本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用控制台为事件创建 CloudTrail 事件数据存储
<a name="query-event-data-store-cloudtrail"></a>

**注意**  
AWS CloudTrail 从 2026 年 5 月 31 日起，Lake 将不再向新客户开放。如果您想使用 CloudTrail Lake，请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息，请参阅 [CloudTrail 湖泊可用性变更](cloudtrail-lake-service-availability-change.md)。

事件 CloudTrail 的事件数据存储可以包括 CloudTrail 管理事件、数据事件和网络活动事件。如果您选择**一年可延期保留定价**选项，则可以将事件数据在事件数据存储中最多保留 3653 天（大约 10 年）；如果您选择**七年保留定价**选项，则最多可以保留 2557 天（大约 7 年）。

CloudTrail 湖泊事件数据存储会产生费用。创建事件数据存储时，您可以选择要用于事件数据存储的[定价选项](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)。定价选项决定了摄取和存储事件的成本，以及事件数据存储的默认和最长保留期。有关 CloudTrail 定价和管理 Lake 成本的信息，请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/)和[管理 CloudTrail 湖泊成本](cloudtrail-lake-manage-costs.md)。

## 为事件创建事件数据存 CloudTrail 储
<a name="query-event-data-store-cloudtrail-procedure"></a>

使用此过程创建用于记录 CloudTrail 管理事件、数据事件或网络活动事件的事件数据存储。

1. 登录 AWS 管理控制台 并打开 CloudTrail 控制台，网址为[https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)。

1.  在导航窗格中，在 **Lake** 下，选择**事件数据存储**。

1. 选择**创建事件数据存储**。

1. 在 **Configure event data store**（配置事件数据存储）页面上的 **General details**（一般细节）中，输入事件数据存储的名称。名字是必填的。

1. 选择您要用于事件数据存储的**定价选项**。定价选项决定了摄取和存储事件的成本，以及您的事件数据存储的默认和最长保留期。有关更多信息，请参阅 [AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing/) 和[管理 CloudTrail 湖泊成本](cloudtrail-lake-manage-costs.md)。

   可用选项如下：
   + **一年可延期保留定价**：如果您希望每月摄取的事件数据少于 25TB，并且想要灵活的保留期（最长 10 年），一般建议采用此选项。在前 366 天（默认保留期）内，存储包含在摄取定价中，没有额外收费。366 天后，可以按 pay-as-you-go定价延长保留期。这是默认选项。
     + **默认保留期：**366 天
     + **最长保留期：**3653 天
   + **七年期保留定价**：如果您希望每月摄取的事件数据大于 25TB，并且需要最长 7 年的保留期，则建议采用此选项。保留包含在摄取定价中，没有额外费用。
     + **默认保留期：**2557 天
     + **最长保留期：**2557 天

1. 指定事件数据存储的保留期。**一年可延期保留定价**选项的保留期可以介于 7 天到 3653 天（大约 10 年）之间，**七年期保留定价**选项的保留期可以介于 7 天到 2557 天（约七年）之间。

    CloudTrail Lake 通过检查事件是否在`eventTime`指定的保留期内来确定是否保留该事件。例如，如果您将保留期指定为 90 天，`eventTime`则 CloudTrail 会删除超过 90 天的事件。
**注意**  
如果您要将跟踪事件复制到此事件数据存储中，则 CloudTrail 不会复制超过指定保留期的事件。`eventTime`要确定适当的保留期，请计算要复制的最早事件（以天为单位）和要在事件数据存储中保留这些事件的天数（**保留期** = *oldest-event-in-days* \$1*number-days-to-retain*）的总和。例如，如果您要复制的最早事件已有 45 天，并且您想将事件在事件数据存储中再保留 45 天，则可以将保留期设置为 90 天。

