其狀態會變更為 ,`PENDING_DELETION`並保持該狀態 7 天。在此期間,您可以使用 AWS 管理主控台 AWS CLI或 [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_RestoreEventDataStore.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_RestoreEventDataStore.html) API 操作來還原事件資料存放區。
本節說明如何使用主控台還原事件資料存放區。如需如何使用 還原事件資料存放區的資訊 AWS CLI,請參閱 [使用 還原事件資料存放區 AWS CLI](lake-cli-manage-eds.md#lake-cli-restore-eds)。
**還原事件資料存放區**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 的 CloudTrail 主控台。
1. 在導覽窗格中,選擇 **Lake** 下方的**事件資料存放區**。
1. 選擇事件資料存放區。
1. 在**動作**中,選擇**還原**。
# 從 CloudTrail Lake Event Data Store 匯出資料至 CloudWatch
**注意**
AWS CloudTrail Lake 自 2026 年 5 月 31 日起不再向新客戶開放。如果您想要使用 CloudTrail Lake,請在該日期之前註冊。現有客戶可以繼續正常使用該服務。如需詳細資訊,請參閱[CloudTrail Lake 可用性變更](cloudtrail-lake-service-availability-change.md)。
將 CloudTrail Lake 資料提供給 CloudWatch 提供數種優點:
+ **集中式日誌管理** - 將 CloudTrail 事件與 CloudWatch 中的應用程式日誌、基礎設施日誌和其他資料來源合併。
+ **簡化整合** - CloudWatch 只需幾個步驟即可處理匯入程序 - 指定事件資料存放區和資料範圍。
+ **歷史資料存取** - 匯入歷史 CloudTrail Lake 資料,以分析過去的事件與目前的操作資料。
+ **無需額外 CloudTrail 成本** - 簡化的 CloudTrail Lake 資料匯入無需額外 CloudTrail 成本。不過,套用不常存取自訂日誌定價時,會產生 CloudWatch 成本。
本節說明如何使用 CloudTrail 主控台從事件資料存放區匯出資料。如需有關如何透過 SDK 或 執行此操作的資訊 AWS CLI,請參閱 [CloudWatch 文件](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/)
**從事件資料存放區匯出資料**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) 的 CloudTrail 主控台。
1. 在導覽窗格中,選擇 **Lake** 下方的**事件資料存放區**。
1. 選擇事件資料存放區。
1. 在**動作**中,選擇**匯出至 CloudWatch**。
1. 選擇要匯出 EDS 資料的時間範圍。
1. 使用指示來建立或提供 IAM 角色,CloudTrail 將使用該角色來存取您的資料以進行匯出。
1. 選擇 **Export** (匯出)。
讓 CloudTrail Lake 資料可供匯出至 CloudWatch 時,請考慮下列事項:
+ **定價** - 雖然 CloudTrail Lake 資料的簡化匯出無需額外 CloudTrail 成本,但根據自訂日誌定價會產生 CloudWatch 費用
+ **資料保留** - 確保您的 CloudTrail Lake 事件資料存放區保留期間涵蓋您要匯出的歷史資料
+ **區域可用性** - 檢查 CloudWatch 文件以取得此功能支援 AWS 的區域
+ **事件資料存放區存取** - 您必須能夠存取要從中匯出資料的事件資料存放區。