本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# CloudTrail 湖泊仪表板
<a name="lake-dashboard"></a>

**注意**  
AWS CloudTrail 从 2026 年 5 月 31 日起，Lake 将不再向新客户开放。如果您想使用 CloudTrail Lake，请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息，请参阅 [CloudTrail 湖泊可用性变更](cloudtrail-lake-service-availability-change.md)。

您可以使用 CloudTrail Lake 控制面板查看账户中事件数据存储的事件趋势。 CloudTrail Lake 提供以下类型的仪表板：
+ **托管的控制面板**：可以查看托管的控制面板，以查看收集管理事件、数据事件或 Insights 事件的事件数据存储的事件趋势。这些仪表板将自动提供给您，并由 CloudTrail Lake 管理。 CloudTrail 提供 14 个托管仪表板供您选择。您可以手动刷新托管的控制面板。您无法修改、添加或移除这些控制面板的小组件，但是，如果要修改小组件或设置刷新计划，则可以将托管的控制面板另存为自定义控制面板。
+ **自定义控制面板**：自定义控制面板可让您查询任何事件数据存储类型中的事件。最多可以向自定义控制面板添加 10 个小组件。可以手动刷新自定义控制面板，也可以设置刷新计划。
+ **亮点仪表板** — 启用 “亮点” 仪表板可查看您账户中事件数据存储所收集的 AWS 活动 at-a-glance概览。Highlights 控制面板由您管理 CloudTrail 并包含与您的账户相关的小部件。“要点”控制面板上显示的小组件对于每个账户都是独一无二的。这些小组件可能会显示检测到的异常活动或异常。例如，您的 Highlights 控制面板可能包含**跨账户访问权限总额小工具**，它会显示异常跨账户活动是否有所增加。 CloudTrail 每 6 小时更新一次 “亮点” 控制面板。控制面板显示自上次更新以来最近 24 小时的数据。

每个控制面板由一个或多个小组件组成，每个小组件都提供 SQL 查询结果的图形表示。要查看小组件的查询，请选择**查看和编辑查询**以打开查询编辑器。

刷新仪表板后， CloudTrail Lake 会运行查询以填充仪表板的微件。由于运行查询会产生成本，因此 CloudTrail 要求您确认与运行查询相关的成本。有关 CloudTrail 定价的更多信息，请参阅[CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。

**Topics**
+ [先决条件](#lake-dashboard-prerequisites)
+ [限制](#lake-dashboard-limitations)
+ [区域支持](#lake-dashboard-regions)
+ [所需的权限](#lake-dashboard-permissions)
+ [使用控制 CloudTrail 台查看托管仪表板](lake-dashboard-managed.md)
+ [使用控制 CloudTrail 台启用 “亮点” 仪表板](lake-dashboard-highlights.md)
+ [使用控制 CloudTrail 台禁用 “亮点” 仪表板](lake-dashboard-highlights-disable.md)
+ [使用控制台创建自定义 CloudTrail 控制面板](lake-dashboard-custom.md)
+ [使用 CloudTrail 控制台为自定义仪表板设置刷新计划](lake-dashboard-refresh.md)
+ [使用 CloudTrail 控制台禁用自定义仪表板的刷新计划](lake-dashboard-refresh-disable.md)
+ [使用 CloudTrail 控制台更改终止保护](lake-dashboard-termination-protection.md)
+ [使用控制 CloudTrail 台删除自定义仪表板](lake-dashboard-delete.md)
+ [使用创建、更新和管理仪表板 AWS CLI](lake-dashboard-cli.md)

## 先决条件
<a name="lake-dashboard-prerequisites"></a>

以下先决条件适用于 CloudTrail Lake 仪表板：
+ 要查看和使用 Lake 仪表板，必须至少创建一个 CloudTrail Lake 事件数据存储。您可以使用控制台 AWS CLI、或创建事件数据存储 SDKs。有关使用控制台创建数据存储的信息，请参阅 [使用控制台为事件创建 CloudTrail 事件数据存储](query-event-data-store-cloudtrail.md)。有关使用创建事件数据存储的信息 AWS CLI，请参阅[使用创建事件数据存储 AWS CLI](lake-cli-create-eds.md)。
+ 您必须拥有足够的权限才能查看、创建、更新和刷新控制面板。有关更多信息，请参阅 [所需的权限](#lake-dashboard-permissions)。

## 限制
<a name="lake-dashboard-limitations"></a>

以下限制适用于 CloudTrail Lake 仪表板：
+ 您只能为账户中存在的事件数据存储启用“要点”控制面板。
+ 您只能查看您的账户中存在的事件数据存储的托管的控制面板。
+ 对于自定义控制面板，您只能添加示例小组件或创建新的小组件来查询账户中存在的事件数据存储。
+  AWS Organizations 组织的授权管理员无法查看或管理管理账户拥有的仪表板。

## 区域支持
<a name="lake-dashboard-regions"></a>

所有支持 CloudTrail Lake AWS 区域 的地方都支持 CloudTrail Lake 仪表板。

以下区域支持**要点**控制面板上的**活动摘要**小组件：
+ 亚太地区（东京）区域（ap-northeast-1）
+ 美国东部（弗吉尼亚州北部）（us-east-1）
+ 美国西部（俄勒冈州）区域（us-west-1）

所有支持 CloudTrail Lake AWS 区域 的地方都支持所有其他控件。

有关 CloudTrail Lake 支持区域的信息，请参阅[CloudTrail 支持湖泊的区域](cloudtrail-lake-supported-regions.md)。

## 所需的权限
<a name="lake-dashboard-permissions"></a>

本节介绍了 CloudTrail Lake 控制面板所需的权限，并讨论了两种类型的 IAM 策略：
+ 基于身份的策略，允许您执行创建、管理和删除控制面板的操作。
+ 基于资源的策略， CloudTrail 允许在刷新仪表板时对事件数据存储进行查询，并代表您按计划刷新自定义仪表板和 Highlights 仪表板。使用 CloudTrail 控制台创建仪表板时，您可以选择附加基于资源的策略。您也可以运行 AWS CLI [`put-resource-policy`](lake-dashboard-cli-manage.md#lake-dashboard-cli-add-rbp)命令将基于资源的策略添加到事件数据存储或仪表板。

### 基于身份的策略要求
<a name="lake-dashboard-permissions-identity"></a>

基于身份的策略是可附加到身份（如 IAM 用户、用户组或角色）的 JSON 权限策略文档。这些策略控制用户和角色可在何种条件下对哪些资源执行哪些操作。要了解如何创建基于身份的策略，请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。

要查看和管理 CloudTrail Lake 仪表板，您需要以下策略之一：
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html) 托管式策略。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess.html) 托管式策略。
+ 包含以下各节中描述的一项或多项特定权限的自定义策略。

**Topics**
+ [创建控制面板所需的权限](#lake-dashboard-permissions-identity-create)
+ [更新控制面板所需的权限](#lake-dashboard-permissions-identity-update)
+ [刷新控制面板所需的权限](#lake-dashboard-permissions-identity-create)

#### 创建控制面板所需的权限
<a name="lake-dashboard-permissions-identity-create"></a>

以下示例策略提供了创建控制面板所需的最低权限。将*partition*、*region**account-id*、和，*eds-id*替换为您的配置值。
+ 只有当请求包含小组件时，才需要 `StartQuery` 权限。为小组件查询中包含的所有事件数据存储提供 `StartQuery` 权限。
+ 只有当控制面板有刷新计划时，才需要 `StartDashboardRefresh` 权限。
+ 对于“要点”控制面板，调用方必须对账户中的所有事件数据存储拥有 `StartQuery` 权限。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:CreateDashboard",
                "cloudtrail:StartDashboardRefresh",
                "cloudtrail:StartQuery"
            ],
            "Resource": [
                "arn:aws:cloudtrail:us-east-1:111111111111:dashboard/*",
                "arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/eds-id"
            ]
        }
    ]
}
```

------

#### 更新控制面板所需的权限
<a name="lake-dashboard-permissions-identity-update"></a>

以下示例策略提供了更新控制面板所需的最低权限。将*partition*、*region**account-id*、和，*eds-id*替换为您的配置值。
+ 只有当请求包含小组件时，才需要 `StartQuery` 权限。为小组件查询中包含的所有事件数据存储提供 `StartQuery` 权限。
+ 只有当控制面板有刷新计划时，才需要 `StartDashboardRefresh` 权限。
+ 对于“要点”控制面板，调用方必须对账户中的所有事件数据存储拥有 `StartQuery` 权限。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:UpdateDashboard",
                "cloudtrail:StartDashboardRefresh",
                "cloudtrail:StartQuery"
            ],
            "Resource": [
                "arn:aws:cloudtrail:us-east-1:111111111111:dashboard/*",
                "arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/eds-id"
            ]
        }
    ]
}
```

