本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# CloudTrail 湖泊仪表板
**注意**
AWS CloudTrail 从 2026 年 5 月 31 日起,Lake 将不再向新客户开放。如果您想使用 CloudTrail Lake,请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [CloudTrail 湖泊可用性变更](cloudtrail-lake-service-availability-change.md)。
您可以使用 CloudTrail Lake 控制面板查看账户中事件数据存储的事件趋势。 CloudTrail Lake 提供以下类型的仪表板:
+ **托管的控制面板**:可以查看托管的控制面板,以查看收集管理事件、数据事件或 Insights 事件的事件数据存储的事件趋势。这些仪表板将自动提供给您,并由 CloudTrail Lake 管理。 CloudTrail 提供 14 个托管仪表板供您选择。您可以手动刷新托管的控制面板。您无法修改、添加或移除这些控制面板的小组件,但是,如果要修改小组件或设置刷新计划,则可以将托管的控制面板另存为自定义控制面板。
+ **自定义控制面板**:自定义控制面板可让您查询任何事件数据存储类型中的事件。最多可以向自定义控制面板添加 10 个小组件。可以手动刷新自定义控制面板,也可以设置刷新计划。
+ **亮点仪表板** — 启用 “亮点” 仪表板可查看您账户中事件数据存储所收集的 AWS 活动 at-a-glance概览。Highlights 控制面板由您管理 CloudTrail 并包含与您的账户相关的小部件。“要点”控制面板上显示的小组件对于每个账户都是独一无二的。这些小组件可能会显示检测到的异常活动或异常。例如,您的 Highlights 控制面板可能包含**跨账户访问权限总额小工具**,它会显示异常跨账户活动是否有所增加。 CloudTrail 每 6 小时更新一次 “亮点” 控制面板。控制面板显示自上次更新以来最近 24 小时的数据。
每个控制面板由一个或多个小组件组成,每个小组件都提供 SQL 查询结果的图形表示。要查看小组件的查询,请选择**查看和编辑查询**以打开查询编辑器。
刷新仪表板后, CloudTrail Lake 会运行查询以填充仪表板的微件。由于运行查询会产生成本,因此 CloudTrail 要求您确认与运行查询相关的成本。有关 CloudTrail 定价的更多信息,请参阅[CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。
**Topics**
+ [先决条件](#lake-dashboard-prerequisites)
+ [限制](#lake-dashboard-limitations)
+ [区域支持](#lake-dashboard-regions)
+ [所需的权限](#lake-dashboard-permissions)
+ [使用控制 CloudTrail 台查看托管仪表板](lake-dashboard-managed.md)
+ [使用控制 CloudTrail 台启用 “亮点” 仪表板](lake-dashboard-highlights.md)
+ [使用控制 CloudTrail 台禁用 “亮点” 仪表板](lake-dashboard-highlights-disable.md)
+ [使用控制台创建自定义 CloudTrail 控制面板](lake-dashboard-custom.md)
+ [使用 CloudTrail 控制台为自定义仪表板设置刷新计划](lake-dashboard-refresh.md)
+ [使用 CloudTrail 控制台禁用自定义仪表板的刷新计划](lake-dashboard-refresh-disable.md)
+ [使用 CloudTrail 控制台更改终止保护](lake-dashboard-termination-protection.md)
+ [使用控制 CloudTrail 台删除自定义仪表板](lake-dashboard-delete.md)
+ [使用创建、更新和管理仪表板 AWS CLI](lake-dashboard-cli.md)
## 先决条件
以下先决条件适用于 CloudTrail Lake 仪表板:
+ 要查看和使用 Lake 仪表板,必须至少创建一个 CloudTrail Lake 事件数据存储。您可以使用控制台 AWS CLI、或创建事件数据存储 SDKs。有关使用控制台创建数据存储的信息,请参阅 [使用控制台为事件创建 CloudTrail 事件数据存储](query-event-data-store-cloudtrail.md)。有关使用创建事件数据存储的信息 AWS CLI,请参阅[使用创建事件数据存储 AWS CLI](lake-cli-create-eds.md)。
+ 您必须拥有足够的权限才能查看、创建、更新和刷新控制面板。有关更多信息,请参阅 [所需的权限](#lake-dashboard-permissions)。
## 限制
以下限制适用于 CloudTrail Lake 仪表板:
+ 您只能为账户中存在的事件数据存储启用“要点”控制面板。
+ 您只能查看您的账户中存在的事件数据存储的托管的控制面板。
+ 对于自定义控制面板,您只能添加示例小组件或创建新的小组件来查询账户中存在的事件数据存储。
+ AWS Organizations 组织的授权管理员无法查看或管理管理账户拥有的仪表板。
## 区域支持
所有支持 CloudTrail Lake AWS 区域 的地方都支持 CloudTrail Lake 仪表板。
以下区域支持**要点**控制面板上的**活动摘要**小组件:
+ 亚太地区(东京)区域(ap-northeast-1)
+ 美国东部(弗吉尼亚州北部)(us-east-1)
+ 美国西部(俄勒冈州)区域(us-west-1)
所有支持 CloudTrail Lake AWS 区域 的地方都支持所有其他控件。
有关 CloudTrail Lake 支持区域的信息,请参阅[CloudTrail 支持湖泊的区域](cloudtrail-lake-supported-regions.md)。
## 所需的权限
本节介绍了 CloudTrail Lake 控制面板所需的权限,并讨论了两种类型的 IAM 策略:
+ 基于身份的策略,允许您执行创建、管理和删除控制面板的操作。
+ 基于资源的策略, CloudTrail 允许在刷新仪表板时对事件数据存储进行查询,并代表您按计划刷新自定义仪表板和 Highlights 仪表板。使用 CloudTrail 控制台创建仪表板时,您可以选择附加基于资源的策略。您也可以运行 AWS CLI [`put-resource-policy`](lake-dashboard-cli-manage.md#lake-dashboard-cli-add-rbp)命令将基于资源的策略添加到事件数据存储或仪表板。
### 基于身份的策略要求
基于身份的策略是可附加到身份(如 IAM 用户、用户组或角色)的 JSON 权限策略文档。这些策略控制用户和角色可在何种条件下对哪些资源执行哪些操作。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
