本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
通过添加资源标签密钥和 IAM 全局条件键来丰富 CloudTrail 事件
在创建或更新事件数据存储时,您可以通过添加资源标签密钥、委托人标签密钥和 IAM 全局条件键来丰富 CloudTrail 管理事件和数据事件。这使您可以根据业务环境对 CloudTrail 事件进行分类、搜索和分析,例如成本分配和财务管理、运营和数据安全要求。您可以通过在 La CloudTrail ke 中运行查询来分析事件。您也可以选择联合您的事件数据存储并在 Amazon Athena 中运行查询。您可以使用CloudTrail 控制台、和,将资源标签密钥和 IAM 全局条件密钥添加到事件数据存储中 SDKs。Amazon CLI
注意
在资源创建或更新后添加的资源标签可能会延迟,然后这些标签才会反映在 CloudTrail 事件中。 CloudTrail 资源删除事件可能不包含标签信息。
IAM 全局条件密钥将始终显示在查询的输出中,但资源所有者可能看不见。
向丰富事件添加资源标签密钥时, CloudTrail 包括与 API 调用中涉及的资源关联的选定标签密钥。
在向事件数据存储中添加 IAM 全局条件密钥时,会 CloudTrail 包含有关在授权过程中评估的所选条件密钥的信息,包括有关委托人、会话和请求本身的其他详细信息。
注意
配置 CloudTrail 为包含条件键或主体标签并不意味着此条件键或主体标签将出现在每个事件中。例如,如果您已设置 CloudTrail 为包含特定的全局条件密钥,但在特定事件中却看不到该密钥,则表明该密钥与该操作的 IAM 策略评估无关。
添加资源标签密钥或 IAM 条件键后,在 CloudTrail 事件中 CloudTrail 包含一个eventContext字段,该字段为 API 操作提供所选上下文信息。
在某些例外情况下,事件不包括该eventContext字段,包括:
-
与已删除资源相关的 API 事件可能有资源标签,也可能没有资源标签。
-
该
eventContext字段将没有延迟事件的数据,对于在 API 调用之后更新的事件,也不会显示该字段。例如,如果 Amazon 出现延迟或中断 EventBridge,则事件的标签可能会在中断问题解决后的一段时间内保持过期。有些 Amazon 服务的延迟时间会更长。有关更多信息,请参阅 CloudTrail 为丰富活动更新了资源标签。 -
如果您修改或删除用于丰富活动的 AWSServiceRoleForCloudTrailEventContext 服务相关角色,则CloudTrail 不会在中填充任何资源标签。
eventContext
注意
该eventContext字段仅出现在配置为包括资源标签密钥、委托人标签键和 IAM 全局条件键的事件数据存储中。发送到事件历史记录、Amazon EventBridge、可使用 Amazon CLI lookup-events命令查看并传送到跟踪的事件将不包括该eventContext字段。
Amazon Web Services 服务 支持资源标签
全部 Amazon Web Services 服务 支持资源标签。有关更多信息,请参阅支持的服务 Amazon Resource Groups Tagging API。
CloudTrail 为丰富活动更新了资源标签
配置为这样做时,会 CloudTrail 捕获有关资源标签的信息,并使用它们在丰富的事件中提供信息。在使用资源标签时,在某些情况下,在系统请求事件时,资源标签可能无法准确反映出来。在标准操作期间,在资源创建时应用的标签始终存在,并且延迟最小或根本没有延迟。但是,预计以下服务会延迟 CloudTrail 事件中出现的资源标签更改:
Amazon Chime Voice Connector
Amazon CloudTrail
Amazon CodeConnections
Amazon DynamoDB
Amazon ElastiCache
Amazon Keyspaces (for Apache Cassandra)
Amazon Kinesis
Amazon Lex
Amazon MemoryDB
Amazon S3
Amazon Security Lake
Amazon Direct Connect
Amazon IAM Identity Center
Amazon Key Management Service
Amazon Lambda
Amazon Web Services Marketplace Vendor
Amazon Organizations
Amazon Payment Cryptography
Amazon Simple Queue Service
服务中断还可能导致资源标签信息的更新延迟。如果出现服务中断延迟,后续 CloudTrail 事件将包括一个addendum字段,其中包含有关资源标签更改的信息。这些附加信息将按规定用于提供丰富的信息CloudTrailevents。
Amazon Web Services 服务 支持 IAM 全局条件键
以下内容 Amazon Web Services 服务 支持丰富事件的 IAM 全局条件密钥:
-
Amazon Certificate Manager
-
Amazon CloudTrail
-
Amazon CloudWatch
-
亚马逊 CloudWatch 日志
-
Amazon CodeBuild
-
Amazon CodeCommit
-
Amazon CodeDeploy
-
Amazon Cognito Sync
-
Amazon Comprehend
-
Amazon Comprehend Medical
-
Amazon Connect Voice ID
-
Amazon Control Tower
-
Amazon Data Firehose
-
Amazon Elastic Block Store
-
Elastic Load Balancing
-
Amazon 终端用户消息收发社交服务
-
Amazon EventBridge
-
Amazon EventBridge 日程安排
-
Amazon Data Firehose
-
Amazon FSx
-
Amazon HealthImaging
-
Amazon IoT Events
-
Amazon IoT FleetWise
-
Amazon IoT SiteWise
-
Amazon IoT TwinMaker
-
Amazon IoT Wireless
-
Amazon Kendra
-
Amazon KMS
-
Amazon Lambda
-
