AWS Identity and Access Management
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

使用 AWS CloudTrail 记录 IAM 事件

AWS Identity and Access Management (IAM) 与 AWS CloudTrail 集成在一起,后者是一项服务,该服务记录由您的 AWS 账户或代表该账户进行的 AWS 活动。CloudTrail 将记录经过验证的 AWS API 调用和 AWS 登录事件,并将此事件信息收集到文件中传输给 Amazon S3 存储桶。利用 CloudTrail 收集的信息,您可以确定对 AWS 服务成功发出的请求、发出请求的用户和时间等。

要了解有关 CloudTrail 的更多信息,包括如何对其进行配置和启用,请参阅 AWS CloudTrail User Guide

CloudTrail 中记录的 IAM 信息类型

CloudTrail 可通过以下方式获取 IAM 信息:

  • 对 IAM 和 AWS Security Token Service (AWS STS) 的 API 请求 – CloudTrail 会记录对 IAM 和 AWS STS API 进行的所有经过身份验证的 API 请求 (使用凭证发出),但 DecodeAuthorizationMessage 除外。CloudTrail 还记录对 AWS STS 操作 AssumeRoleWithSAMLAssumeRoleWithWebIdentity 的未经身份验证的请求,并记录由身份提供商提供的信息。您可以使用此信息将由一个联合身份用户通过代入角色发出的调用映射回发出请求的外部联合发起人。如果使用 AssumeRole,则您可以将调用映射回到发出请求的 AWS 服务或发出请求的用户的账户。CloudTrail 日志条目中的 JSON 数据的 userIdentity 部分包含您要通过某个特定联合身份用户映射 AssumeRole* 请求所需的信息。有关更多信息,请参阅 AWS CloudTrail User Guide 中的 CloudTrail userIdentity 元素

    例如,IAM CreateUserDeleteRoleListGroups 调用和其他 API 操作全部都由 CloudTrail 记录。

    本主题后面将会介绍有关此类日志条目的示例。

    重要

    如果在默认全局终端节点之外的区域中激活 AWS STS 终端节点,则还必须在这些区域中启用 CloudTrail 日志记录,以记录在这些区域中进行的任何 AWS STS API 调用。有关更多信息,请参阅 AWS CloudTrail User Guide 中的在其他区域中启用 CloudTrail

  • 对其他 AWS 服务的 API 请求 – 对其他 AWS 服务 API 的经验证的请求由 CloudTrail 记录,这些日志条目包含有关生成请求的人员的信息。

    例如,如果请求列出 Amazon EC2 实例或创建 AWS CodeDeploy 部署组,则发出该请求的人员或服务的用户身份会包含在相应请求的日志条目中。用户身份信息有助于确定请求是由 AWS 账户根用户 凭证还是由 IAM 用户凭证发出;通过某个角色或联合用户的临时安全凭证发出;还是由其他 AWS 服务发出。

    有关 CloudTrail 日志条目中用户身份信息的详细信息,请参阅 AWS CloudTrail User Guide 中的 userIdentity 元素

  • AWS 登录事件 – 到 AWS 管理控制台、AWS 开发论坛和 AWS Marketplace 的登录事件由 CloudTrail 记录。

    例如 IAM 和联合身份用户登录事件 (成功登录次数和失败登录尝试次数) 由 CloudTrail 记录。此外,根用户 进行的成功登录事件由 CloudTrail 记录。请注意,CloudTrail 不会记录 根用户 进行的不成功登录事件。

    如果您允许 CloudTrail 将登录事件记录到您的日志中,您需要了解 CloudTrail 如何选择在何处记录事件。

    • 如果您的用户直接登录到控制台,则系统会根据所选服务控制台是否支持区域,将他们重定向到全局或区域登录终端节点。例如,主控制台主页支持区域,因此,如果您登录以下 URL:

      https://alias.signin.aws.amazon.com/console

      您会被重定向到区域登录终端节点,例如 https://us-west-2.signin.aws.amazon.com,导致用户的区域日志中记录一个区域 CloudTrail 日志条目:

      另一方面,Amazon S3 控制台不支持区域,因此,如果您登录到以下 URL

      https://alias.signin.aws.amazon.com/console/s3

      AWS 会将您重定向到全局登录终端节点 https://signin.aws.amazon.com,引发一个全局 CloudTrail 日志条目。

    • 您可以通过使用类似如下的 URL 语法登录到启用区域的主控制台主页,来手动请求特定区域网站终端节点:

      https://alias.signin.aws.amazon.com/console?region=ap-southeast-1

      AWS 将您重定向到 ap-southeast-1 区域登录终端节点并引发区域 CloudTrail 日志事件。

    重要

    作为最佳安全做法,当用户名称不正确 导致登录故障时,AWS 不记录输入的用户名称文本。用户名称文本将用 HIDDEN_DUE_TO_SECURITY_REASONS 值代替。有关示例,请参阅本主题后面的用户名称不正确导致的登录失败事件。隐藏用户名称是因为这些故障可能是由以下用户错误导致的,如果记录可能会泄露敏感信息:

    • 您不小心在用户名称字段中键入了密码。

    • 您单击一个 AWS 账户的登录页面链接,但键入了另一账户的账户号。

    • 您忘记了所登录的是哪个账户,不小心键入了个人电子邮件账户的账户名、银行登录标识符或某些其他私有 ID。

    登录事件应该被认为是区域事件还是全球事件,这取决于用户登录的控制台,以及用户如何构建登录 URL。

    • 服务控制台是否区域化?如果是,登录请求将被自动重定向至区域登录终端节点,而且事件会被记录到该区域的 CloudTrail 日志中。例如,如果您登录到区域化控制台主页 https://alias.signin.aws.amazon.com/console,系统会自动将您重定向到您的区域的登录终端节点 (例如,https://us-west-2.signin.aws.amazon.com),并且事件会被记录到该区域的日志中。

      然而,一些服务还未区域化。例如,Amazon S3 服务目前 区域化,因此,如果您登录到 https://alias.signin.aws.amazon.com/console/s3,您会被重定向到全局登录终端节点 https://signin.aws.amazon.com,并且在全局日志中引发一个事件。

    • 您还可以通过使用类似 https://alias.signin.aws.amazon.com/console?region=ap-southeast-1 (它会重定向到 ap-southeast-1 区域登录终端节点并且在区域日志中引发一个事件) 的 URL 语法,手动请求特定区域登录终端节点。

  • 临时凭证请求的记录方式 - 当委托人请求临时凭证时,委托人类型将决定 CloudTrail 记录事件的方式。下表说明 CloudTrail 如何为每个生成临时凭证的 API 调用记录不同的信息。

    委托人类型 IAM/STS API 调用账户的 CloudTrail 日志中的用户身份 角色所有者账户的 CloudTrail 日志中的用户身份 后续 API 调用角色所有者的 CloudTrail 日志中的用户身份
    AWS 账户根用户 凭证 GetSessionToken 根身份 角色所有者账户与调用账户相同 根身份
    IAM 用户 GetSessionToken IAM 用户身份 角色所有者账户与调用账户相同 IAM 用户身份
    IAM 用户 GetFederationToken IAM 用户身份 角色所有者账户与调用账户相同 IAM 用户身份
    IAM 用户 AssumeRole IAM 用户身份 账号和委托人 ID (如果是用户) 或 AWS 服务委托人 仅角色身份 (无用户)
    外部验证的用户 AssumeRoleWithSAML SAML 用户身份 仅角色身份 (无用户)
    外部验证的用户 AssumeRoleWithWebIdentity OIDC/Web 用户身份 仅角色身份 (无用户)

CloudTrail 文件中记录的事件的示例

CloudTrail 日志文件包含的事件采用 JSON 格式。一个事件表示一个 API 请求或登录事件,并且说明了所请求的操作、所有参数以及该操作的日期和时间。

CloudTrail 日志文件中的 IAM API 事件

下例展示了为进行 IAM GetUserPolicy 操作而发出的请求的 CloudTrail 日志条目。

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws-cn:iam::444455556666:user/Alice", "accountId": "444455556666", "accessKeyId": "AKIAI44QH8DHBEXAMPLE", "userName": "Alice", "sessionContext": { "attributes": { "creationDate": "2014-07-15T21:39:40Z" } }, "invokedBy": "signin.amazonaws.com" }, "eventTime": "2014-07-15T21:40:14Z", "eventSource": "iam.amazonaws.com", "eventName": "GetUserPolicy", "awsRegion": "us-west-2", "sourceIPAddress": "signin.amazonaws.com", "userAgent": "signin.amazonaws.com", "requestParameters": { "userName": "Alice", "policyName": "ReadOnlyAccess-Alice-201407151307" }, "responseElements": null, "requestID": "9EXAMPLE-0c68-11e4-a24e-d5e16EXAMPLE", "eventID": "cEXAMPLE-127e-4632-980d-505a4EXAMPLE" }