1. （可选）要使用启用加密 AWS Key Management Service，请选择**使用我自己的**加密 AWS KMS key。选择 “**新**建” 为您 AWS KMS key 创建，或选择 “**现有” 以使用现**有 KMS 密钥。在**输入 KMS 别**名中，按格式指定别名`alias/`*MyAliasName*。使用您自己的 KMS 密钥需要编辑您的 KMS 密钥策略，以允许加密和解密您的事件数据存储。有关更多信息，请参阅[为以下各项配置 AWS KMS 密钥策略 CloudTrail](create-kms-key-policy-for-cloudtrail.md)。 CloudTrail 还支持 AWS KMS 多区域密钥。有关多区域密钥的更多信息，请参阅 *AWS Key Management Service 开发人员指南*中的[使用多区域密钥](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html)。

   使用自己的 KMS 密钥会产生加密和解密 AWS KMS 费用。在将事件数据存储与 KMS 密钥关联后，将无法移除或更改 KMS 密钥。
**注意**  
要为组织事件数据存储启用 AWS Key Management Service 加密，必须使用管理账户的现有 KMS 密钥。

1. （可选）如果您想使用 Amazon Athena 对事件数据进行查询，请在 **Lake 查询联合身份验证**中选择**启用**。通过联合身份验证，您可以在 AWS Glue [数据目录](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)中查看与事件数据存储相关的元数据，并在 Athena 中对事件数据运行 SQL 查询。存储在 AWS Glue 数据目录中的表元数据让 Athena 查询引擎知道如何查找、读取和处理您要查询的数据。有关更多信息，请参阅 [联合事件数据存储](query-federation.md)。

   要启用 Lake 查询联合身份验证，请选择**启用**，然后执行以下操作：

   1. 选择是要创建新角色还是使用现有 IAM 角色。[AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) 使用此角色管理联合事件数据存储的权限。使用 CloudTrail 控制台创建新角色时， CloudTrail 会自动创建一个具有所需权限的角色。如果您选择现有角色，请确保该角色的策略提供[所需的最低权限](query-federation.md#query-federation-permissions-role)。

   1. 如果您在创建新角色，请输入名称来标识该角色。

   1. 如果您使用现有角色，请选择要使用的角色。该角色必须存在于您的 账户中。

1. （可选）选择**启用资源策略**以向您的事件数据存储添加基于资源的策略。基于资源的策略可让您控制哪些主体可以对您的事件数据存储执行操作。例如，您可以添加基于资源的策略，允许其他账户中的根用户查询此事件数据存储并查看查询结果。有关示例策略，请参阅 [事件数据存储的基于资源的策略示例](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds)。

   基于资源的策略包括一个或多个语句。策略中的每条语句都定义了支持或拒绝访问事件数据存储的[主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)以及主体可以对事件数据存储资源执行的操作。

   事件数据存储的基于资源的策略支持以下操作：
   +  `cloudtrail:StartQuery` 
   +  `cloudtrail:CancelQuery` 
   +  `cloudtrail:ListQueries` 
   +  `cloudtrail:DescribeQuery` 
   +  `cloudtrail:GetQueryResults` 
   +  `cloudtrail:GenerateQuery` 
   +  `cloudtrail:GenerateQueryResultsSummary` 
   +  `cloudtrail:GetEventDataStore` 

   对于[组织事件数据存储](cloudtrail-lake-organizations.md)， CloudTrail 创建[基于资源的默认策略，该策略](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)列出了允许委派管理员帐户对组织事件数据存储执行的操作。此策略中的权限来自 AWS Organizations中的委派管理员权限。在组织事件数据存储或组织发生更改后（例如，注册或删除了 CloudTrail 委托管理员帐户），此策略会自动更新。

1. （可选）在 **Tags**（标签）部分中，您最多可以添加 50 个标签键对，以帮助您对事件数据存储的访问进行识别、排序和控制。要详细了解如何使用 IAM 策略以根据标签授权对事件数据存储的访问，请参阅[示例：拒绝基于标签创建或删除事件数据存储的访问权限](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags)。有关如何在中使用标签的更多信息 AWS，请参阅《[标记 AWS 资源](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)*用户指南》中的为 AWS 资源添加标签*。

1.  选择**下一步**以配置事件数据存储。

1.  在 **“选择事件**” 页面上，选择**AWS 事件**，然后选择**CloudTrail事件**。

1. 对于**CloudTrail 事件**，请至少选择一种事件类型。默认情况下，已选中 **Management events**（管理事件）。您可以将[管理事件](logging-management-events-with-cloudtrail.md)、[数据事件](logging-data-events-with-cloudtrail.md)和[网络活动事件](logging-network-events-with-cloudtrail.md)添加到事件数据存储。