------

#### 刷新控制面板所需的权限
<a name="lake-dashboard-permissions-identity-create"></a>

以下示例策略提供了刷新控制面板所需的最低权限。将*partition*、*region*、*account-id**dashboard-name*、和*eds-id*替换为您的配置值。
+ 对于自定义控制面板和“要点”控制面板，调用方必须拥有 `cloudtrail:StartDashboardRefresh permissions`。
+ 对于托管的控制面板，调用方必须对刷新中涉及的事件数据存储拥有 `cloudtrail:StartDashboardRefresh` 权限和 `cloudtrail:StartQuery` 权限。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:StartDashboardRefresh",
                "cloudtrail:StartQuery"
            ],
            "Resource": [
                "arn:aws:cloudtrail:us-east-1:111111111111:dashboard/dashboard-name",
                "arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/eds-id"
            ]
        }
    ]
}
```

------

### 控制面板和事件数据存储的基于资源的策略
<a name="lake-dashboard-permissions-rbps"></a>

基于资源的策略是附加到资源的 JSON 策略文档。基于资源的策略的示例包括 IAM 角色信任策略和 Amazon S3 存储桶策略。对于在其中附加策略的资源，策略定义指定主体可以对该资源执行哪些操作以及在什么条件下执行。您必须在基于资源的策略中指定主体。

要在手动或计划刷新期间对控制面板运行查询，您必须将基于资源的策略附加到与控制面板上的小组件关联的每个事件数据存储。这允许 CloudTrail Lake 代表您运行查询。当您创建自定义仪表板或使用 CloudTrail 控制台启用 High **li** ghts 仪表板时， CloudTrail 您可以选择要向哪些事件数据存储应用权限。有关基于资源的策略的更多信息，请参阅 [示例：允许 CloudTrail 运行查询以刷新仪表板](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds-dashboard)。

要为仪表板设置刷新计划，您必须将基于资源的策略附加到仪表板，以允许 CloudTrail Lake 代表您刷新仪表板。当您为自定义仪表板设置刷新计划或使用 CloudTrail 控制台启用 High **li** ghts 仪表板时， CloudTrail 您可以选择将基于资源的策略附加到仪表板。有关策略示例，请参阅 [控制面板的基于资源的策略示例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-dashboards)。

您可以使用 CloudTrail 控制台[AWS CLI](lake-dashboard-cli-manage.md#lake-dashboard-cli-add-rbp)、或 [PutResourcePolicy](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutResourcePolicy.html)API 操作附加基于资源的策略。

### 用于解密事件数据存储中的数据的 KMS 密钥权限
<a name="lake-dashboard-permissions-kms"></a>

如果查询的事件数据存储使用 KMS 密钥加密，请确保 KMS 密钥策略 CloudTrail 允许解密事件数据存储中的数据。以下示例策略语句允许 CloudTrail 服务主体解密事件数据存储。