通过此事件信息,您可以确定发出该请求的目的是为了获取用户 Alice 的名为 ReadOnlyAccess-Alice-201407151307 的用户策略,如 requestParameters 元素中所述。您还可以看到,该请求是由名为 Alice 的 IAM 用户在 2014 年 7 月 15 日下午 9:40 (UTC) 发出的。在此情况下,该请求源自 AWS 管理控制台,您可以从 userAgent 部分中判断出来。

CloudTrail 日志文件中的 AWS STS API 事件

账户 777788889999 中名为“Bob”的 IAM 用户调用 AWS STS AssumeRole 操作来在账户 111122223333 中代入角色 EC2-dev。以下两个示例显示两个受影响的账户的 CloudTrail 日志条目。第一个示例显示在账户 777788889999 中发出的请求的 CloudTrail 日志条目,该账户拥有调用 AssumeRole 的用户。

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDAQRSTUVWXYZEXAMPLE", "arn": "arn:aws-cn:iam::777788889999:user/Bob", "accountId": "777788889999", "accessKeyId": "AKIAQRSTUVWXYZEXAMPLE", "userName": "Bob" }, "eventTime": "2014-07-18T15:07:39Z", "eventSource": "sts.amazonaws.com", "eventName": "AssumeRole", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.101", "userAgent": "aws-cli/1.11.10 Python/2.7.8 Linux/3.2.45-0.6.wd.865.49.315.metal1.x86_64 botocore/1.4.67", "requestParameters": { "roleArn": "arn:aws-cn:iam::111122223333:role/EC2-dev", "roleSessionName": "Bob-EC2-dev" }, "responseElements": { "credentials": { "sessionToken": "<encoded session token blob>", "accessKeyId": "AKIAQRSTUVWXYZEXAMPLE", "expiration": "Jul 18, 2014 4:07:39 PM" }, "assumedRoleUser": { "assumedRoleId": "AIDAQRSTUVWXYZEXAMPLE:Bob-EC2-dev", "arn": "arn:aws-cn:sts::111122223333:assumed-role/EC2-dev/Bob-EC2-dev" } }, "resources": [ { "ARN": "arn:aws:iam::111122223333:role/EC2-dev", "accountId": "111122223333", "type": "AWS::IAM::Role" } ], "requestID": "4EXAMPLE-0e8d-11e4-96e4-e55c0EXAMPLE", "sharedEventID": "bEXAMPLE-efea-4a70-b951-19a88EXAMPLE", "eventID": "dEXAMPLE-ac7f-466c-a608-4ac8dEXAMPLE" "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }

第二个示例显示同一请求的角色所有者账户 (111122223333) 的 CloudTrail 日志条目。

{ "eventVersion": "1.05", "userIdentity": { "type": "AWSAccount", "principalId": "AIDAQRSTUVWXYZEXAMPLE", "accountId": "777788889999" }, "eventTime": "2014-07-18T15:07:39Z", "eventSource": "sts.amazonaws.com", "eventName": "AssumeRole", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.101", "userAgent": "aws-cli/1.11.10 Python/2.7.8 Linux/3.2.45-0.6.wd.865.49.315.metal1.x86_64 botocore/1.4.67", "requestParameters": { "roleArn": "arn:aws:iam:: 111122223333:role/EC2-dev", "roleSessionName": "Bob-EC2-dev", }, "responseElements": { "credentials": { "sessionToken": "<encoded session token blob>", "accessKeyId": "AKIAQRSTUVWXYZEXAMPLE", "expiration": "Jul 18, 2014 4:07:39 PM" }, "assumedRoleUser": { "assumedRoleId": "AIDAQRSTUVWXYZEXAMPLE:Bob-EC2-dev", "arn": "arn:aws:sts::111122223333:assumed-role/EC2-dev/Bob-EC2-dev" } }, "requestID": "4EXAMPLE-0e8d-11e4-96e4-e55c0EXAMPLE", "sharedEventID": "bEXAMPLE-efea-4a70-b951-19a88EXAMPLE", "eventID": "dEXAMPLE-ac7f-466c-a608-4ac8dEXAMPLE" }