1. （可选）如果要从现有跟踪中复制事件以对过往事件运行查询，请选择 **Copy trail events**（复制跟踪事件）。要将跟踪事件复制到组织事件数据存储，必须使用该组织的管理账户。委托管理员账户无法将跟踪事件复制到组织事件数据存储。有关复制跟踪事件注意事项的更多信息，请参阅 [复制跟踪事件的注意事项](cloudtrail-copy-trail-to-lake-eds.md#cloudtrail-trail-copy-considerations-lake)。

1. 要让您的事件数据存储收集 AWS Organizations 企业中所有账户的事件，请选择 **Enable for all accounts in my organization**（为我的企业中的所有账户启用）。您必须登录到组织的管理账户或委托管理员账户，才能创建为组织收集事件的事件数据存储。
**注意**  
要复制跟踪事件或启用 Insights 事件，您必须登录组织的管理账户。

1. 展开**其他设置**以选择是希望事件数据存储收集所有 AWS 区域事件还是仅收集当前事件 AWS 区域，并选择事件数据存储是提取事件。默认情况下，您的事件数据存储会收集您账户中所有区域的事件，并在事件创建后开始摄取事件。

   1. 选择**在我的事件数据存储中仅包含当前区域**，以便仅包含在当前区域中记录的事件。如果不选择此选项，则您的事件数据存储将包含来自所有区域的事件。

   1. 如果您不希望事件数据存储开始摄取事件，请取消选择**摄取事件**。例如，如果您要复制跟踪事件并且不希望事件数据存储包含任何未来事件，则可能需要取消选择**摄取事件**。默认情况下，事件数据存储会在创建事件时开始摄取事件。

1. 如果您的事件数据存储包括管理事件，您可以从以下选项中进行选择。有关管理事件的更多信息，请参阅[记录管理事件](logging-management-events-with-cloudtrail.md)。

   1. 在**简单事件收集**或**高级事件收集**之间进行选择：
      + 如果要记录所有事件、记录仅读取事件或记录仅写入事件，请选择**简单事件收集**。您也可以选择排除 AWS Key Management Service 和 Amazon RDS 数据 API 事件。
      + 如果要根据高级事件选择器字段（包括 `eventName`、`eventType`、`eventSource`、`sessionCredentialFromConsole` 和 `userIdentity.arn` 字段）的值包括或排除管理事件，请选择**高级事件收集**。

   1. 如果您选择了**简单事件收集**，请选择是要记录所有事件、仅记录读取事件还是仅记录写入事件。您也可以选择排除 AWS KMS 和 Amazon RDS 数据 API 事件。

   1. 如果您选择了**高级事件收集**，请进行以下选择：

      1. 在**日志选择器模板**中，选择一个预定义的模板，或者选择**自定义**以基于高级事件选择器字段值构建自定义配置。

         您可以从以下预定义模板中进行选择：
         + **记录所有事件**：选择此模板以记录所有事件。
         + **仅记录读取事件**：选择此模板以仅记录读取事件。只读事件是不会更改资源状态的事件，例如 `Get*` 或 `Describe*` 事件。
         + **仅记录写入事件**：选择此模板以仅记录写入事件。写入事件可添加、更改或删除资源、属性或构件，例如 `Put*`、`Delete*` 或 `Write*` 事件。
         + **仅记录 AWS 管理控制台 事件**-选择此模板仅记录源自的事件 AWS 管理控制台。
         + **排除 AWS 服务 已启动的事件**-选择此模板可排除 AWS 服务 具有`eventType`关联角色的事件和使用 AWS 服务关联角色启动的事件 (SLRs)。`AwsServiceEvent`

      1. （可选）在**选择器名称**中，输入用于标识选择器的名称。选择器名称是高级事件选择器的描述性名称，例如 “记录 AWS 管理控制台 会话中的管理事件”。选择器名称在高级事件选择器中列为 `Name`，展开 **JSON 视图**即可查看该名称。