```
{
      "Sid": "AllowCloudTrailDecryptAccess",
      "Effect": "Allow",
      "Principal": {
          "Service": "cloudtrail.amazonaws.com"
        },
      "Action": "kms:Decrypt",
      "Resource": "*"
}
```

# 使用控制 CloudTrail 台查看托管仪表板
<a name="lake-dashboard-managed"></a>

CloudTrail Lake 提供托管仪表板，用于显示收集管理事件、数据事件和 Insights 事件的事件数据存储的事件趋势。这些仪表板由 CloudTrail Lake 管理。您无法修改、添加或移除这些控制面板的小组件，但是，如果要修改小组件或设置刷新计划，则可以将托管的控制面板另存为自定义控制面板。

**注意**  
您只能查看您的账户中存在的事件数据存储的托管的控制面板。

**查看托管的控制面板**

1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台，网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。

1.  在左侧导航窗格中，在 **Lake** 下，选择**控制面板**。

1. 选择**托管和自定义控制面板**选项卡。

1. 从**托管的控制面板**中，选择要查看的控制面板。有关更多信息，请参阅 [可用的托管的控制面板](lake-managed-dashboards.md)。
**注意**  
下拉列表仅显示所选控制面板的相关事件数据存储。例如，如果您选择专注于数据事件的控制面板（例如 S3 数据事件），则下拉菜单将仅显示配置为收集数据事件的事件数据存储。

1.  为仪表板选择事件数据存储。 CloudTrail 刷新仪表板后，将在此仪表板上运行查询。

1. 要查看小组件的查询，请选择小组件底部的**查看和编辑查询**。

1. 选择按**绝对范围**或**相对范围**筛选控制面板数据。选择**绝对范围**，以选择特定的日期和时间范围。选择**相对范围**，以选择预定义的时间范围或自定义范围。默认情况下，控制面板显示过去 24 小时的事件数据。
**注意**  
CloudTrail Lake 查询会根据扫描的数据量产生费用。为了帮助控制成本，您可以在较小的时间范围内进行筛选。有关 CloudTrail 定价的更多信息，请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。

1. 选择刷新图标以填充控制面板小组件的图形。每个小组件都指明刷新的状态。

## 将托管的控制面板另存为自定义控制面板
<a name="lake-dashboard-convert"></a>

您无法修改托管的控制面板，但可以将副本另存为自定义控制面板。这样，您可以为控制面板设置刷新计划并修改小组件。

**将托管的控制面板另存为自定义控制面板**

1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台，网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。

1.  在左侧导航窗格中，在 **Lake** 下，选择**控制面板**。

1. 选择**托管和自定义控制面板**选项卡。

1. 选择要为其创建副本的托管的控制面板。

1. 选择**另存为新的控制面板**。

1. 提供一个名称来标识控制面板。

1. （可选）在**标签**部分，您最多可以添加 50 个标签键对，以帮助您对控制面板进行识别和排序。有关如何在中使用标签的更多信息 AWS，请参阅《[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*用户指南》中的为 AWS 资源添加标签*。

1. 对于**权限**，选择要对其应用权限的事件数据存储。因为 CloudTrail 运行查询以填充仪表板上小组件的数据，因此 CloudTrail 需要权限才能在与仪表板的小组件关联的事件数据存储上运行查询。对于在此步骤中选择的每个事件数据存储，将基于资源的策略 CloudTrail 附加 CloudTrail 到允许运行查询的事件数据存储中。如果您不想授予权限，则可以取消选择事件数据存储。

1. 请选择**创建控制面板**。

创建自定义控制面板后，您可以[添加小组件](lake-dashboard-custom-widgets.md)、[移除小组件](lake-dashboard-custom-widgets-remove.md)以及为控制面板[设置刷新计划](lake-dashboard-refresh.md)。

# 可用的托管的控制面板
<a name="lake-managed-dashboards"></a>

该部分提供有关可用托管的控制面板的信息，并提供有关每个控制面板上的精选小组件的信息。

**Topics**
+ [安全监控控制面板](#lake-managed-dashboard-security)
+ [IAM 活动控制面板](#lake-managed-dashboard-iam)
+ [用户活动控制面板](#lake-managed-dashboard-user)
+ [丰富的事件控制面板](#lake-managed-dashboard-enriched-events)
+ [错误分析控制面板](#lake-managed-dashboard-error)
+ [EC2 活动控制面板](#lake-managed-dashboard-ec2)
+ [组织活动控制面板](#lake-managed-dashboard-organizations)
+ [资源更改控制面板](#lake-managed-dashboard-resources)
+ [数据事件概述控制面板](#lake-managed-dashboard-data)
+ [Lambda 数据事件控制面板](#lake-managed-dashboard-lambda)
+ [DynamoDB 数据事件控制面板](#lake-managed-dashboard-dynamodb)
+ [S3 数据事件控制面板](#lake-managed-dashboard-s3)
+ [Insights 事件控制面板](#lake-managed-dashboard-insights)
+ [管理事件控制面板](#lake-managed-dashboard-mgmt)
+ [“概述”控制面板](#lake-managed-dashboard-overview)

## 安全监控控制面板
<a name="lake-managed-dashboard-security"></a>

此控制面板提供了以安全为重点的关键小组件的集中视图，例如排名靠前的拒绝访问事件、失败的控制台登录尝试及其关联的 IP 地址、根用户控制台登录尝试、破坏性操作、跨账户访问和其它以安全为重点的关键小组件。它提供快速的事件检测和响应，以增强您的整体安全态势。

此控制面板适用于收集管理事件的事件数据存储，包括以下小组件：

**排名靠前的拒绝访问事件**  
跟踪最常发生的拒绝访问事件，按 API 分组。

** ConsoleLogin 尝试失败**  
跟踪一段时间内控制台登录尝试失败的趋势，详细介绍了 MFA 与非 MFA 验证调用方的对比。

**按 IP 地址 ConsoleLogin 排列的尝试失败**  
跟踪与失败的控制台登录尝试关联的 IP 地址，并按登录失败次数显示排名靠前的违规 IP 地址。

**root 用户 ConsoleLogin 尝试次数**  
跟踪根用户在一段时间内尝试登录控制台的频率。

**破坏性操作**  
跟踪一段时间内的删除操作频率。

**排名靠前的跨账户访问**  
按调用方账户 ID 和操作跟踪排名靠前的跨账户活动。

**禁用 MFA 的用户**  
跟踪最近禁用 MFA 的用户。

**最近的 EC2 SecurityGroup 和 NetworkAcl 变化**  
跟踪最新的 EC2 SecurityGroup 和 NetworkAcl更改。

**允许公开访问的最近 EC2 SecurityGroup 变更**  
跟踪具有支持公开（0.0.0.0/0）访问的规则的最新 EC2 安全组。

**可能的 CloudTrail 禁用操作**  
跟踪最近可能中断 CloudTrail日志记录的操作。

## IAM 活动控制面板
<a name="lake-managed-dashboard-iam"></a>

此控制面板提供对常用的 IAM APIs、API 错误、IAM 实体的更改以及排名靠前的调用方 IP 地址的可见性，从而可以识别意外的 IAM 操作和合规性问题。

此控制面板适用于收集管理事件的事件数据存储，包括以下小组件：

**最佳 IAM APIs**  
跟踪最常用的 IAM APIs。

**排名靠前的 IAM 调用方**  
跟踪最频繁的 IAM API 调用方。

**IAM 成功与失败趋势**  
跟踪 IAM API 调用在一段时间内的成功和失败趋势。

**排名靠前的 IAM API 错误**  
跟踪调用 IAM 时最常见的错误 APIs。

**最佳 AccessDenied IAM APIs**  
跟踪因拒绝访问错误而失败的最频繁的 IAM API 调用。

**IAM 调用的排名靠前的 IP 地址**  
跟踪从中发出 IAM API 调用的排名靠前的源 IP 地址。

**最近的 IAM 策略更改**  
跟踪对 IAM 策略的最新更改，按促进更改的特定 IAM API 操作、与策略更改关联的 IAM 资源（用户、角色或组）以及所使用的策略名称或 ARN 进行分类。

**最近的 IAM 用户更改**  
跟踪对 IAM 用户的最新更改，按便于用户管理的特定 IAM API、受更改影响的 IAM 用户和事件时间进行分类。

**排名靠前的代入的 IAM 角色**  
跟踪最常代入的 IAM 角色。

## 用户活动控制面板
<a name="lake-managed-dashboard-user"></a>

该控制面板提供了对用户活动趋势的可见性，对关键领域的洞察，例如排名靠前的活跃用户、用户流量规律、出现拒绝访问错误的用户、最近的用户操作、执行破坏性活动和 IAM 策略更改的用户以及特权用户操作。它有助于检测用户意外操作和安全风险。

此控制面板适用于收集管理事件的事件数据存储，包括以下小组件：

**按用户 ARN 划分的用户活动趋势**  
按用户 ARN 跟踪一段时间内的用户活动趋势。

**按 API 划分的用户活动趋势**  
跟踪 API 在一段时间内的用户活动趋势。

**最近的用户活动**  
跟踪最新的用户操作。

**出现错误的排名靠前的用户**  
跟踪错误数量最多的用户。

**出 AccessDenied 错率最高的用户**  
跟踪 AccessDenied错误次数最多的用户。

**执行破坏性操作的排名靠前的用户**  
跟踪执行破坏性操作数量最多的用户。

**更改 IAM 策略的排名靠前的用户**  
跟踪经常更改 IAM 策略的 IAM 用户。

**潜在的 IAM 特权用户执行的主要操作**  
跟踪管理员等高权限 IAM 用户最常执行的操作。

## 丰富的事件控制面板
<a name="lake-managed-dashboard-enriched-events"></a>

此丰富的事件控制面板提供有关标记的资源、主体活动和 AWS 全局条件键的趋势见解。这些见解可帮助您分析角色会话、请求和请求上下文中的主体中最常见的资源和主体标签分布以及常用的全局条件键。

此控制面板适用于收集管理事件的事件数据存储，包括以下小组件：

**一段时间内的丰富事件**  
跟踪一段时间内的丰富事件数量。

**最频繁的资源标签键值对**  
显示丰富事件中最常用的资源标签键值对。

**最常见的资源标签键值对与关联的资源和用户**  
显示最常用的资源标签键值对，显示哪些资源使用这些标签以及哪些用户与这些标签相关联。

**最频繁的主体标签键值对**  
显示丰富事件中最常用的主体标签键值对。

**按主体标签键值对分组的最频繁访问被拒绝操作**  
显示在丰富事件中按主体标签键值对分组的最频繁拒绝访问操作。

**IAM 全局条件键中最频繁的主体属性**  
显示主体属性最常用的 IAM 全局条件键，显示其键值对和所有事件的计数。

**IAM 全局条件键中最频繁的请求属性**  
显示请求属性最常用的 IAM 全局条件键，显示其键值对和所有事件的计数。

**IAM 全局条件键中最频繁的角色会话属性**  
显示角色会话属性最常用的 IAM 全局条件键，显示其键值对和所有事件的计数。

## 错误分析控制面板
<a name="lake-managed-dashboard-error"></a>

此仪表板可全面了解服务、用户 APIs、错误代码和受限 APIs的错误趋势。这种可见性可以及时识别和排查潜在的可用性问题，从而实现最佳系统性能。

此控制面板适用于收集管理事件的事件数据存储，包括以下小组件：

**按服务划分的错误计数**  
按服务跟踪活动的错误计数。

**按 API 划分的错误计数**  
按 API 跟踪活动的错误计数。

**按错误代码划分的排名靠前的错误**  
按错误代码跟踪最频繁的错误。

**按错误消息划分的排名靠前的错误**  
按错误消息跟踪最频繁的错误。

**API 中最 AccessDenied 常出现的错误**  
 APIs 使用最常报告的访问被拒绝错误进行跟踪。

**按 API 划分的排名靠前的受限制错误**  
 APIs 使用最常报告的限制错误进行跟踪。

**出现错误的排名靠前的用户**  
跟踪报告错误最频繁的用户。

## EC2 活动控制面板
<a name="lake-managed-dashboard-ec2"></a>

通过此控制面板可全面了解 EC2 管理活动，例如 API 趋势、访问错误、排名靠前的实例启动器、安全更改和网络修改。这些洞察有助于识别安全风险和运营问题。

此控制面板适用于收集管理事件的事件数据存储，包括以下小组件：

**EC2 实例管理活动概览**  
监控 EC2 实例管理活动在指定时间内的概览，重点关注启动、停止和终止等关键操作。

**EC2 API 成功与失败趋势**  
跟踪 EC2 API 调用在一段时间内的成功和失败趋势。

**排名靠前的 EC2 错误**  
跟踪在 EC2 API 调用期间发生的最常见的错误代码。

**热门的 EC2 AccessDenied 活动**  
跟踪访问被拒绝错误最多的 EC2 APIs 。

**启动 EC2 实例的排名靠前的用户**  
跟踪在启动新 EC2 实例时最活跃的用户。

**最近的 EC2 SecurityGroup 和 NetworkInterface 变化**  
跟踪最新的 EC2 安全组和网络接口更改。

**最近的 VPC 管理和路由表更改**  
跟踪最新的 VPC 管理活动和路由表更改。

**根用户最近的 EC2 操作**  
跟踪具有高权限的根用户执行的最新 EC2 操作。

## 组织活动控制面板
<a name="lake-managed-dashboard-organizations"></a>

该仪表板专为组织事件数据存储而设计，可让您深入了解组织活动和趋势，包括对活跃成员、账户管理、访问模式、政策变更以及热门服务和 APIs利用率的见解。

此控制面板可用于组织事件数据存储，包括以下小组件：

**组织中的活动趋势**  
跟踪整个 AWS Organizations 组织在一段时间内的总体活动趋势，从而了解活动水平高或低的时期。

**成员账户管理摘要**  
跟踪组织内成员账户管理活动的分布，根据每种活动类型的数量进行分类。

**组织中最常用的服务**  
跟踪整个组织 AWS 服务 中使用率最高的内容。

**按服务划分的最活跃账户**  
使用 AWS 服务 整个组织跟踪最活跃的帐户。

**最常用于 APIs 整个组织**  
突 AWS APIs 出显示整个组织中最常被调用的内容。

**最活跃的成员账户**  
跟踪组织内活动计数最多的成员账户。

**整个组织中拒绝访问错误的趋势**  
跟踪组织中在一段时间内发生的拒绝访问错误的规律。

**拒绝访问错误最多的账户 **  
跟踪组织内出现拒绝访问错误次数最多的账户。

**最近的服务控制策略更改**  
跟踪组织内最近对服务控制策略 (SCPs) 所做的更改。

## 资源更改控制面板
<a name="lake-managed-dashboard-resources"></a>

此控制面板提供资源管理活动的全面视图，同时监控跨服务的预置、删除和修改趋势。它重点介绍了关键更改，包括通过 CloudFormation、手动进行的更改以及对 S3 存储桶和 KMS 访问等策略所做的更改。

此控制面板适用于收集管理事件的事件数据存储，包括以下小组件：

**资源创建和删除趋势**  
跟踪账户内资源在一段时间内的创建和删除情况。

**执行资源创建的排名靠前的用户**  
跟踪最活跃地创建新资源的用户。

**最 APIs 常用于创建资源**  
跟踪最 APIs 常用于在账户内创建新资源的。

** APIs 用于删除资源的次数最多**  
跟踪最 APIs 常用于删除账户内资源的。

**最近在外部创建的资源 CloudFormation**  
跟踪在 CloudFormation 治理之外创建的新资源，重点介绍不是通过 CloudFormation模板管理的更改。

**使用控制台进行的最新资源更改**  
 通过 AWS 管理控制台跟踪对资源所做的最新更改。

**最新的 S3 存储桶访问权限更改**  
跟踪最新的 S3 存储桶访问权限更改。

**最新的 KMS 密钥访问权限更改**  
跟踪最新的 KMS 密钥策略更改。

## 数据事件概述控制面板
<a name="lake-managed-dashboard-data"></a>

此仪表板提供事件数据存储中数据事件的集中视图，包括整体活动趋势、热门服务 APIs、区域、受限制的数据平面 APIs和领先的数据平面用户。此控制面板有助于您监控数据面板 API 活动，以进行审计和故障排除。

此控制面板适用于收集数据事件的事件数据存储，包括以下小组件：

**总体数据事件趋势**  
跟踪账户中在一段时间内发生的总体数据事件的趋势。

**生成数据事件的排名靠前的服务**  
跟踪账户内产生最大数据活动量的服务。

** APIs 生成量最高的数据事件**  
跟踪账户内 APIs 生成最大数据量的活动。

**生成数据事件的排名靠前的区域**  
跟踪账户内产生最大数据活动量的区域。

**最受限制的数据平面 APIs**  
跟踪账户内频繁 APIs 出现限流的数据平面。

**数据层面的顶级用户 APIs**  
跟踪整个账户中使用数据平面 APIs 最多的热门用户。

## Lambda 数据事件控制面板
<a name="lake-managed-dashboard-lambda"></a>

此控制面板可让您查看 Lambda 数据面板 API 活动，包括排名靠前的用户、经常调用的函数、常见 API 错误。这些洞察有助于您审计 Lambda 使用情况、检测异常并降低运营或安全风险。

此控制面板适用于收集 Lambda 数据事件的事件数据存储，包括以下小组件：

**Lambda 数据面板 API 活动**  
跟踪账户中一段时间内 Lambda 数据面板 API 活动的趋势。

**Lambda 调用成功与失败趋势**  
跟踪一段时间内 Lambda 调用成功和失败的趋势。

**Lambda 调用的排名靠前的用户**  
跟踪账户中调用 Lambda 函数次数最多的用户。

**调用数排名靠前的 Lambda 函数**  
跟踪账户内最频繁调用的 Lambda 函数。

**排名前 10 的 Lambda 调用 API 错误**  
跟踪在 Lambda 调用 API 调用期间遇到的排名前 10 的错误。

**最受限制的 Lambda 调用用户**  
跟踪在 Lambda 调用中遇到的限制事件数量最多的用户。

## DynamoDB 数据事件控制面板
<a name="lake-managed-dashboard-dynamodb"></a>

此控制面板提供对 DynamoDB 数据平面 API 活动的可见性，包括使用趋势、 APIs热门以及涉及用户和表格的限制模式。这些洞察有助于您审计 DynamoDB 使用情况、检测异常并降低运营或安全风险。

此控制面板适用于收集 DynamoDB 数据事件的事件数据存储，包括以下小组件：

**DynamoDB 账户数据活动**  
跟踪账户中一段时间内发生的 DynamoDB 数据事件的趋势。

**DynamoDB 数据 APIs 平面成功与失败趋势**  
跟踪一段时间内 DynamoDB 数据面板 API 调用成功和失败的趋势。

**十大 DynamoDB 数据平面 APIs**  
列出排名前 10 的 DynamoDB 数据面板 API 调用。

**DynamoDB 数据平面的顶级用户 APIs**  
跟踪账户内对 DynamoDB 数据 APIs 平面进行调用次数最多的用户。

**排名前 10 的 DynamoDB 数据面板 API 错误**  
跟踪调用 DynamoDB 数据平面时出现的前 10 个错误。 APIs

**DynamoDB 数据平面受限最多的用户 APIs**  
跟踪调用 DynamoDB 数据平面时限制频率最高的用户。 APIs

**最受限制的 DynamoDB 数据平面 APIs**  
跟踪账户内频繁出现限制的 DynamoDB 数据 APIs 平面。

**排名靠前的受限制 DynamoDB 表**  
跟踪账户内受限率最高的 DynamoDB 表。

## S3 数据事件控制面板
<a name="lake-managed-dashboard-s3"></a>

此控制面板可让您查看 S3 数据面板 API 活动，包括使用趋势、访问次数最多的 S3 对象、排名靠前的 S3 用户和排名靠前的 S3 操作。这些洞察有助于您审计 S3 使用情况、检测异常并降低运营或安全风险。

此控制面板适用于收集 Amazon S3 数据事件的事件数据存储，包括以下小组件：

**S3 账户活动**  
跟踪 S3 账户活动。

**最常访问的对象**  
列出最常访问的 S3 对象。

**S3 排名靠前的用户**  
跟踪排名靠前的 S3 用户。

**排名靠前的 S3 操作**  
跟踪排名靠前的 S3 操作。

## Insights 事件控制面板
<a name="lake-managed-dashboard-insights"></a>

此控制面板可让您查看按类型划分的 Insights 事件的总体细分，以及生成这些事件类型的排名靠前的用户和服务。此外，它还显示了 Insights 事件的每日数量和 Insights 指标的 30 天历史视图。

**注意**  
首次在源事件数据存储上启用 CloudTrail Insights 后，如果检测到异常活动，则最长可能需要 7 天 CloudTrail 才能交付第一个 Insights 事件。
**Insights 事件**控制面板仅显示有关选定事件数据存储收集的 Insights 事件的信息，这些信息由源事件数据存储的配置决定。例如，如果您将源事件数据存储配置为在 `ApiCallRateInsight` 上启用 Insights 事件，而不是 `ApiErrorRateInsight`，则您将不会看到有关 `ApiErrorRateInsight` 上的 Insights 事件的信息。

此控制面板适用于收集 Insights 事件的事件数据存储，包括以下小组件：

**洞察类型**  
按洞察类型跟踪事件。

**按日期划分的洞察**  
按日期跟踪 Insights 事件。

**按事件源划分的 API 调用率洞察**  
按事件源跟踪 API 调用率洞察。要查看此小组件的数据，必须将 Insights 事件数据存储配置为收集有关 API 调用率的洞察。

**按事件源划分的 API 错误率洞察**  
按事件源跟踪 API 错误率洞察。要查看此小组件，必须将 Insights 事件数据存储配置为收集有关 API 错误率的洞察。

**排名靠前的用户的洞察**  
列出请求导致 Insights 事件的排名靠前的用户。

**Insights 事件**  
列出最近的 Insights 事件。

## 管理事件控制面板
<a name="lake-managed-dashboard-mgmt"></a>

此控制面板重点介绍了有关拒绝访问事件、破坏性操作、控制台登录事件、按用户排列的排名靠前的错误、TLS 版本使用情况以及用户过期 TLS 调用的洞察。

此控制面板适用于收集管理事件的事件数据存储，包括以下小组件：

**排名靠前的拒绝访问事件**  
跟踪导致拒绝访问错误的排名靠前的事件。

**用户排名靠前的错误**  
跟踪用户排名靠前的错误。

**控制台登录事件**  
显示控制台登录事件。

**破坏性操作**  
跟踪导致破坏性行为的操作。

**TLS 版本**  
显示 TLS 版本。

**用户的已过时 TLS 调用**  
跟踪用户使用过时的 TLS 版本进行的调用。

## “概述”控制面板
<a name="lake-managed-dashboard-overview"></a>

此控制面板重点介绍了有关拒绝访问事件、破坏性操作、控制台登录事件、按用户排列的排名靠前的错误、TLS 版本使用情况以及用户过期 TLS 调用的洞察。

此控制面板适用于收集管理事件的事件数据存储，包括以下小组件：

**账户活动**  
跟踪您账户的读写活动。

**排名靠前的错误**  
列出最频繁发生的错误。

**查看活跃区域**  
显示最活跃的 AWS 区域。

**排名靠前的服务**  
显示排名靠前的服务。

**最受限制的事件**  
列出最受限制的事件。

**主要用户**  
列出排名靠前的用户。

# 使用控制 CloudTrail 台启用 “亮点” 仪表板
<a name="lake-dashboard-highlights"></a>

启用 Highlight at-a-glance s 控制面板，查看您账户中的事件数据存储所收集的 AWS 活动概览。Highlights 控制面板由您管理 CloudTrail 并包含与您的账户相关的小部件。“要点”控制面板上显示的小组件对于每个账户都是独一无二的。这些小组件可能会显示检测到的异常活动或异常。例如，您的“要点”控制面板可能包含**跨账户访问总量小组件**，它显示异常跨账户活动是否增加。

CloudTrail 每 6 小时更新一次 “亮点” 控制面板。控制面板显示自上次更新以来最近 24 小时的数据。

**注意**  
您只能为账户中存在的事件数据存储启用“要点”控制面板。  
您无法为“要点”控制面板设置刷新计划，也无法添加或移除小组件。

## 启用“要点”控制面板
<a name="lake-dashboard-highlights-enable"></a>

请按照以下过程启用“要点”控制面板。

1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台，网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。

1.  在左侧导航窗格中，在 **Lake** 下，选择**控制面板**。

1. 选择**要点**选项卡。

1. 由于运行查询会产生 CloudTrail 费用，因此 CloudTrail 要求您在启用 High **li** ghts 控制面板之前查看费用信息。有关 CloudTrail 定价的信息，请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)。

   选择**同意并启用要点**以启用“要点”控制面板。

1. 在 “**权限**” 中，选择要对其应用权限的事件数据存储。 CloudTrail 需要权限才能在您的事件数据存储上运行查询并代表您刷新控制面板。要提供权限，请将基于资源的默认策略 CloudTrail 附加到在此步骤中选择的每个事件数据存储中， CloudTrail 以允许对事件数据存储运行查询。 CloudTrail 将基于资源的策略附加到仪表板， CloudTrail 允许每 6 小时刷新一次控制面板。

   您可以从事件数据存储的详细信息页面修改其基于资源的策略。您可以通过从控制面板的**操作**菜单中选择**编辑策略**来修改控制面板的基于资源的策略。

1. 选择**确认**。

 启用**要点**控制面板后，终止保护将自动启用。终止保护可保护控制面板免遭意外删除。如果要禁用控制面板，您需要禁用终止保护。

# 使用控制 CloudTrail 台禁用 “亮点” 仪表板
<a name="lake-dashboard-highlights-disable"></a>

本节介绍如何禁用“要点”控制面板。由于“要点”控制面板会自动启用终止保护，因此您需要先禁用终止保护，然后禁用“要点”控制面板。

**禁用“要点”控制面板**

1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台，网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。

1.  在左侧导航窗格中，在 **Lake** 下，选择**控制面板**。

1. 选择**要点**选项卡。

1. 从**操作**中，选择**更改终止保护**。

1. 选择**禁用**。

1. 选择**保存**。

1. 从**操作**中，选择**禁用要点**。

# 使用控制台创建自定义 CloudTrail 控制面板
<a name="lake-dashboard-custom"></a>

您可以创建自定义控制面板，并向每个自定义控制面板添加最多 10 个小组件。您可以选择添加示例小组件，也可以根据 SQL 查询创建新的小组件。

添加完小组件后，可以手动刷新控制面板或设置刷新计划。

**创建自定义控制面板**

1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台，网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。

1.  在左侧导航窗格中，在 **Lake** 下，选择**控制面板**。

1. 选择**托管和自定义控制面板**选项卡。

1. 选择**构建我自己的控制面板**。

1. 提供一个控制面板名称来标识您的控制面板。

1. 对于**权限**，选择要对其应用权限的事件数据存储。因为 CloudTrail 运行查询以填充仪表板上小组件的数据，因此 CloudTrail 需要权限才能对与仪表板小组件关联的事件数据存储运行查询。对于在此步骤中选择的每个事件数据存储，将基于资源的策略 CloudTrail 附加到事件数据存储中，该策略 CloudTrail 允许在此仪表板的事件数据存储上运行查询。

1. （可选）在**标签**部分，您最多可以添加 50 个标签键对，以帮助您对控制面板进行识别和排序。有关如何在中使用标签的更多信息 AWS，请参阅《[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*用户指南》中的为 AWS 资源添加标签*。

1. 请选择**创建控制面板**。

   接下来，您可以添加小组件并[设置刷新计划](lake-dashboard-refresh.md)。