以下示例显示由 AWS 服务使用 IAM 角色中的权限调用 API 发出的请求的 CloudTrail 日志条目。

{ "eventVersion": "1.04", "userIdentity": { "type": "AssumedRole", "principalId": "AIDAQRSTUVWXYZEXAMPLE:devdsk", "arn": "arn:aws:sts::777788889999:assumed-role/AssumeNothing/devdsk", "accountId": "777788889999", "accessKeyId": "AKIAQRSTUVWXYZEXAMPLE", "sessionContext": { "attributes": { "creationDate": "2016-11-14T17:25:26Z" }, "sessionIssuer": { "type": "Role", "principalId": "AIDAQRSTUVWXYZEXAMPLE", "arn": "arn:aws:iam::777788889999:role/AssumeNothing", "accountId": "777788889999", "userName": "AssumeNothing" } } }, "eventTime": "2016-11-14T17:25:45Z", "eventSource": "s3.amazonaws.com", "eventName": "DeleteBucket", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.1", "userAgent": "[aws-cli/1.11.10 Python/2.7.8 Linux/3.2.45-0.6.wd.865.49.315.metal1.x86_64 botocore/1.4.67]", "requestParameters": { "bucketName": "my-test-bucket-cross-account" }, "responseElements": null, "requestID": "EXAMPLE463D56D4C", "eventID": "dEXAMPLE-265a-41e0-9352-4401bEXAMPLE", "eventType": "AwsApiCall", "recipientAccountId": "777788889999" }

以下示例说明了为进行 AWS STS AssumeRoleWithSAML 操作而发出的请求的 CloudTrail 日志条目。

{ "eventVersion": "1.05", "userIdentity": { "type": "SAMLUser", "principalId": "<id of identity provider>:<canonical id of user>", "userName": "<canonical id of user>", "identityProvider": "<id of identity provider>" }, "eventTime": "2016-03-23T01:39:57Z", "eventSource": "sts.amazonaws.com", "eventName": "AssumeRoleWithSAML", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.101", "userAgent": "aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5", "requestParameters": { "sAMLAssertionID": "_c0046cEXAMPLEb9d4b8eEXAMPLE2619aEXAMPLE", "roleSessionName": "MyAssignedRoleSessionName", "durationSeconds": 3600, "roleArn": "arn:aws-cn:iam::444455556666:role/SAMLTestRoleShibboleth", "principalArn": "arn:aws-cn:iam::444455556666:saml-provider/Shibboleth" }, "responseElements": { "subjectType": "transient", "issuer": "https://server.example.com/idp/shibboleth", "credentials": { "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "expiration": "Mar 23, 2016 2:39:57 AM", "sessionToken": "<encoded session token blob>" }, "nameQualifier": "<id of identity provider>", "assumedRoleUser": { "assumedRoleId": "AROAD35QRSTUVWEXAMPLE:MyAssignedRoleSessionName", "arn": "arn:aws-cn:sts::444455556666:assumed-role/SAMLTestRoleShibboleth/MyAssignedRoleSessionName" }, "subject": "<canonical id of user>", "audience": "https://signin.aws.amazon.com/saml" }, "resources": [ { "ARN": "arn:aws:iam::444455556666:role/SAMLTestRoleShibboleth", "accountId": "444455556666", "type": "AWS::IAM::Role" }, { "ARN": "arn:aws:iam::444455556666:saml-provider/test-saml-provider", "accountId": "444455556666", "type": "AWS::IAM::SAMLProvider" } ], "requestID": "6EXAMPLE-e595-11e5-b2c7-c974fEXAMPLE", "eventID": "dEXAMPLE-265a-41e0-9352-4401bEXAMPLE", "eventType": "AwsApiCall", "recipientAccountId": "444455556666" }