      1. 如果您选择了**自定义**，则在**高级事件选择器**中，将基于高级事件选择器字段值构建表达式。
**注意**  
选择器不支持使用通配符，例如 `*`。要将多个值与单个条件匹配，可以使用 `StartsWith`、`EndsWith`、`NotStartsWith` 或 `NotEndsWith` 明确匹配事件字段的开头或结尾。

         1. 从下面的字段中选择。
            + **`readOnly`**：`readOnly`可以设置为**等于**值 `true` 或 `false`。当它设置为 `false` 时，事件数据存储将记录只写管理事件。只读管理事件是不会更改资源状态的事件，例如 `Get*` 或 `Describe*` 事件。写入事件可添加、更改或删除资源、属性或构件，例如 `Put*`、`Delete*` 或 `Write*` 事件。要同时记录**读取**和**写入**事件，请勿添加 `readOnly` 选择器。
            + **`eventName`**：`eventName`可以使用任何运算符。您可以使用它来包含或排除任何管理事件，例如 `CreateAccessPoint` 或 `GetAccessPoint`。
            + **`userIdentity.arn`**：包含或排除特定 IAM 身份所采取操作的事件。有关更多信息，请参阅 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
            + **`sessionCredentialFromConsole`**— 包括或排除源自 AWS 管理控制台 会话的事件。可以将此字段设置为**等于**或**不等于**值 `true`。
            + **`eventSource`**：可以使用它来包含或排除特定的事件源。`eventSource` 通常为服务名称的简短形式，不含空格但会加上 `.amazonaws.com`。例如，可以设置 `eventSource` **等于** `ec2.amazonaws.com`，以便仅记录 Amazon EC2 管理事件。
            + **`eventType`**：要包括或排除的 [eventType](cloudtrail-event-reference-record-contents.md#ct-event-type)。例如，可以将此字段设置为**不等于** `AwsServiceEvent`，以排除 [AWS 服务 事件](non-api-aws-service-events.md)。

         1. 对于每个字段，请选择 **\$1 条件**以根据需要添加任意数量的条件，所有条件总共可有最多 500 个指定值。

            有关如何 CloudTrail 评估多个条件的信息，请参阅[如何 CloudTrail 评估一个字段的多个条件](filtering-data-events.md#filtering-data-events-conditions)。
**注意**  
对于事件数据存储上的所有选择器，最多可以有 500 个值。这包括选择器的多个值的数组，例如 `eventName`。如果所有选择器均为单个值，则最多可以向选择器添加 500 个条件。

         1. 根据需要，选择 **\$1 字段**以添加其他字段。为了避免错误，请不要为字段设置冲突或重复的值。

      1. 或者，展开 **JSON 视图**将您的高级事件选择器作为 JSON 数据块查看。

   1. 选择**启用 Insights 事件捕获**以启用 Insights。要启用 Insights，您需要设置[目标事件数据存储](query-event-data-store-insights.md#query-event-data-store-insights-procedure)来将根据该事件数据存储中的管理事件活动收集 Insights 事件。

      如果您选择启用 Insights，请执行以下操作。

      1. 选择将记录 Insights 事件的目标事件存储。目标事件数据存储将根据该事件数据存储中的管理事件活动收集 Insights 事件。有关如何创建目标事件数据存储的信息，请参阅[要创建记录 Insights 事件的目标事件数据存储](query-event-data-store-insights.md#query-event-data-store-insights-procedure)。

      1. 选择 Insights 类型。您可以选择 **API 调用率**、**API 错误率**或同时选择此两者。您必须记录**写入**管理事件，以针对 **API 调用率**记录 Insights 事件。您必须记录**读取**或**写入**管理事件，以针对 **API 错误率**记录 Insights 事件。