**Topics**
+ [使用 CloudTrail 控制台添加示例控件](lake-dashboard-custom-widgets.md)
+ [使用 CloudTrail 控制台通过 SQL 查询创建新控件](lake-dashboard-custom-widgets-new.md)
+ [使用 CloudTrail 控制台从仪表板中移除控件](lake-dashboard-custom-widgets-remove.md)

# 使用 CloudTrail 控制台添加示例控件
<a name="lake-dashboard-custom-widgets"></a>

本节介绍如何向您的控制面板添加示例小组件。最多可以向自定义控制面板添加 10 个小组件。

**注意**  
示例小组件仅限于您的账户中存在的单个事件数据存储。要跨账户中的多个事件数据存储进行查询，请[创建新的小组件](lake-dashboard-custom-widgets-new.md)。

**向控制面板添加示例小组件**

1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台，网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。

1.  在左侧导航窗格中，在 **Lake** 下，选择**控制面板**。

1. 选择**托管和自定义控制面板**选项卡。

1. 在**自定义控制面板**中，选择要向其添加小组件的控制面板。

1. 从**操作**中，选择**编辑控制面板**。

1. 从**操作**中，选择**添加示例小组件**。

1. 选择您要对其运行查询的事件数据存储。您只能选择您的账户中存在的事件数据存储。

1. 选择要添加的示例小组件。默认情况下，将显示所有示例小组件。您可以按小组件类型（例如 IAM 小组件）进行筛选。

1. 选择**查看查询**以查看所选小组件的查询。

1. 选择**添加到控制面板**以将小组件添加到控制面板。

1. 选择**保存**以保存控制面板。

# 使用 CloudTrail 控制台通过 SQL 查询创建新控件
<a name="lake-dashboard-custom-widgets-new"></a>

本节介绍了如何通过编写或粘贴 SQL 查询并选择图表类型来创建新的小组件。最多可以向自定义控制面板添加 10 个小组件。

**通过 SQL 查询创建新的小组件**

1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台，网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。

1.  在左侧导航窗格中，在 **Lake** 下，选择**控制面板**。

1. 选择**托管和自定义控制面板**选项卡。

1. 在**自定义控制面板**中，选择要为其创建小组件的控制面板。

1. 从**操作**中，选择**编辑控制面板**。

1. 从**操作**中，选择**创建新的小组件**。

1. 选择您要对其运行查询的事件数据存储。只要您的账户中存在事件数据存储，您就可以跨多个事件数据存储进行查询。

1. 编写或复制 SQL 查询。

   您也可以用英语提供自然语言提示，然后选择**生成查询**来根据提示生成 SQL 查询。有关更多信息，请参阅 [根据自然语言提示创建 CloudTrail Lake 查询](lake-query-generator.md)。

1. 选择**运行**以运行查询并预览查询结果。
**注意**  
运行查询时，您需要根据扫描的优化和压缩数据量支付费用。为了帮助控制成本，我们建议您通过为查询添加开始和结束 `eventTime` 时间戳来限制查询。

1. 选择**可视化工具**选项卡以选择小组件的图表类型。您可以从以下图表类型中选择：表、条形图、折线图和饼图。

1. 选择**添加到控制面板**以将小组件添加到控制面板。

1. 选择**保存**以保存控制面板。

# 使用 CloudTrail 控制台从仪表板中移除控件
<a name="lake-dashboard-custom-widgets-remove"></a>

本节介绍了如何从自定义控制面板中移除小组件。

**从控制面板中移除小组件**

1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台，网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。

1.  在左侧导航窗格中，在 **Lake** 下，选择**控制面板**。

1. 选择**托管和自定义控制面板**选项卡。

1. 在**自定义控制面板**中，选择要为其移除小组件的控制面板。

1. 从**操作**中，选择**编辑控制面板**。

1. 在要移除的小组件上，选择移除图标（![\[Vertical ellipsis icon representing a menu or more options.\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/remove-icon.png)），然后选择**移除**。

1. 选择**保存**以保存控制面板。

# 使用 CloudTrail 控制台为自定义仪表板设置刷新计划
<a name="lake-dashboard-refresh"></a>

本节介绍了如何设置控制面板刷新计划。您可以设置刷新计划，允许 CloudTrail Lake 每 1 小时、6 小时、12 小时或 24 小时（1 天）刷新一次仪表板。

使用 CloudTrail 控制台设置刷新计划时，会将基于资源的策略 CloudTrail 附加到控制面板，允许 CloudTrail 您刷新仪表板。

**设置刷新计划**

1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台，网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。

1.  在左侧导航窗格中，在 **Lake** 下，选择**控制面板**。

1. 选择**托管和自定义控制面板**选项卡。

1. 在**自定义控制面板**中，选择要为其设置刷新计划的控制面板。

1. 从下拉列表中选择刷新频率。

1. 要创建刷新计划，请将基于资源的策略 CloudTrail 附加到仪表板， CloudTrail 以允许代表您刷新仪表板。展开**仪表板资源策略**以查看 CloudTrail 将附加到仪表板的基于资源的策略。

1. 由于运行查询会产生成本，因此 CloudTrail 要求您确认是否 CloudTrail 要按计划频率运行查询。选择**确认**以设置刷新计划。

# 使用 CloudTrail 控制台禁用自定义仪表板的刷新计划
<a name="lake-dashboard-refresh-disable"></a>

如果您不想再自动刷新控制面板，而是 CloudTrail 希望手动刷新控制面板，则可以禁用刷新计划。

**禁用刷新计划**

1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台，网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。

1.  在左侧导航窗格中，在 **Lake** 下，选择**控制面板**。

1. 选择**托管和自定义控制面板**选项卡。

1. 在**自定义控制面板**中，选择要为其禁用刷新计划的控制面板。

1. 从下拉列表中选择**禁用刷新计划**。  
![\[用于禁用刷新计划的选项\]](http://docs.aws.amazon.com/zh_cn/awscloudtrail/latest/userguide/images/ct-lake-disable-schedule.png)

# 使用 CloudTrail 控制台更改终止保护
<a name="lake-dashboard-termination-protection"></a>

终止保护可防止控制面板被意外删除。如果要删除自定义控制面板或禁用“要点”控制面板，您必须禁用终止保护。

**要关闭终止保护**

1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台，网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。

1. 在导航窗格中，在 **Lake** 下选择**控制面板**。

1. 选择要为其禁用终止保护的控制面板。

1. 从**操作**中，选择**更改终止保护**。

1. 选择**禁用**。

1. 选择**保存**。

**要开启终止保护**

1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台，网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。

1. 在导航窗格中，在 **Lake** 下选择**控制面板**。

1. 选择要为其启用终止保护的控制面板。

1. 从**操作**中，选择**更改终止保护**。

1. 要开启终止保护，请选择**启用**。

1. 选择**保存**。

# 使用控制 CloudTrail 台删除自定义仪表板
<a name="lake-dashboard-delete"></a>

本节介绍如何使用删除控制面板 CloudTrail。

**注意**  
如果启用了[终止保护](lake-dashboard-termination-protection.md)，则无法删除事件数据存储。

**删除仪表板**

1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台，网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。

1. 在导航窗格中，在 **Lake** 下选择**控制面板**。

1. 选择**托管和自定义控制面板**选项卡。

1. 选择要删除的自定义控制面板。

1. 对于**操作**，请选择**删除**。

1. 选择**删除**以确认要删除该控制面板。

# 使用创建、更新和管理仪表板 AWS CLI
<a name="lake-dashboard-cli"></a>

本节介绍可用于创建、更新和管理 CloudTrail Lake 仪表板的 AWS CLI 命令。

使用时 AWS CLI，请记住您的命令在 AWS 区域 配置文件中运行。如果您想要在不同的区域中运行命令，可以为配置文件更改默认区域，或者与命令一起使用 `--region` 参数。

## 可用于控制面板的命令
<a name="lake-dashboard-cli-commands"></a>

用于在 La CloudTrail ke 中创建和更新仪表板的命令包括：
+ `create-dashboard`，用于创建自定义控制面板或启用“要点”控制面板。
+ `update-dashboard`，用于更新自定义控制面板或“要点”控制面板。
+ `delete-dashboard`，用于删除自定义控制面板或“要点”控制面板。
+ `get-dashboard` 可返回有关指定的控制面板的信息。
+ `list-dashboards`列出了您 AWS 账户或指定筛选器的所有仪表板。
+ `start-dashboard-refresh` 可启动控制面板刷新。
+ `get-resource-policy` 可将基于资源的策略附加到控制面板。
+ `put-resource-policy`将基于资源的策略附加到仪表板， CloudTrail 以允许代表您异步刷新仪表板。您还可以将基于资源的策略附加到事件数据存储中， CloudTrail 以允许对事件数据存储运行查询，为仪表板小组件填充数据。
+ `delete-resource-policy` 可移除附加到控制面板的基于资源的策略。
+ `add-tags` 可添加标签来标识控制面板。
+ `remove-tags` 可从控制面板中移除标签。
+ `list-tags` 可列出控制面板的标签。

有关 La CloudTrail ke 事件数据存储的可用命令列表，请参阅[可用于事件数据存储的命令](lake-eds-cli.md#lake-eds-cli-commands)。

有关可用于 La CloudTrail ke 查询的命令列表，请参阅[可用于 L CloudTrail ake 查询的命令](lake-queries-cli.md#lake-queries-cli-commands)。

有关 La CloudTrail ke 集成的可用命令列表，请参阅[L CloudTrail ake 集成的可用命令](lake-integrations-cli.md#lake-integrations-cli-commands)。

**主题：**
+  [使用创建仪表板 AWS CLI](lake-dashboard-cli-create.md) 
+  [使用管理仪表板 AWS CLI](lake-dashboard-cli-manage.md) 
+  [使用删除仪表板 AWS CLI](lake-dashboard-cli-delete.md) 

# 使用创建仪表板 AWS CLI
<a name="lake-dashboard-cli-create"></a>

本节介绍了如何使用 `create-dashboard` 命令创建自定义控制面板或“要点”控制面板。

使用时 AWS CLI，请记住您的命令在 AWS 区域 配置文件中运行。如果您想要在不同的区域中运行命令，可以为配置文件更改默认区域，或者与命令一起使用 `--region` 参数。

 CloudTrail 在手动或计划刷新期间运行查询以填充仪表板的小组件。 CloudTrail 必须获得在与仪表板小组件关联的每个事件数据存储上运行`StartQuery`操作的权限。要提供权限，请运行`put-resource-policy`命令将基于资源的策略附加到每个事件数据存储，或者在 CloudTrail 控制台上编辑事件数据存储的策略。有关策略示例，请参阅 [示例：允许 CloudTrail 运行查询以刷新仪表板](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds-dashboard)。

 要设置刷新计划， CloudTrail 必须获得运行`StartDashboardRefresh`操作的权限才能代表您刷新仪表板。要提供权限，请运行`put-resource-policy`操作将基于资源的策略附加到仪表板，或者在 CloudTrail 控制台上编辑仪表板的策略。有关策略示例，请参阅 [控制面板的基于资源的策略示例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-dashboards)。

**Topics**
+ [使用创建自定义仪表板 AWS CLI](#lake-dashboard-cli-create-custom)
+ [使用启用 “亮点” 仪表板 AWS CLI](#lake-dashboard-cli-create-highlights)
+ [查看小组件的属性](lake-widget-properties.md)

## 使用创建自定义仪表板 AWS CLI
<a name="lake-dashboard-cli-create-custom"></a>

以下过程介绍了如何创建自定义控制面板、如何将所需的基于资源的策略附加到事件数据存储和控制面板，以及如何更新控制面板以设置和启用刷新计划。

1. 运行 `create-dashboard` 来创建控制面板。

   创建自定义控制面板时，您可以传入一个最多包含 10 个小组件的数组。小组件以图形方式呈现查询的结果。每个小组件都包含 `ViewProperties`、`QueryStatement` 和 `QueryParameters`。
   + `ViewProperties`：指定视图类型的属性。有关更多信息，请参阅 [查看小组件的属性](lake-widget-properties.md)。
   + `QueryStatement`— 当仪表板刷新时，查询就会 CloudTrail 运行。只要您的账户中存在事件数据存储，您就可以跨多个事件数据存储进行查询。
   + `QueryParameters`：自定义控制面板支持以下 `QueryParameters` 值：`$Period$`、`$StartTime$` 和 `$EndTime$`。要使用`?`在要替换参数的`QueryStatement`位置`QueryParameters`放置 a。 CloudTrail 将在运行查询时填写参数。

   以下示例创建了一个包含四个小组件（每种视图类型一个）的控制面板。
**注意**  
在此示例中，`?` 用单引号括起来，因为它与 `eventTime` 一起使用。根据您运行的操作系统，您可能需要用转义引号将单引号括起来。有关更多信息，请参阅[在 AWS CLI中将引号和文本与字符串结合使用](https://docs.aws.amazon.com/cli/v1/userguide/cli-usage-parameters-quoting-strings.html)。

   ```
   aws cloudtrail create-dashboard --name AccountActivityDashboard \
   --widgets '[
       {
         "ViewProperties": {
           "Height": "2",
           "Width": "4",
           "Title": "TopErrors",
           "View": "Table"
         },
         "QueryStatement": "SELECT errorCode, COUNT(*) AS eventCount FROM eds WHERE eventTime > '?' AND eventTime < '?' AND (errorCode is not null) GROUP BY errorCode ORDER BY eventCount DESC LIMIT 100",
         "QueryParameters": ["$StartTime$", "$EndTime$"]
       },
       {
         "ViewProperties": {
           "Height": "2",
           "Width": "4",
           "Title": "MostActiveRegions",
           "View": "PieChart",
           "LabelColumn": "awsRegion",
           "ValueColumn": "eventCount",
           "FilterColumn": "awsRegion"
         },
         "QueryStatement": "SELECT awsRegion, COUNT(*) AS eventCount FROM eds where eventTime > '?' and eventTime < '?' GROUP BY awsRegion ORDER BY eventCount LIMIT 100",
         "QueryParameters": ["$StartTime$", "$EndTime$"]
       },
       {
         "ViewProperties": {
           "Height": "2",
           "Width": "4",
           "Title": "AccountActivity",
           "View": "LineChart",
           "YAxisColumn": "eventCount",
           "XAxisColumn": "eventDate",
           "FilterColumn": "readOnly"
         },
         "QueryStatement": "SELECT DATE_TRUNC('?', eventTime) AS eventDate, IF(readOnly, 'read', 'write') AS readOnly, COUNT(*) as eventCount FROM eds WHERE eventTime > '?' AND eventTime < '?' GROUP BY DATE_TRUNC('?', eventTime), readOnly ORDER BY DATE_TRUNC('?', eventTime), readOnly",
         "QueryParameters": ["$Period$", "$StartTime$", "$EndTime$", "$Period$", "$Period$"]
       },
       {
         "ViewProperties": {
           "Height": "2",
           "Width": "4",
           "Title": "TopServices",
           "View": "BarChart",
           "LabelColumn": "service",
           "ValueColumn": "eventCount",
           "FilterColumn": "service",
           "Orientation": "Horizontal"
         },
         "QueryStatement": "SELECT REPLACE(eventSource, '.amazonaws.com') AS service, COUNT(*) AS eventCount FROM eds WHERE eventTime > '?' AND eventTime < '?' GROUP BY eventSource ORDER BY eventCount DESC LIMIT 100",
         "QueryParameters": ["$StartTime$", "$EndTime$"]
       }
     ]'
   ```

1. 创建一个单独的文件，其中包含小组件的 `QueryStatement` 中包含的每个事件数据存储所需的资源策略。使用以下示例策略声明命名该文件*policy.json*：

    *123456789012*用您的账户 ID 替换为控制面板的 ARN。*arn:aws:cloudtrail:us-east-1:123456789012:dashboard/exampleDashboard*

   有关控制面板的基于资源的策略的更多信息，请参阅[示例：允许 CloudTrail 运行查询以刷新仪表板](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds-dashboard)。

1. 运行 `put-resource-policy` 命令来附加策略。您也可以在 CloudTrail 控制台上更新事件数据存储的基于资源的策略。

   以下示例会将基于资源的策略附加到事件数据存储。

   ```
   aws cloudtrail put-resource-policy \
   --resource-arn eds-arn \
   --resource-policy file://policy.json
   ```

1. 运行 `put-resource-policy` 命令将基于资源的策略附加到控制面板。有关策略示例，请参阅 [控制面板的基于资源的策略示例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-dashboards)。

   以下示例会将基于资源的策略附加到控制面板。*account-id*替换为您的账户 ID *dashboard-arn* 和控制面板的 ARN。

   ```
   aws cloudtrail put-resource-policy \
   --resource-arn dashboard-arn \
   --resource-policy '{"Version": "2012-10-17",		 	 	  "Statement": [{"Sid": "DashboardPolicy", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "cloudtrail:StartDashboardRefresh", "Condition": { "StringEquals": { "AWS:SourceArn": "dashboard-arn", "AWS:SourceAccount": "account-id"}}}]}'
   ```

1. 运行 `update-dashboard` 命令通过配置 `--refresh-schedule` 参数来设置和启用刷新计划。

   `--refresh-schedule` 由以下可选参数组成：
   + `Frequency`：计划的 `Unit` 和 `Value`。

     对于自定义控制面板，单位可以是 `HOURS` 或 `DAYS`。

      对于自定义控制面板，当单位为 `HOURS` 时，以下值有效：`1`、`6`、`12`、`24`

     对于自定义控制面板，当单位为 `DAYS` 时，唯一有效值为 `1`。
   + `Status`：指定是否启用刷新计划。请将值设置为 `ENABLED` 以启用刷新计划，或将值设置为 `DISABLED` 以关闭刷新计划。
   + `TimeOfDay `：一天中运行计划的时间（UTC）；对于仅每小时，则指分钟；默认值为 00:00。

   以下示例设置了每六个小时刷新计划并启用该计划。

   ```
   aws cloudtrail update-dashboard --dashboard-id AccountActivityDashboard \
   --refresh-schedule '{"Frequency": {"Unit": "HOURS", "Value": 6}, "Status": "ENABLED"}'
   ```

## 使用启用 “亮点” 仪表板 AWS CLI
<a name="lake-dashboard-cli-create-highlights"></a>

以下过程介绍了如何创建“要点”控制面板、如何将所需的基于资源的策略附加到事件数据存储和控制面板，以及如何更新控制面板以设置和启用刷新计划。

1. 运行 `create-dashboard` 命令来创建“要点”控制面板。要创建此控制面板，`--name` 必须是 `AWSCloudTrail-Highlights`。

   ```
   aws cloudtrail create-dashboard --name AWSCloudTrail-Highlights
   ```

1. 对于您账户中的每个事件数据存储，请运行 `put-resource-policy` 命令来将基于资源的策略附加到事件数据存储。您也可以在 CloudTrail 控制台上更新事件数据存储的基于资源的策略。有关策略示例，请参阅 [示例：允许 CloudTrail 运行查询以刷新仪表板](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds-dashboard)。

   以下示例会将基于资源的策略附加到事件数据存储。*account-id*替换为您的账户 ID、*eds-arn*事件数据存储的 ARN 以及控制面板*dashboard-arn*的 ARN。

   ```
   aws cloudtrail put-resource-policy \
   --resource-arn eds-arn \
   --resource-policy '{"Version": "2012-10-17",		 	 	  "Statement": [{"Sid": "EDSPolicy", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "cloudtrail:StartQuery", "Condition": { "StringEquals": { "AWS:SourceArn": "dashboard-arn", "AWS:SourceAccount": "account-id"}}} ]}'
   ```

1. 运行 `put-resource-policy` 命令将基于资源的策略附加到控制面板。有关策略示例，请参阅 [控制面板的基于资源的策略示例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-dashboards)。

   以下示例会将基于资源的策略附加到控制面板。*account-id*替换为您的账户 ID *dashboard-arn* 和控制面板的 ARN。

   ```
   aws cloudtrail put-resource-policy \
   --resource-arn dashboard-arn \
   --resource-policy '{"Version": "2012-10-17",		 	 	  "Statement": [{"Sid": "DashboardPolicy", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "cloudtrail:StartDashboardRefresh", "Condition": { "StringEquals": { "AWS:SourceArn": "dashboard-arn", "AWS:SourceAccount": "account-id"}}}]}'
   ```

1. 运行 `update-dashboard` 命令通过配置 `--refresh-schedule` 参数来设置和启用刷新计划。对于“要点”控制面板，唯一有效的 `UNIT` 是 `HOURS`，唯一有效的 `Value` 是 `6`。

   ```
   aws cloudtrail update-dashboard --dashboard-id AWSCloudTrail-Highlights \
   --refresh-schedule '{"Frequency": {"Unit": "HOURS", "Value": 6}, "Status": "ENABLED"}'
   ```

# 查看小组件的属性
<a name="lake-widget-properties"></a>

本节介绍了四种视图类型的可配置视图属性：表格、折线图、饼图和条形图。

**Topics**
+ [表](#lake-widget-table)
+ [折线图](#lake-widget-linechart)
+ [饼图](#lake-widget-piechart)
+ [条形图](#lake-widget-barchart)

## 表
<a name="lake-widget-table"></a>

以下示例显示了一个配置为表格的小组件。