以下示例说明了为进行 AWS STS AssumeRoleWithWebIdentity 操作而发出的请求的 CloudTrail 日志条目。

{ "eventVersion": "1.05", "userIdentity": { "type": "WebIdentityUser", "principalId": "accounts.google.com:<id-of-application>.apps.googleusercontent.com:<id-of-user>", "userName": "<id of user>", "identityProvider": "accounts.google.com" }, "eventTime": "2016-03-23T01:39:51Z", "eventSource": "sts.amazonaws.com", "eventName": "AssumeRoleWithWebIdentity", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.101", "userAgent": "aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5", "requestParameters": { "durationSeconds": 3600, "roleArn": "arn:aws-cn:iam::444455556666:role/FederatedWebIdentityRole", "roleSessionName": "MyAssignedRoleSessionName" }, "responseElements": { "provider": "accounts.google.com", "subjectFromWebIdentityToken": "<id of user>", "audience": "<id of application>.apps.googleusercontent.com", "credentials": { "accessKeyId": "ASIACQRSTUVWRAOEXAMPLE", "expiration": "Mar 23, 2016 2:39:51 AM", "sessionToken": "<encoded session token blob>" }, "assumedRoleUser": { "assumedRoleId": "AROACQRSTUVWRAOEXAMPLE:MyAssignedRoleSessionName", "arn": "arn:aws-cn:sts::444455556666:assumed-role/FederatedWebIdentityRole/MyAssignedRoleSessionName" } }, "resources": [ { "ARN": "arn:aws:iam::444455556666:role/FederatedWebIdentityRole", "accountId": "444455556666", "type": "AWS::IAM::Role" } ], "requestID": "6EXAMPLE-e595-11e5-b2c7-c974fEXAMPLE", "eventID": "bEXAMPLE-0b30-4246-b28c-e3da3EXAMPLE", "eventType": "AwsApiCall", "recipientAccountId": "444455556666" }

CloudTrail 日志文件中的登录失败事件

以下示例显示了一个失败的登录事件的 CloudTrail 日志条目。

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn":"arn:aws-cn:iam::111122223333:user/Alice", "accountId": "111122223333", "userName": "Alice" }, "eventTime": "2014-07-08T17:35:27Z", "eventSource": "signin.amazonaws.com", "eventName": "ConsoleLogin", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.100", "userAgent": "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0", "errorMessage": "Failed authentication", "requestParameters": null, "responseElements": { "ConsoleLogin": "Failure" }, "additionalEventData": { "MobileVersion": "No", "LoginTo": "https://console.aws.amazon.com/sns" }, "eventID": "11ea990b-4678-4bcd-8fbe-62509088b7cf" }

以此,您可以确定此次登录尝试源自名为 Alice 的 IAM 用户,如 userIdentity 元素中所示。您还可以发现此次登录尝试失败,如 responseElements 元素中所示。可以看出 Alice 是在 2014 年 7 月 8 日下午 5:35 (UTC) 尝试登录 Amazon SNS 控制台的。

用户名称不正确导致的登录失败事件

以下示例显示了一个由于用户输入错误用户名称导致的失败的登录事件的 CloudTrail 日志条目。AWS 用 HIDDEN_DUE_TO_SECURITY_REASONS 代替了 userName 文本以帮助防止泄露可能的敏感信息。

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "accountId": "123456789012", "accessKeyId": "", "userName": "HIDDEN_DUE_TO_SECURITY_REASONS" }, "eventTime": "2015-03-31T22:20:42Z", "eventSource": "signin.amazonaws.com", "eventName": "ConsoleLogin", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.101", "userAgent": "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0", "errorMessage": "No username found in supplied account", "requestParameters": null, "responseElements": { "ConsoleLogin": "Failure" }, "additionalEventData": { "LoginTo": "https://console.aws.amazon.com/console/home?state=hashArgs%23&isauthcode=true", "MobileVersion": "No" }, "eventID": "a7654656-0417-45c6-9386-ea8231385051", "eventType": "AwsConsoleSignin", "recipientAccountId": "123456789012" }

CloudTrail 日志文件中的登录成功事件

以下示例显示了一个成功的登录事件的 CloudTrail 日志条目。

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn":"arn:aws-cn:iam::111122223333:user/Bob", "accountId": "111122223333", "userName": "Bob" }, "eventTime": "2014-07-16T15:49:27Z", "eventSource": "signin.amazonaws.com", "eventName": "ConsoleLogin", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.110", "userAgent": "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0", "requestParameters": null, "responseElements": { "ConsoleLogin": "Success" }, "additionalEventData": { "MobileVersion": "No", "LoginTo": "https://console.aws.amazon.com/s3" }, "eventID": "3fcfb182-98f8-4744-bd45-10a395ab61cb" }

