Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Arricchisci CloudTrail gli eventi aggiungendo chiavi di tag di risorsa e chiavi di condizione globali IAM
Puoi arricchire gli eventi di CloudTrail gestione e gli eventi relativi ai dati aggiungendo chiavi di tag di risorsa, chiavi di tag principali e chiavi di condizione globale IAM quando crei o aggiorni un data store di eventi. Ciò consente di classificare, cercare e analizzare CloudTrail gli eventi in base al contesto aziendale, come l'allocazione dei costi e la gestione finanziaria, le operazioni e i requisiti di sicurezza dei dati. Puoi analizzare gli eventi eseguendo query in Lake. CloudTrail Puoi anche scegliere di federare il tuo archivio dati di eventi ed eseguire query in Amazon Athena. Puoi aggiungere chiavi di tag di risorsa e chiavi di condizione globali IAM a un data store di eventi utilizzando la CloudTrail console e. AWS CLI SDKs
Nota
I tag delle risorse che aggiungi dopo la creazione o gli aggiornamenti delle risorse potrebbero subire un ritardo prima che tali tag si riflettano negli CloudTrail eventi. CloudTrail gli eventi per l'eliminazione delle risorse potrebbero non includere informazioni sui tag.
Le chiavi delle condizioni globali IAM saranno sempre visibili nell'output di una query, ma potrebbero non essere visibili al proprietario della risorsa.
Quando aggiungi chiavi di tag di risorsa a eventi arricchiti, CloudTrail include le chiavi tag selezionate associate alle risorse coinvolte nella chiamata API.
Quando aggiungi chiavi di condizione globali IAM a un archivio dati di eventi, CloudTrail include informazioni sulle chiavi di condizione selezionate che sono state valutate durante il processo di autorizzazione, inclusi dettagli aggiuntivi sul principale, sulla sessione e sulla richiesta stessa.
Nota
La configurazione CloudTrail per includere una chiave di condizione o un tag principale non significa che tale chiave di condizione o tag principale sarà presente in ogni evento. Ad esempio, se hai impostato l'inclusione CloudTrail di una chiave di condizione globale specifica ma non la vedi in un evento particolare, ciò indica che la chiave non era rilevante per la valutazione della policy IAM relativa a quell'azione.
Dopo aver aggiunto le chiavi dei tag di risorsa o le chiavi di condizione IAM, CloudTrail include un eventContext campo negli CloudTrail eventi che fornisce le informazioni contestuali selezionate per l'azione dell'API.
Esistono alcune eccezioni quando l'evento non includerà il eventContext campo, tra cui:
-
Gli eventi API relativi alle risorse eliminate potrebbero avere o meno tag di risorsa.
-
Il
eventContextcampo non conterrà dati sugli eventi ritardati e non sarà presente per gli eventi che sono stati aggiornati dopo la chiamata API. Ad esempio, se si verifica un ritardo o un'interruzione per Amazon EventBridge, i tag per gli eventi potrebbero rimanere obsoleti per qualche tempo dopo la risoluzione dell'interruzione. Alcuni AWS servizi subiranno ritardi più lunghi. Per ulteriori informazioni, consulta Aggiornamenti dei tag di risorsa CloudTrail per eventi arricchiti. -
Se modifichi o elimini il ruolo AWSService RoleForCloudTrailEventContext collegato al servizio utilizzato per gli eventi arricchiti, non CloudTrail inserirà alcun tag di risorsa in.
eventContext
Nota
Il eventContext campo è presente solo negli eventi per gli archivi di dati di eventi configurati per includere chiavi di tag di risorsa, chiavi di tag principali e chiavi di condizione globali IAM. Gli eventi inviati a Event history, Amazon EventBridge, visualizzabili con il AWS CLI lookup-events comando e consegnati ai trail, non includeranno il eventContext campo.
Argomenti
Servizi AWS tag di risorse di supporto
Tutti i tag delle risorse di Servizi AWS supporto. Per ulteriori informazioni, consulta Servizi che supportano il AWS Resource Groups Tagging API.
Aggiornamenti dei tag di risorsa CloudTrail per eventi arricchiti
Se configurato per farlo, CloudTrail acquisisce informazioni sui tag delle risorse e le utilizza per fornire informazioni negli eventi arricchiti. Quando si lavora con i tag di risorsa, ci sono alcune condizioni in cui un tag di risorsa potrebbe non essere riflesso accuratamente al momento della richiesta di eventi del sistema. Durante il funzionamento standard, i tag applicati al momento della creazione delle risorse sono sempre presenti e subiranno ritardi minimi o nulli. Tuttavia, si prevede che i seguenti servizi presentino ritardi nella visualizzazione delle modifiche ai tag delle risorse negli eventi: CloudTrail
Connettore voce Amazon Chime
AWS CloudTrail
AWS CodeConnections
Amazon DynamoDB
Amazon ElastiCache
Amazon Keyspaces (per Apache Cassandra)
Amazon Kinesis
Amazon Lex
Amazon MemoryDB
Amazon S3
Amazon Security Lake
AWS Direct Connect
AWS IAM Identity Center
AWS Key Management Service
AWS Lambda
Marketplace AWS Vendor Insights
AWS Organizations
AWS Payment Cryptography
Amazon Simple Queue Service
Le interruzioni del servizio possono anche causare ritardi negli aggiornamenti delle informazioni sui tag delle risorse. In caso di ritardo nell'interruzione del servizio, CloudTrail gli eventi successivi includeranno un addendum campo che include informazioni sulla modifica del tag di risorsa. Queste informazioni aggiuntive verranno utilizzate come specificato per fornire informazioni arricchiteCloudTrailevents.
