本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 通过添加资源标签密钥和 IAM 全局条件键来丰富 CloudTrail 事件
<a name="cloudtrail-context-events"></a>

在创建或更新事件数据存储时，您可以通过添加资源标签密钥、委托人标签密钥和 IAM 全局条件键来丰富 CloudTrail 管理事件和数据事件。这使您可以根据业务环境对 CloudTrail 事件进行分类、搜索和分析，例如成本分配和财务管理、运营和数据安全要求。您可以通过在 La CloudTrail ke 中运行查询来分析事件。您也可以选择[联合](query-federation.md)事件数据存储并在 Amazon Athena 中运行查询。您可以使用[CloudTrail 控制台](query-event-data-store-cloudtrail.md)、和，将资源标签密钥和 IAM 全局条件密钥添加到事件数据存储中 SDKs。[Amazon CLI](lake-cli-manage-eds.md#lake-cli-put-event-configuration)

**注意**  
在资源创建或更新后添加的资源标签可能会延迟，然后这些标签才会反映在 CloudTrail 事件中。 CloudTrail 资源删除事件可能不包含标签信息。  
IAM 全局条件键将始终显示在查询的输出中，但资源所有者可能看不到它们。

向丰富事件添加资源标签密钥时， CloudTrail 包括与 API 调用中涉及的资源关联的选定标签密钥。

在向事件数据存储中添加 IAM 全局条件密钥时，会 CloudTrail 包含有关在授权过程中评估的所选条件密钥的信息，包括有关委托人、会话和请求本身的其他详细信息。

**注意**  
配置 CloudTrail 为包含条件键或主体标签并不意味着此条件键或主体标签将出现在每个事件中。例如，如果您已设置 CloudTrail 为包含特定的全局条件密钥，但在特定事件中却看不到该密钥，则表明该密钥与该操作的 IAM 策略评估无关。

添加资源标签密钥或 IAM 条件键后，在 CloudTrail 事件中 CloudTrail 包含一个`eventContext`字段，该字段为 API 操作提供所选上下文信息。

在某些例外情况下，事件不包括 `eventContext` 字段，包括：
+ 与已删除资源相关的 API 事件可能有资源标签，也可能没有资源标签。
+ `eventContext` 字段没有延迟事件的数据，并且对于在 API 调用后更新的事件，该字段将不存在。例如，如果 Amazon 出现延迟或中断 EventBridge，则事件的标签可能会在中断问题解决后的一段时间内保持过期。有些 Amazon 服务的延迟时间会更长。有关更多信息，请参阅 [资源标签已更新， CloudTrail 用于丰富活动](#resrouce-tags-updates)。
+ 如果您修改或删除用于丰富活动的 AWSServiceRoleForCloudTrailEventContext 服务相关角色，则CloudTrail 不会在中填充任何资源标签。`eventContext`

**注意**  
`eventContext` 字段仅存在于配置为包含资源标签键、主体标签键和 IAM 全局条件键的事件数据存储的事件中。发送到**事件历史记录**、Amazon EventBridge、可使用 Amazon CLI `lookup-events`命令查看并传送到跟踪的事件将不包括该`eventContext`字段。

**Topics**
+ [Amazon Web Services 服务 支持资源标签](#resource-tags-supported-services)
+ [Amazon Web Services 服务 支持 IAM 全局条件键](#condition-keys-supported-services)
+ [事件示例](#context-event-examples)

## Amazon Web Services 服务 支持资源标签
<a name="resource-tags-supported-services"></a>

全部 Amazon Web Services 服务 支持资源标签。有关更多信息，请参阅 [Services that support the Amazon Resource Groups Tagging API](https://docs.amazonaws.cn/resourcegroupstagging/latest/APIReference/supported-services.html)。

### 资源标签已更新， CloudTrail 用于丰富活动
<a name="resrouce-tags-updates"></a>

配置为这样做时，会 CloudTrail 捕获有关资源标签的信息，并使用它们在丰富的事件中提供信息。在使用资源标签时，在某些情况下，系统请求事件时可能无法准确反映资源标签。在标准操作期间，创建资源时应用的标签始终存在，并且不会出现延迟或延迟极少。但是，预计以下服务会延迟 CloudTrail 事件中出现的资源标签更改：
+ Amazon Chime Voice Connector
+ Amazon CloudTrail
+ Amazon CodeConnections
+ Amazon DynamoDB
+ Amazon ElastiCache
+ Amazon Keyspaces（Apache Cassandra 兼容）
+ Amazon Kinesis
+ Amazon Lex
+ Amazon MemoryDB
+ Amazon S3
+ Amazon Security Lake
+ Amazon Direct Connect
+ Amazon IAM Identity Center
+ Amazon Key Management Service
+ Amazon Lambda
+ Amazon Web Services Marketplace 供应商见解
+ Amazon Organizations
+ Amazon Payment Cryptography
+ Amazon Simple Queue Service

服务中断也可能导致资源标签信息更新出现延迟。如果出现服务中断延迟，后续 CloudTrail 事件将包括一个`addendum`字段，其中包含有关资源标签变更的信息。这些附加信息将按规定用于提供丰富的信息CloudTrailevents。