若要详细了解 CloudTrail 日志文件中包含的信息,请参阅 AWS CloudTrail User Guide 中的 CloudTrail 事件参考

防止 CloudTrail 中出现重复日志条目

CloudTrail 在每个区域单独创建跟踪。这些跟踪包括这些区域所发生的事件的信息,以及全局 (即,非特定于区域的) 事件,如 IAM API 调用、非特定于区域的 AWS STS 调用 (对 sts.amazonaws.com 进行的调用) 和 AWS 登录事件。例如,在默认情况下,如果您有两个各自位于不同区域的跟踪,则在您随后创建新 IAM 用户的时候,这两个区域中的日志文件中都会添加 CreateUser 事件,因而会创建重复的日志条目。

注意

默认情况下,AWS Security Token Service (STS) 是一种全局服务,在以下域名上具有单个终端节点: https://sts.amazonaws.com. 对此终端节点的调用会记录为对全局服务的调用。然而,因为此终端节点在物理上位于 美国东部(弗吉尼亚北部) 区域,所以您的日志将“us-east-1”列为事件区域。CloudTrail 不会将这些日志写入 区域,除非您选择在该区域包含全局服务日志。CloudTrail 会将对所有区域终端节点的调用写入其相应的区域。例如,对 sts.us-west-2.amazonaws.com 的调用会发布到 区域,对 sts.eu-central-1.amazonaws.com 的调用会发布到 欧洲(法兰克福) 区域,依此类推。

有关多个区域和 AWS STS 的更多信息,请参阅在 AWS 区域中激活和停用 AWS STS

下表列出各个区域以及 CloudTrail 在每个区域中记录 AWS STS 请求的方式。“位置”列指示 CloudTrail 写入的日志。“全局”表示在您选择包含全局服务日志的任何区域中记录事件。“区域”表示仅在终端节点所处的区域中记录事件。最后一列指示如何在日志条目中标识请求的区域。

区域名称 CloudTrail 日志中的区域标识 终端节点 CloudTrail 日志的位置
无 - 全球 us-east-1 sts.amazonaws.com 全球
us-west-2 sts.us-east-2.amazonaws.com 区域
美国东部(弗吉尼亚北部) us-east-1 sts.us-east-1.amazonaws.com 区域
美国西部(加利福尼亚北部) us-west-1 sts.us-west-1.amazonaws.com 区域
美国西部(俄勒冈) us-west-2 sts.us-west-2.amazonaws.com 区域
加拿大 (中部) ca-central-1 sts.ca-central-1.amazonaws.com 区域
欧洲(法兰克福) eu-central-1 sts.eu-central-1.amazonaws.com 区域
欧洲(爱尔兰) eu-west-1 sts.eu-west-1.amazonaws.com 区域
欧洲 (伦敦) eu-west-2 sts.eu-west-2.amazonaws.com 区域
亚太区域(东京) ap-northeast-1 sts.ap-northeast-1.amazonaws.com 区域
亚太区域(首尔) ap-northeast-2 sts.ap-northeast-2.amazonaws.com 区域
亚太地区(孟买) ap-south-1 sts.ap-south-1.amazonaws.com 区域
亚太区域(新加坡) ap-southeast-1 sts.ap-southeast-1.amazonaws.com 区域
亚太区域(悉尼) ap-southeast-2 sts.ap-southeast-2.amazonaws.com 区域
南美洲(圣保罗) sa-east-1 sts.sa-east-1.amazonaws.com 区域

当您将 CloudTrail 配置为把来自您账户中多个区域的跟踪信息聚合到一个 Amazon S3 存储桶时,IAM 事件会在日志中重复 (每个区域的跟踪都会将同一 IAM 事件写入聚合的日志中)。为了防止出现这种重复,您可以选择性地包括全球事件。一种典型做法是在一个跟踪中启用全局事件,而在写入同一 Amazon S3 存储桶的所有其他跟踪中禁用全局事件。这样便仅写入一组全局事件。

有关更多信息,请参阅 AWS CloudTrail User Guide 中的聚合日志