```
{
    "ViewProperties": {
       "Height": "2",
       "Width": "4",
       "Title": "TopErrors",
       "View": "Table"
    },
    "QueryStatement": "SELECT errorCode, COUNT(*) AS eventCount FROM eds WHERE eventTime > '?' AND eventTime < '?' AND (errorCode is not null) GROUP BY errorCode ORDER BY eventCount DESC LIMIT 100",
    "QueryParameters": ["$StartTime$", "$EndTime$"]
}
```

下表描述了表格的可配置视图属性。


| 参数 | 必需 | 值 | 
| --- | --- | --- | 
|  `Height`  |  是  |  表格的高度（以英寸为单位）。  | 
|  `Width`  |  是  |  表格的宽度（以英寸为单位）。  | 
|  `Title`  |  是  |  表格的标题。  | 
|  `View`  |  是  |  小组件视图类型。对于表格，该值为 `Table`。  | 

## 折线图
<a name="lake-widget-linechart"></a>

以下示例显示了一个配置为折线图的小组件。

```
{
    "ViewProperties": {
       "Height": "2",
       "Width": "4",
       "Title": "AccountActivity",
       "View": "LineChart",
       "YAxisColumn": "eventCount",
       "XAxisColumn": "eventDate",
       "FilterColumn": "readOnly"
    },
    "QueryStatement": "SELECT DATE_TRUNC('?', eventTime) AS eventDate, IF(readOnly, 'read', 'write') AS readOnly, COUNT(*) as eventCount FROM eds WHERE eventTime > '?' AND eventTime < '?' GROUP BY DATE_TRUNC('?', eventTime), readOnly ORDER BY DATE_TRUNC('?', eventTime), readOnly",
    "QueryParameters": ["$Period$", "$StartTime$", "$EndTime$", "$Period$", "$Period$"]
}
```

下表描述了折线图的可配置视图属性。


| 参数 | 必需 | 值 | 
| --- | --- | --- | 
|  `Height`  |  是  |  折线图的高度（以英寸为单位）。  | 
|  `Width`  |  是  |  折线图的宽度（以英寸为单位）。  | 
|  `Title`  |  是  |  折线图的标题。  | 
|  `View`  |  是  |  小组件视图类型。对于折线图，该值为 `LineChart`。  | 
|  `YAxisColumn`  |  是  |  查询结果中要用于 Y 轴列的字段。例如 `eventCount`。  | 
|  `XAxisColumn`  |  是  |  查询结果中要用于 X 轴列的字段。例如 `eventDate`。  | 
|  `FilterColumn`  |  否  |  查询结果中要根据其进行筛选的字段。例如 `readOnly`。  | 

## 饼图
<a name="lake-widget-piechart"></a>

以下示例显示了一个配置为饼图的小组件。