## Amazon Web Services 服务 支持 IAM 全局条件键
<a name="condition-keys-supported-services"></a>

以下内容 Amazon Web Services 服务 支持丰富事件的 IAM 全局条件密钥：
+ Amazon Certificate Manager
+ Amazon CloudTrail
+ Amazon CloudWatch
+ Amazon CloudWatch 日志
+ Amazon CodeBuild
+ Amazon CodeCommit
+ Amazon CodeDeploy
+ Amazon Cognito Sync
+ Amazon Comprehend
+ Amazon Comprehend Medical
+ Amazon Connect Voice ID
+ Amazon Control Tower
+ Amazon Data Firehose
+ Amazon Elastic Block Store
+ Elastic Load Balancing
+ Amazon 终端用户消息收发社交服务
+ Amazon EventBridge
+ Amazon EventBridge 日程安排
+ Amazon Data Firehose
+ Amazon FSx
+ Amazon HealthImaging
+ Amazon IoT Events
+ Amazon IoT FleetWise
+ Amazon IoT SiteWise
+ Amazon IoT TwinMaker
+ Amazon IoT Wireless
+ Amazon Kendra
+ Amazon KMS
+ Amazon Lambda
+ Amazon License Manager
+ Amazon Lookout for Equipment
+ Amazon Lookout for Vision
+ Amazon Network Firewall
+ Amazon Payment Cryptography
+ Amazon Personalize
+ Amazon Proton
+ Amazon Rekognition
+ 亚马逊 SageMaker AI
+ Amazon Secrets Manager
+ Amazon Simple Email Service (Amazon SES)
+ Amazon Simple Notification Service (Amazon SNS)
+ Amazon SQS
+ Amazon Step Functions
+ Amazon Storage Gateway
+ Amazon SWF
+ Amazon Supply Chain
+ Amazon Timestream
+ 适用于 InfluxDB 的 Amazon Timestream
+ Amazon Transcribe
+ Amazon Transfer Family
+ Amazon Trusted Advisor
+ Amazon WorkSpaces
+ Amazon X-Ray

### 丰富事件支持的 IAM 全局条件键
<a name="context-event-supported-global-condition-keys"></a>

下表列出了针对 CloudTrail 丰富事件支持的 IAM 全局条件密钥以及示例值：


**全局条件键和示例值**  

| Key | 示例值 | 
| --- | --- | 
| aws:FederatedProvider | "IdP" | 
| aws:TokenIssueTime | "123456789" | 
| aws:MultiFactorAuthAge | "99" | 
| aws:MultiFactorAuthPresent | "true" | 
| aws:SourceIdentity | "UserName" | 
| aws:PrincipalAccount | "111122223333" | 
| aws:PrincipalArn | “arn: aws: iam::” 555555555555:role/myRole | 
| aws:PrincipalIsAWSService | "false" | 
| aws:PrincipalOrgID | "o-rganization" | 
| aws:PrincipalOrgPaths | ["o-rganization/path-of-org"] | 
| aws:PrincipalServiceName | "cloudtrail.amazonaws.com" | 
| aws:PrincipalServiceNamesList | ["cloudtrail.amazonaws.com","s3.amazonaws.com"] | 
| aws:PrincipalType | "AssumedRole" | 
| aws:userid | "userid" | 
| aws:username | "username" | 
| aws:RequestedRegion | us-east-2" | 
| aws:SecureTransport | "true" | 
| aws:ViaAWSService | "false" | 
| aws:CurrentTime | "2025-04-30 15:30:00" | 
| aws:EpochTime | "1746049800" | 
| aws:SourceAccount | "111111111111" | 
| aws:SourceOrgID | "o-rganization" | 

## 事件示例
<a name="context-event-examples"></a>

在以下示例中，`eventContext` 字段包含值为 `false` 的 IAM 全局条件键 `aws:ViaAWSService`，这表示 API 调用不是由 Amazon Web Services 服务进行的。

```
{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ASIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:sts::123456789012:assumed-role/admin",
        "accountId": "123456789012",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "ASIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::123456789012:role/admin",
                "accountId": "123456789012",
                "userName": "admin"
            },
            "attributes": {
                "creationDate": "2025-01-22T22:05:56Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2025-01-22T22:06:16Z",
    "eventSource": "cloudtrail.amazonaws.com",
    "eventName": "GetTrailStatus",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.168.0.0",
    "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:133.0) Gecko/20100101 Firefox/133.0",
    "requestParameters": {
        "name": "arn:aws:cloudtrail:us-east-1:123456789012:trail/myTrail"
    },
    "responseElements": null,
    "requestID": "d09c4dd2-5698-412b-be7a-example1a23",
    "eventID": "9cb5f426-7806-46e5-9729-exampled135d",
    "readOnly": true,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.3",
        "cipherSuite": "TLS_AES_128_GCM_SHA256",
        "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true",
    "eventContext": {
        "requestContext": {
            "aws:ViaAWSService": "false"
        },
        "tagContext": {}
    }
}
```