1. 要在事件数据存储中包含数据事件，请执行以下操作。

   1. 选择资源类型。这是记录数据事件的 AWS 服务 和资源。

   1. 在**日志选择器模板**中，选择一个预定义的模板，或者选择**自定义**以基于高级事件选择器字段的值定义您自己的事件收集条件。

      您可以从以下预定义模板中进行选择：
      + **记录所有事件**：选择此模板以记录所有事件。
      + **仅记录读取事件**：选择此模板以仅记录读取事件。只读事件是不会更改资源状态的事件，例如 `Get*` 或 `Describe*` 事件。
      + **仅记录写入事件**：选择此模板以仅记录写入事件。写入事件可添加、更改或删除资源、属性或构件，例如 `Put*`、`Delete*` 或 `Write*` 事件。
      + **仅记录 AWS 管理控制台 事件**-选择此模板仅记录源自的事件 AWS 管理控制台。
      + **排除 AWS 服务 已启动的事件**-选择此模板可排除 AWS 服务 具有`eventType`关联角色的事件和使用 AWS 服务关联角色启动的事件 (SLRs)。`AwsServiceEvent`

   1. （可选）在**选择器名称**中，输入用于标识选择器的名称。选择器名称是高级事件选择器的描述性名称，例如“仅记录两个 S3 桶的数据事件”。选择器名称在高级事件选择器中列为 `Name`，展开 **JSON 视图**即可查看该名称。

   1. 如果您选择了**自定义**，则在**高级事件选择器**中，将基于高级事件选择器字段的值生成表达式。
**注意**  
选择器不支持使用通配符，例如 `*`。要将多个值与单个条件匹配，可以使用 `StartsWith`、`EndsWith`、`NotStartsWith` 或 `NotEndsWith` 明确匹配事件字段的开头或结尾。

      1. 从下面的字段中选择。
         + **`readOnly`**：`readOnly` 可以设置为**等于**值 `true` 或 `false`。只读数据事件是不会更改资源状态的事件，例如 `Get*` 或 `Describe*` 事件。写入事件可添加、更改或删除资源、属性或构件，例如 `Put*`、`Delete*` 或 `Write*` 事件。要记录 `read` 和 `write` 两种事件，请不要添加 `readOnly` 选择器。
         + **`eventName`**：`eventName` 可以使用任何运算符。您可以使用它来包含或排除记录到的任何数据事件 CloudTrail，例如`PutBucket``GetItem`、或`GetSnapshotBlock`。
         + **`eventSource`**：要包括或排除的事件类型。此字段可以使用任意运算符。
         + **eventType**：要包括或排除的事件类型。例如，可以将此字段设置为**不等于** `AwsServiceEvent`，以排除 [AWS 服务 事件](non-api-aws-service-events.md)。有关事件类型的列表，请参阅 [CloudTrail 记录管理、数据和网络活动事件的内容](cloudtrail-event-reference-record-contents.md) 中的 [`eventType`](cloudtrail-event-reference-record-contents.md#ct-event-type)。
         + **sessionCredentialFrom控制台**-包括或排除源自 AWS 管理控制台 会话的事件。可以将此字段设置为**等于**或**不等于**值 `true`。
         + **userIdentity.arn**：包含或排除特定 IAM 身份所采取操作的事件。有关更多信息，请参阅 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
         + **`resources.ARN`**：您可以将任何运算符与 `resources.ARN` 配合使用，但如果您使用**等于**或**不等于**，则该值必须与您在模板中指定为 `resources.type` 的值的有效资源类型的 ARN 完全匹配。
**注意**  
您不能使用该`resources.ARN`字段筛选没有的资源类型 ARNs。

           有关数据事件资源的 ARN 格式的更多信息，请参阅《服务授权参考》**中的 [AWS 服务的操作、资源和条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)。

      1. 对于每个字段，请选择 **\$1 条件**以根据需要添加任意数量的条件，所有条件总共可有最多 500 个指定值。例如，要从记录到事件数据存储的数据事件中排除两个 S3 存储桶的数据事件，可以将字段设置为 **resources.ARN**，设置**不始于**运算符，然后粘贴您不想为其记录事件的 S3 存储桶 ARN。