```
{
    "ViewProperties": {
       "Height": "2",
       "Width": "4",
       "Title": "MostActiveRegions",
       "View": "PieChart",
       "LabelColumn": "awsRegion",
       "ValueColumn": "eventCount",
       "FilterColumn": "awsRegion"
    },
    "QueryStatement": "SELECT awsRegion, COUNT(*) AS eventCount FROM eds where eventTime > '?' and eventTime < '?' GROUP BY awsRegion ORDER BY eventCount LIMIT 100",
    "QueryParameters": ["$StartTime$", "$EndTime$"]
}
```

下表描述了饼图的可配置视图属性。


| 参数 | 必需 | 值 | 
| --- | --- | --- | 
|  `Height`  |  是  |  饼图的高度（以英寸为单位）。  | 
|  `Width`  |  是  |  饼图的宽度（以英寸为单位）。  | 
|  `Title`  |  是  |  饼图的标题。  | 
|  `View`  |  是  |  小组件视图类型。对于饼图，该值为 `PieChart`。  | 
|  `LabelColumn`  |  是  |  饼图中各区段的标签。例如 `awsRegion`。  | 
|  `ValueColumn`  |  是  |  饼图中各区段的值。例如 `ValueColumn`。  | 
|  `FilterColumn`  |  否  |  查询结果中要根据其进行筛选的字段。例如 `awsRegion`。  | 

## 条形图
<a name="lake-widget-barchart"></a>

以下示例显示了一个配置为条形图的小组件。

