本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
CloudTrail 签名文件结构
签名文件包含保存查询结果时传送到 Amazon S3 存储桶的每个查询结果文件的名称、每个查询结果文件的哈希值以及文件的数字签名。数字签名和哈希值用于验证查询结果文件和签名文件本身的完整性。
签名文件位置
签名文件将传送到遵循以下语法的 Amazon S3 存储桶位置。
s3://
s3-bucket-name
/optional-prefix/
AWSLogs/aws-account-ID
/CloudTrail-Lake/Query/year
/month
/date
/query-ID
/result_sign.json
示例签名文件内容
以下示例签名文件包含 CloudTrail Lake 查询结果的信息。
{ "version": "1.0", "region": "us-east-1", "files": [ { "fileHashValue" : "de85a48b8a363033c891abd723181243620a3af3b6505f0a44db77e147e9c188", "fileName" : "result_1.csv.gz" } ], "hashAlgorithm" : "SHA-256", "signatureAlgorithm" : "SHA256withRSA", "queryCompleteTime": "2022-05-10T22:06:30Z", "hashSignature" : "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", "publicKeyFingerprint" : "67b9fa73676d86966b449dd677850753" }
签名文件字段描述
以下是对签名文件中每个字段的描述:
version
-
签名文件的版本。
region
-
用于保存查询结果的 Amazon 账户所在区域。
files.fileHashValue
-
已压缩的查询结果文件内容的十六进制编码哈希值。
files.fileName
-
查询结果文件的名称。
hashAlgorithm
-
用于对查询结果文件进行哈希处理的哈希算法。
signatureAlgorithm
-
用于对文件进行签名的算法。
queryCompleteTime
-
指示 CloudTrail 何时将查询结果传送到 S3 存储桶。您可以使用此值来查找公钥。
hashSignature
-
文件的哈希签名。
publicKeyFingerprint
-
用于对文件进行签名的公钥的十六进制编码指纹。