         要添加第二个 S3 存储桶，请选择 **\$1 条件**，然后重复上述说明，在 ARN 中粘贴或浏览到不同的存储桶。

         有关如何 CloudTrail 评估多个条件的信息，请参阅[如何 CloudTrail 评估一个字段的多个条件](filtering-data-events.md#filtering-data-events-conditions)。
**注意**  
对于事件数据存储上的所有选择器，最多可以有 500 个值。这包括选择器的多个值的数组，例如 `eventName`。如果所有选择器均为单个值，则最多可以向选择器添加 500 个条件。

      1. 根据需要，选择 **\$1 字段**以添加其他字段。为了避免错误，请不要为字段设置冲突或重复的值。例如，不要在一个选择器中将 ARN 指定为等于某个值，然后在另一个选择器中指定 ARN 不等于相同的值。

   1. 或者，展开 **JSON 视图**将您的高级事件选择器作为 JSON 数据块查看。

   1. 要添加需要记录数据事件的其他资源类型，请选择**添加数据事件类型**。重复步骤 a 至此步骤，为资源类型配置高级事件选择器。

1. 要在事件数据存储中包含网络活动事件，请执行以下操作。

   1. 从**网络活动事件源**中，选择网络活动事件的来源。

   1. 在**记录选择器模板**中，选择一个模板。您可以选择记录所有网络活动事件、记录所有网络活动访问被拒绝的事件，或者选择**自定义**来构建自定义日志选择器以筛选多个字段（例如 `eventName` 和 `vpcEndpointId`）。

   1. （可选）输入用于标识选择器的名称。选择器名称在高级事件选择器中列为 **名称**，展开 **JSON 视图**即可查看该名称。

   1. 在**高级事件选择器**中，通过为**字段**、**运算符**和**值**选择值来构建表达式。如果您使用的是预定义日志模板，则可跳过此步骤。

      1. 要排除或包括网络活动事件，您可以从控制台中的以下字段中进行选择。
         + **`eventName`**：您可以将任何运算符与 `eventName` 配合使用。您可以使用它来包含或排除任何事件（如 `CreateKey`）。
         + **`errorCode`**：您可以使用它来筛选错误代码。目前，唯一支持的 `errorCode` 是 `VpceAccessDenied`。
         +  **`vpcEndpointId`**：标识操作通过的 VPC 端点。您可以将任何运算符与 `vpcEndpointId` 配合使用。

      1. 对于每个字段，请选择 **\$1 条件**以根据需要添加任意数量的条件，所有条件总共可有最多 500 个指定值。

      1. 根据需要，选择 **\$1 字段**以添加其他字段。为了避免错误，请不要为字段设置冲突或重复的值。

   1. 要添加您想要记录网络活动事件的另一个事件源，请选择**添加网络活动事件选择器**。

   1. 或者，展开 **JSON 视图**将您的高级事件选择器作为 JSON 数据块查看。

1. 要将现有跟踪事件复制到您的事件数据存储，请执行以下操作。

   1. 选择要复制的跟踪。默认情况下， CloudTrail 仅复制 S3 存储桶`CloudTrail`前缀中包含 CloudTrail 的事件和`CloudTrail`前缀中的前缀，而不检查其他 AWS 服务的前缀。如果要复制其他前缀中包含 CloudTrail 的事件，**请选择 Enter S3 URI**，然后选择 **Browse S3** 浏览到该前缀。如果跟踪的源 S3 存储桶使用 KMS 密钥进行数据加密，请确保 KMS 密钥策略 CloudTrail 允许解密数据。如果您的源 S3 存储桶使用多个 KMS 密钥，则必须更新每个密钥的策略 CloudTrail 以允许解密存储桶中的数据。有关更新 KMS 密钥政策的更多信息，请参阅[用于解密源 S3 存储桶中数据的 KMS 密钥政策](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-kms)。

   1. 选择复制事件的时间范围。 CloudTrail 在尝试复制跟踪事件之前，请检查前缀和日志文件名以验证该名称是否包含所选开始日期和结束日期之间的日期。您可以选择一个**相对范围**或者**绝对范围**。为避免源跟踪和目标事件数据存储之间存在重复事件，请选择一个早于事件数据存储创建时间的时间范围。
**注意**  
CloudTrail 仅复制在事件数据存储保留期`eventTime`内的跟踪事件。例如，如果事件数据存储的保留期为 90 天，则 CloudTrail 不会复制任何`eventTime`超过 90 天的跟踪事件。
      + 如果选择 “**相对范围**”，则可以选择复制过去 6 个月、1 年、2 年、7 年或自定义范围内记录的事件。 CloudTrail 复制选定时间段内记录的事件。
      + 如果选择 “**绝对范围**”，则可以选择特定的开始和结束日期。 CloudTrail 复制在所选开始日期和结束日期之间发生的事件。