```
{
    "ViewProperties": {
       "Height": "2",
       "Width": "4",
       "Title": "TopServices",
       "View": "BarChart",
       "LabelColumn": "service",
       "ValueColumn": "eventCount",
       "FilterColumn": "service",
       "Orientation": "Horizontal"
    },
    "QueryStatement": "SELECT REPLACE(eventSource, '.amazonaws.com') AS service, COUNT(*) AS eventCount FROM eds WHERE eventTime > '?' AND eventTime < '?' GROUP BY eventSource ORDER BY eventCount DESC LIMIT 100",
    "QueryParameters": ["$StartTime$", "$EndTime$"]
}
```

下表描述了条形图的可配置视图属性。


| 参数 | 必需 | 值 | 
| --- | --- | --- | 
|  `Height`  |  是  |  条形图的高度（以英寸为单位）。  | 
|  `Width`  |  是  |  条形图的宽度（以英寸为单位）。  | 
|  `Title`  |  是  |  条形图的标题。  | 
|  `View`  |  是  |  小组件视图类型。对于条形图，该值为 `BarChart`。  | 
|  `LabelColumn`  |  是  |  条形图中条形图的标签。例如 `service`。  | 
|  `ValueColumn`  |  是  |  条形图中条形图的值。例如 `eventCount`。  | 
|  `FilterColumn`  |  否  |  查询结果中要根据其进行筛选的字段。例如 `service`。  | 
|  `Orientation`  |  否  |  条形图的方向：`Horizontal` 或 `Vertical`。  | 

# 使用管理仪表板 AWS CLI
<a name="lake-dashboard-cli-manage"></a>

本节介绍了可运行来管理控制面板的几个其他命令，包括获取控制面板、列出控制面板、刷新控制面板和更新控制面板。

使用时 AWS CLI，请记住您的命令在 AWS 区域 配置文件中运行。如果您想要在不同的区域中运行命令，可以为配置文件更改默认区域，或者与命令一起使用 `--region` 参数。

**Topics**
+ [使用以下命令获取仪表板 AWS CLI](#lake-dashboard-cli-get)
+ [使用列出仪表板 AWS CLI](#lake-dashboard-cli-list)
+ [将基于资源的策略附加到事件数据存储或仪表板 AWS CLI](#lake-dashboard-cli-add-rbp)
+ [使用手动刷新仪表板 AWS CLI](#lake-dashboard-cli-refresh)
+ [使用更新仪表板 AWS CLI](#lake-dashboard-cli-update)

## 使用以下命令获取仪表板 AWS CLI
<a name="lake-dashboard-cli-get"></a>

运行 `get-dashboard` 命令可返回控制面板。通过提供控制面板 ARN 或控制面板名称来指定 `--dashboard-id`。

