CloudTrail 签名文件结构 - Amazon CloudTrail
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

CloudTrail 签名文件结构

签名文件包含保存查询结果时传送到 Amazon S3 存储桶的每个查询结果文件的名称、每个查询结果文件的哈希值以及文件的数字签名。数字签名和哈希值用于验证查询结果文件和签名文件本身的完整性。

签名文件位置

签名文件将传送到遵循以下语法的 Amazon S3 存储桶位置。

s3://s3-bucket-name/optional-prefix/AWSLogs/aws-account-ID/CloudTrail-Lake/Query/year/month/date/query-ID/result_sign.json

示例签名文件内容

以下示例签名文件包含 CloudTrail Lake 查询结果的信息。

{ "version": "1.0", "region": "us-east-1", "files": [ { "fileHashValue" : "de85a48b8a363033c891abd723181243620a3af3b6505f0a44db77e147e9c188", "fileName" : "result_1.csv.gz" } ], "hashAlgorithm" : "SHA-256", "signatureAlgorithm" : "SHA256withRSA", "queryCompleteTime": "2022-05-10T22:06:30Z", "hashSignature" : "7664652aaf1d5a17a12ba50abe6aca77c0ec76264bdf7dce71ac6d1c7781117c2a412e5820bccf473b1361306dff648feae20083ad3a27c6118172a81635829bdc7f7b795ebfabeb5259423b2fb2daa7d1d02f55791efa403dac553171e7ce5f9307d13e92eeec505da41685b4102c71ec5f1089168dacde702c8d39fed2f25e9216be5c49769b9db51037cb70a84b5712e1dffb005a74580c7fdcbb89a16b9b7674e327de4f5414701a772773a4c98eb008cca34228e294169901c735221e34cc643ead34628aabf1ba2c32e0cdf28ef403e8fe3772499ac61e21b70802dfddded9bea0ddfc3a021bf2a0b209f312ccee5a43f2b06aa35cac34638f7611e5d7", "publicKeyFingerprint" : "67b9fa73676d86966b449dd677850753" }

签名文件字段描述

以下是对签名文件中每个字段的描述:

version

签名文件的版本。

region

用于保存查询结果的 Amazon 账户所在区域。

files.fileHashValue

已压缩的查询结果文件内容的十六进制编码哈希值。

files.fileName

查询结果文件的名称。

hashAlgorithm

用于对查询结果文件进行哈希处理的哈希算法。

signatureAlgorithm

用于对文件进行签名的算法。

queryCompleteTime

指示 CloudTrail 何时将查询结果传送到 S3 存储桶。您可以使用此值来查找公钥。

hashSignature

文件的哈希签名。

publicKeyFingerprint

用于对文件进行签名的公钥的十六进制编码指纹。