   1. 对于**权限**，请从以下 IAM 角色选项中进行选择。如果您选择现有的 IAM 角色，请验证 IAM 角色策略是否提供了必要的权限。有关更新 IAM 角色权限的更多信息，请参阅[复制跟踪事件所需的 IAM 权限](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-iam)。
      + 选择**创建新角色（推荐）**以创建新的 IAM 角色。在**输入 IAM 角色名称**中，输入角色的名称。 CloudTrail 会自动为这个新角色创建必要的权限。
      + 选择**使用自定义 IAM 角色 ARN**以使用未列出的自定义 IAM 角色。对于**输入 IAM 角色 ARN**，输入 IAM ARN。
      + 从下拉列表中选择现有的 IAM 角色。

1. 选择**下一步**，以通过添加资源标签键和 IAM 全局条件键来丰富您的事件。

1. 在**丰富事件**中，最多可以添加 50 个资源标签键和 50 个 IAM 全局条件键，以提供有关事件的更多元数据。这有助于您对相关事件进行分类和分组。

   如果您添加资源标签密钥，则 CloudTrail 将包括与 API 调用中涉及的资源关联的选定标签密钥。与已删除资源相关的 API 事件将没有资源标签。

   如果您添加 IAM 全局条件密钥，则CloudTrail 将包含有关在授权过程中评估的所选条件密钥的信息，包括有关委托人、会话、网络和请求本身的其他详细信息。

   有关资源标签键和 IAM 全局条件键的信息显示在事件的 `eventContext` 字段中。有关更多信息，请参阅 [通过添加资源标签密钥和 IAM 全局条件键来丰富 CloudTrail 事件](cloudtrail-context-events.md)。
**注意**  
如果活动包含不属于事件区域的资源， CloudTrail 则不会为该资源填充标签，因为标签检索仅限于事件区域。

1. 选择**扩展事件大小**，将事件有效载荷从 256 KB 扩展到 1 MB。当您添加资源标签键或 IAM 全局条件键时，此选项会自动启用，以确保添加的所有键都包含在事件中。

   扩展事件大小有助于分析事件和对事件进行故障排除，因为只要事件有效载荷小于 1 MB，它就支持您查看以下字段的完整内容：
   + `annotation`
   + `requestID`
   + `additionalEventData`
   + `serviceEventDetails`
   + `userAgent`
   + `errorCode`
   + `responseElements`
   + `requestParameters`
   + `errorMessage`

   有关这些字段的更多信息，请参阅[CloudTrail 记录内容](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html)。

1. 选择**下一步**以查看您的选择。

1. 在**查看并创建**页面上，审核您的选择。选择**编辑**以对这节进行更改。当您准备好创建事件数据存储时，选择**创建事件数据存储**。

1. 在**事件数据存储**页面上的**事件数据存储**表中可以看到新的事件数据存储。

   从现在开始，事件数据存储将捕获与其高级事件选择器匹配的事件（如果保持选中**摄取事件**选项）。除非选择复制现有跟踪事件，否则在创建事件数据存储之前发生的事件不会出现在该事件数据存储中。

现在，您可以对新的事件数据存储运行查询。**Sample queries**（示例查询）选项卡提供了示例查询，以帮助您入门。有关创建和编辑查询的更多信息，请参阅[使用 CloudTrail 控制台创建或编辑查询](query-create-edit-query.md)。

您还可以查看[托管的控制面板](lake-dashboard-managed.md)，也可以[创建自定义控制面板](lake-dashboard-custom.md)来可视化事件趋势。有关 Lake 控制面板的更多信息，请参阅[CloudTrail 湖泊仪表板](lake-dashboard.md)。