Amazon License Manager
-
Amazon Lookout for Equipment
-
Amazon Lookout for Vision
-
Amazon Network Firewall
-
Amazon Payment Cryptography
-
Amazon Personalize
-
Amazon Proton
-
Amazon Rekognition
-
亚马逊 SageMaker AI
-
Amazon Secrets Manager
-
Amazon Simple Email Service(Amazon SES)
-
Amazon Simple Notification Service (Amazon SNS)
-
Amazon SQS
-
Amazon Step Functions
-
Amazon Storage Gateway
-
Amazon SWF
-
Amazon Supply Chain
-
Amazon Timestream
-
Amazon Timestream for InfluxDB
-
Amazon Transcribe
-
Amazon Transfer Family
-
Amazon Trusted Advisor
-
Amazon WorkSpaces
-
Amazon X-Ray
支持用于丰富活动的 IAM 全局条件密钥
下表列出了针对 CloudTrail 丰富事件支持的 IAM 全局条件键以及示例值:
| 键 | 示例值 |
|---|---|
aws:FederatedProvider |
"IdP" |
aws:TokenIssueTime |
"123456789" |
aws:MultiFactorAuthAge |
“99” |
aws:MultiFactorAuthPresent |
"true" |
aws:SourceIdentity |
"UserName" |
aws:PrincipalAccount |
“111122223333" |
aws:PrincipalArn |
“arn: aws: iam::” 555555555555:role/myRole |
aws:PrincipalIsAWSService |
"false" |
aws:PrincipalOrgID |
"o-rganization" |
aws:PrincipalOrgPaths |
["o-rganization/path-of-org"] |
aws:PrincipalServiceName |
"cloudtrail.amazonaws.com" |
aws:PrincipalServiceNamesList |
["cloudtrail.amazonaws.com","s3.amazonaws.com"] |
aws:PrincipalType |
"AssumedRole" |
aws:userid |
"userid" |
aws:username |
"username" |
aws:RequestedRegion |
us-east-2" |
aws:SecureTransport |
"true" |
aws:ViaAWSService |
"false" |
aws:CurrentTime |
"2025-04-30 15:30:00" |
aws:EpochTime |
"1746049800" |
aws:SourceAccount |
"111111111111" |
aws:SourceOrgID |
"o-rganization" |
事件示例
在以下示例中,该eventContext字段包含值为 IAM 的全局条件密钥 aws:ViaAWSServicefalse,这表示 API 调用不是由进行的 Amazon Web Services 服务。
{ "eventVersion": "1.11", "userIdentity": { "type": "AssumedRole", "principalId": "ASIAIOSFODNN7EXAMPLE", "arn": "arn:aws:sts::123456789012:assumed-role/admin", "accountId": "123456789012", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "ASIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::123456789012:role/admin", "accountId": "123456789012", "userName": "admin" }, "attributes": { "creationDate": "2025-01-22T22:05:56Z", "mfaAuthenticated": "false" } } }, "eventTime": "2025-01-22T22:06:16Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "GetTrailStatus", "awsRegion": "us-east-1", "sourceIPAddress": "192.168.0.0", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:133.0) Gecko/20100101 Firefox/133.0", "requestParameters": { "name": "arn:aws:cloudtrail:us-east-1:123456789012:trail/myTrail" }, "responseElements": null, "requestID": "d09c4dd2-5698-412b-be7a-example1a23", "eventID": "9cb5f426-7806-46e5-9729-exampled135d", "readOnly": true, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.3", "cipherSuite": "TLS_AES_128_GCM_SHA256", "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com" }, "sessionCredentialFromConsole": "true", "eventContext": { "requestContext": { "aws:ViaAWSService": "false" }, "tagContext": {} } }