```
aws cloudtrail get-dashboard --dashboard-id arn:aws:cloudtrail:us-east-1:123456789012:dashboard/exampleDash
```

## 使用列出仪表板 AWS CLI
<a name="lake-dashboard-cli-list"></a>

运行 `list-dashboards` 命令可列出您的账户的控制面板。
+ 添加 `--type` 参数以仅查看 `CUSTOM` 或 `MANAGED` 控制面板。
+  包括 `--max-results` 参数以限制结果数量。有效值为 1-100。
+ 包括 `--name-prefix` 以返回与指定前缀匹配的控制面板。

以下示例列出了所有控制面板。

```
aws cloudtrail list-dashboards
```

此示例仅列出 `CUSTOM` 控制面板。

```
aws cloudtrail list-dashboards --type CUSTOM
```

下一个示例仅列出 `MANAGED` 控制面板。

```
aws cloudtrail list-dashboards --type MANAGED
```

最后一个示例列出了与指定的前缀匹配的控制面板。

```
aws cloudtrail list-dashboards --name-prefix ExamplePrefix
```

## 将基于资源的策略附加到事件数据存储或仪表板 AWS CLI
<a name="lake-dashboard-cli-add-rbp"></a>

运行 `put-resource-policy` 命令可将基于资源的策略应用于事件数据存储或控制面板。

### 将基于资源的策略附加到事件数据存储
<a name="lake-dashboard-cli-add-rbp-eds"></a>

要在手动或计划刷新期间对控制面板运行查询，您需要将基于资源的策略附加到与控制面板上的小组件关联的每个事件数据存储。这允许 CloudTrail Lake 代表您运行查询。有关基于资源的策略的更多信息，请参阅 [示例：允许 CloudTrail 运行查询以刷新仪表板](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds-dashboard)。

以下示例会将基于资源的策略附加到事件数据存储。*account-id*替换为您的账户 ID、*eds-arn* CloudTrail 将运行查询的事件数据存储的 ARN 以及控制面板*dashboard-arn*的 ARN。

```
aws cloudtrail put-resource-policy \
--resource-arn eds-arn \
--resource-policy '{"Version": "2012-10-17",		 	 	  "Statement": [{"Sid": "EDSPolicy", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "cloudtrail:StartQuery", "Condition": { "StringEquals": { "AWS:SourceArn": "dashboard-arn", "AWS:SourceAccount": "account-id"}}} ]}'
```

### 将基于资源的策略附加到控制面板
<a name="lake-dashboard-cli-add-rbp-dashboard"></a>

要为仪表板设置刷新计划，您需要将基于资源的策略附加到仪表板，以允许 CloudTrail Lake 代表您刷新仪表板。有关基于资源的策略的更多信息，请参阅 [控制面板的基于资源的策略示例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-dashboards)。

以下示例会将基于资源的策略附加到控制面板。*account-id*替换为您的账户 ID *dashboard-arn* 和控制面板的 ARN。

```
aws cloudtrail put-resource-policy \
--resource-arn dashboard-arn \
--resource-policy '{"Version": "2012-10-17",		 	 	  "Statement": [{"Sid": "DashboardPolicy", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "cloudtrail:StartDashboardRefresh", "Condition": { "StringEquals": { "AWS:SourceArn": "dashboard-arn", "AWS:SourceAccount": "account-id"}}}]}'
```

## 使用手动刷新仪表板 AWS CLI
<a name="lake-dashboard-cli-refresh"></a>

运行 `start-dashboard-refresh` 命令可手动刷新控制面板。在运行此命令之前，必须[将基于资源的策略附加](#lake-dashboard-cli-add-rbp-eds)到与控制面板小组件关联的每个事件数据存储。

以下示例展示了如何手动刷新自定义控制面板。

```
aws cloudtrail start-dashboard-refresh \ 
--dashboard-id  dashboard-id \ 
--query-parameter-values '{"$StartTime$": "2024-11-05T10:45:24.00Z"}'
```

下一个示例展示了如何手动刷新托管的控制面板。由于托管仪表板是由配置的 CloudTrail，因此刷新请求需要包含将在其上运行查询的事件数据存储的 ID。

```
aws cloudtrail start-dashboard-refresh \
--dashboard-id dashboard-id  \
--query-parameter-values '{"$StartTime$": "2024-11-05T10:45:24.00Z", "$EventDataStoreId$": "eds-id"}'
```

## 使用更新仪表板 AWS CLI
<a name="lake-dashboard-cli-update"></a>

运行 `update-dashboard` 命令可更新控制面板。您可以更新控制面板，以设置刷新计划、启用或禁用刷新计划、修改小组件以及启用或禁用终止保护。

### 使用更新刷新计划 AWS CLI
<a name="lake-dashboard-cli-update-schedule"></a>

以下示例更新了名为 `AccountActivityDashboard` 的自定义控制面板的刷新计划。

```
aws cloudtrail update-dashboard --dashboard-id AccountActivityDashboard \
--refresh-schedule '{"Frequency": {"Unit": "HOURS", "Value": 6}, "Status": "ENABLED"}'
```

### 使用自定义仪表板禁用终止保护和刷新计划 AWS CLI
<a name="lake-dashboard-cli-update-termination-protection"></a>

以下示例禁用了名为 `AccountActivityDashboard` 的自定义控制面板的终止保护，以允许删除该控制面板。它还会关闭刷新计划。

```
aws cloudtrail update-dashboard --dashboard-id AccountActivityDashboard \
--refresh-schedule '{ "Status": "DISABLED"}' \
--no-termination-protection-enabled
```

### 向自定义控制面板添加小组件
<a name="lake-dashboard-cli-update-widget"></a>

以下示例向名为 `AccountActivityDashboard` 的自定义控制面板添加了一个名为 `TopServices` 的新小组件。小组件数组包括已为控制面板创建的两个小组件和新的小组件。

**注意**  
在此示例中，`?` 用单引号括起来，因为它与 `eventTime` 一起使用。根据您运行的操作系统，您可能需要用转义引号将单引号括起来。有关更多信息，请参阅[在 AWS CLI中将引号和文本与字符串结合使用](https://docs.aws.amazon.com/cli/v1/userguide/cli-usage-parameters-quoting-strings.html)。

```
aws cloudtrail update-dashboard --dashboard-id AccountActivityDashboard \
--widgets '[
    {
      "ViewProperties": {
        "Height": "2",
        "Width": "4",
        "Title": "TopErrors",
        "View": "Table"
      },
      "QueryStatement": "SELECT errorCode, COUNT(*) AS eventCount FROM eds WHERE eventTime > '?' AND eventTime < '?' AND (errorCode is not null) GROUP BY errorCode ORDER BY eventCount DESC LIMIT 100",
      "QueryParameters": ["$StartTime$", "$EndTime$"]
    },
    {
      "ViewProperties": {
        "Height": "2",
        "Width": "4",
        "Title": "MostActiveRegions",
        "View": "PieChart",
        "LabelColumn": "awsRegion",
        "ValueColumn": "eventCount",
        "FilterColumn": "awsRegion"
      },
      "QueryStatement": "SELECT awsRegion, COUNT(*) AS eventCount FROM eds where eventTime > '?' and eventTime < '?' GROUP BY awsRegion ORDER BY eventCount LIMIT 100",
      "QueryParameters": ["$StartTime$", "$EndTime$"]
    },
    {
      "ViewProperties": {
        "Height": "2",
        "Width": "4",
        "Title": "TopServices",
        "View": "BarChart",
        "LabelColumn": "service",
        "ValueColumn": "eventCount",
        "FilterColumn": "service",
        "Orientation": "Vertical"
      },
      "QueryStatement": "SELECT replace(eventSource, '.amazonaws.com') AS service, COUNT(*) as eventCount FROM eds WHERE eventTime > '?' AND eventTime < '?' GROUP BY eventSource ORDER BY eventCount DESC LIMIT 100",
      "QueryParameters": ["$StartTime$", "$EndTime$"]
    }
  ]'
```

# 使用删除仪表板 AWS CLI
<a name="lake-dashboard-cli-delete"></a>

本节介绍如何使用 AWS CLI `delete-dashboard`命令删除 CloudTrail Lake 仪表板。

要删除控制面板，请通过提供控制面板 ARN 或控制面板名称来指定 `--dashboard-id`。

```
aws cloudtrail delete-dashboard --dashboard-id arn:aws:cloudtrail:us-east-1:123456789012:dashboard/exampleDash
```

如果成功执行操作，则没有响应。

**注意**  
如果设置了 `--termination-protection-enabled`，则无法删除控制面板。