Servizi AWS supporto delle chiavi di condizione globali IAM
Quanto segue Servizi AWS supporta le chiavi di condizione globali IAM per eventi arricchiti:
-
AWS Certificate Manager
-
AWS CloudTrail
-
Amazon CloudWatch
-
CloudWatch Registri Amazon
-
AWS CodeBuild
-
AWS CodeCommit
-
AWS CodeDeploy
-
Amazon Cognito Sync
-
Amazon Comprehend
-
Amazon Comprehend Medical
-
Amazon Connect Voice ID
-
AWS Control Tower
-
Amazon Data Firehose
-
Amazon Elastic Block Store
-
Sistema di bilanciamento del carico elastico
-
AWS End User Messaging Social
-
Amazon EventBridge
-
Amazon EventBridge Scheduler
-
Amazon Data Firehose
-
Amazon FSx
-
AWS HealthImaging
-
AWS IoT Events
-
AWS IoT FleetWise
-
AWS IoT SiteWise
-
AWS IoT TwinMaker
-
Wireless AWS IoT
-
Amazon Kendra
-
AWS KMS
-
AWS Lambda
-
AWS License Manager
-
Amazon Lookout per le apparecchiature
-
Amazon Lookout per Vision
-
AWS Network Firewall
-
AWS Payment Cryptography
-
Amazon Personalize
-
AWS Proton
-
Amazon Rekognition
-
Amazon SageMaker AI
-
AWS Secrets Manager
-
Amazon Simple Email Service (Amazon SES)
-
Servizio di notifica semplice Amazon (Amazon Simple Notification Service (Amazon SNS))
-
Amazon SQS
-
AWS Step Functions
-
AWS Storage Gateway
-
Amazon SWF
-
Catena di approvvigionamento di AWS
-
Amazon Timestream
-
Amazon Timestream per InfluxDB
-
Amazon Transcribe
-
AWS Transfer Family
-
AWS Trusted Advisor
-
Amazon WorkSpaces
-
AWS X-Ray
Chiavi di condizione globali IAM supportate per eventi arricchiti
La tabella seguente elenca le chiavi di condizione globali IAM supportate per eventi CloudTrail arricchiti, con valori di esempio:
| Chiave | Valore di esempio |
|---|---|
aws:FederatedProvider |
"IdP" |
aws:TokenIssueTime |
"123456789" |
aws:MultiFactorAuthAge |
«99" |
aws:MultiFactorAuthPresent |
"true" |
aws:SourceIdentity |
"UserName" |
aws:PrincipalAccount |
«111122223333" |
aws:PrincipalArn |
«arn:aws:iam::» 555555555555:role/myRole |
aws:PrincipalIsAWSService |
"false" |
aws:PrincipalOrgID |
"o-rganization" |
aws:PrincipalOrgPaths |
["o-rganization/path-of-org"] |
aws:PrincipalServiceName |
"cloudtrail.amazonaws.com" |
aws:PrincipalServiceNamesList |
["cloudtrail.amazonaws.com","s3.amazonaws.com"] |
aws:PrincipalType |
"AssumedRole" |
aws:userid |
"userid" |
aws:username |
"username" |
aws:RequestedRegion |
us-east-2" |
aws:SecureTransport |
"true" |
aws:ViaAWSService |
"false" |
aws:CurrentTime |
"2025-04-30 15:30:00" |
aws:EpochTime |
"1746049800" |
aws:SourceAccount |
"111111111111" |
aws:SourceOrgID |
"o-rganization" |
Esempi di eventi
Nell'esempio seguente, il eventContext campo include una chiave di condizione globale IAM aws:ViaAWSService con un valore difalse, che indica che la chiamata API non è stata effettuata da un. Servizio AWS
{ "eventVersion": "1.11", "userIdentity": { "type": "AssumedRole", "principalId": "ASIAIOSFODNN7EXAMPLE", "arn": "arn:aws:sts::123456789012:assumed-role/admin", "accountId": "123456789012", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "ASIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::123456789012:role/admin", "accountId": "123456789012", "userName": "admin" }, "attributes": { "creationDate": "2025-01-22T22:05:56Z", "mfaAuthenticated": "false" } } }, "eventTime": "2025-01-22T22:06:16Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "GetTrailStatus", "awsRegion": "us-east-1", "sourceIPAddress": "192.168.0.0", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:133.0) Gecko/20100101 Firefox/133.0", "requestParameters": { "name": "arn:aws:cloudtrail:us-east-1:123456789012:trail/myTrail" }, "responseElements": null, "requestID": "d09c4dd2-5698-412b-be7a-example1a23", "eventID": "9cb5f426-7806-46e5-9729-exampled135d", "readOnly": true, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.3", "cipherSuite": "TLS_AES_128_GCM_SHA256", "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com" }, "sessionCredentialFromConsole": "true", "eventContext": { "requestContext": { "aws:ViaAWSService": "false" }, "tagContext": {} } }