要查看和管理 CloudTrail Lake 仪表板,您需要以下策略之一:
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html) 托管式策略。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess.html) 托管式策略。
+ 包含以下各节中描述的一项或多项特定权限的自定义策略。
**Topics**
+ [创建控制面板所需的权限](#lake-dashboard-permissions-identity-create)
+ [更新控制面板所需的权限](#lake-dashboard-permissions-identity-update)
+ [刷新控制面板所需的权限](#lake-dashboard-permissions-identity-create)
#### 创建控制面板所需的权限
以下示例策略提供了创建控制面板所需的最低权限。将*partition*、*region**account-id*、和,*eds-id*替换为您的配置值。
+ 只有当请求包含小组件时,才需要 `StartQuery` 权限。为小组件查询中包含的所有事件数据存储提供 `StartQuery` 权限。
+ 只有当控制面板有刷新计划时,才需要 `StartDashboardRefresh` 权限。
+ 对于“要点”控制面板,调用方必须对账户中的所有事件数据存储拥有 `StartQuery` 权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"cloudtrail:CreateDashboard",
"cloudtrail:StartDashboardRefresh",
"cloudtrail:StartQuery"
],
"Resource": [
"arn:aws:cloudtrail:us-east-1:111111111111:dashboard/*",
"arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/eds-id"
]
}
]
}
```
------
#### 更新控制面板所需的权限
以下示例策略提供了更新控制面板所需的最低权限。将*partition*、*region**account-id*、和,*eds-id*替换为您的配置值。
+ 只有当请求包含小组件时,才需要 `StartQuery` 权限。为小组件查询中包含的所有事件数据存储提供 `StartQuery` 权限。
+ 只有当控制面板有刷新计划时,才需要 `StartDashboardRefresh` 权限。
+ 对于“要点”控制面板,调用方必须对账户中的所有事件数据存储拥有 `StartQuery` 权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"cloudtrail:UpdateDashboard",
"cloudtrail:StartDashboardRefresh",
"cloudtrail:StartQuery"
],
"Resource": [
"arn:aws:cloudtrail:us-east-1:111111111111:dashboard/*",
"arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/eds-id"
]
}
]
}
```
------
#### 刷新控制面板所需的权限
以下示例策略提供了刷新控制面板所需的最低权限。将*partition*、*region*、*account-id**dashboard-name*、和*eds-id*替换为您的配置值。
+ 对于自定义控制面板和“要点”控制面板,调用方必须拥有 `cloudtrail:StartDashboardRefresh permissions`。
+ 对于托管的控制面板,调用方必须对刷新中涉及的事件数据存储拥有 `cloudtrail:StartDashboardRefresh` 权限和 `cloudtrail:StartQuery` 权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"cloudtrail:StartDashboardRefresh",
"cloudtrail:StartQuery"
],
"Resource": [
"arn:aws:cloudtrail:us-east-1:111111111111:dashboard/dashboard-name",
"arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/eds-id"
]
}
]
}
```
------
### 控制面板和事件数据存储的基于资源的策略
基于资源的策略是附加到资源的 JSON 策略文档。基于资源的策略的示例包括 IAM 角色信任策略和 Amazon S3 存储桶策略。对于在其中附加策略的资源,策略定义指定主体可以对该资源执行哪些操作以及在什么条件下执行。您必须在基于资源的策略中指定主体。
要在手动或计划刷新期间对控制面板运行查询,您必须将基于资源的策略附加到与控制面板上的小组件关联的每个事件数据存储。这允许 CloudTrail Lake 代表您运行查询。当您创建自定义仪表板或使用 CloudTrail 控制台启用 High **li** ghts 仪表板时, CloudTrail 您可以选择要向哪些事件数据存储应用权限。有关基于资源的策略的更多信息,请参阅 [示例:允许 CloudTrail 运行查询以刷新仪表板](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds-dashboard)。
要为仪表板设置刷新计划,您必须将基于资源的策略附加到仪表板,以允许 CloudTrail Lake 代表您刷新仪表板。当您为自定义仪表板设置刷新计划或使用 CloudTrail 控制台启用 High **li** ghts 仪表板时, CloudTrail 您可以选择将基于资源的策略附加到仪表板。有关策略示例,请参阅 [控制面板的基于资源的策略示例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-dashboards)。
您可以使用 CloudTrail 控制台[AWS CLI](lake-dashboard-cli-manage.md#lake-dashboard-cli-add-rbp)、或 [PutResourcePolicy](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutResourcePolicy.html)API 操作附加基于资源的策略。
### 用于解密事件数据存储中的数据的 KMS 密钥权限
如果查询的事件数据存储使用 KMS 密钥加密,请确保 KMS 密钥策略 CloudTrail 允许解密事件数据存储中的数据。以下示例策略语句允许 CloudTrail 服务主体解密事件数据存储。
```
{
"Sid": "AllowCloudTrailDecryptAccess",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*"
}
```