CloudTrail 概念
本部分汇总了与 CloudTrail 相关的基本概念。
概念:
CloudTrail 事件
CloudTrail 中的事件是 AWS 账户中的活动的记录。此活动可以是 IAM 身份或可由 CloudTrail 监控的服务所执行的操作。CloudTrail 事件提供通过 AWS 管理控制台、AWS 开发工具包、命令行工具和其他 AWS 服务执行的 API 和非 API 账户活动的历史记录。
CloudTrail 日志文件不是公用 API 调用的有序堆栈跟踪,因此事件不会按任何特定顺序显示。
CloudTrail 记录四种类型的事件:
所有事件类型都使用 CloudTrail JSON 日志格式。
默认情况下,跟踪记录和事件数据存储将记录管理事件,但不记录数据事件或 Insights 事件。
有关 AWS 服务 如何与 CloudTrail 集成的信息,请参阅 AWS适用于 CloudTrail 的 服务主题。
管理事件
管理事件提供对您 AWS 账户内的资源所执行管理操作的相关信息。这些也称为控制层面操作。
示例管理事件包括:
-
配置安全性(例如,AWS Identity and Access Management
AttachRolePolicyAPI 操作)。 -
注册设备(例如,Amazon EC2
CreateDefaultVpcAPI 操作)。 -
配置传送数据的规则(例如,Amazon EC2
CreateSubnetAPI 操作)。 -
设置日志记录(例如,AWS CloudTrail
CreateTrailAPI 操作)。
管理事件还包括在您的账户中发生的非 API 事件。例如,当用户登录您的账户时,CloudTrail 将记录 ConsoleLogin 事件。有关更多信息,请参阅 CloudTrail 捕获的非 API 事件。
默认情况下,CloudTrail 跟踪和 CloudTrail Lake 事件数据存储日志管理事件。有关记录管理事件的更多信息,请参阅记录管理事件。
数据事件
数据事件提供有关对在资源上或资源内执行的资源操作的信息。这些也称为数据层面操作。数据事件通常是高容量活动。
示例数据事件包括:
-
S3 存储桶中对象上的 Amazon S3 对象级 API 活动(例如
GetObject、DeleteObject和PutObjectAPI 操作)。 -
AWS Lambda 函数执行活动 (
InvokeAPI)。 -
针对 CloudTrail Lake 通道 的 CloudTrail
PutAuditEvents活动,用于记录来自 AWS 外部的事件。 -
针对主题的 Amazon SNS
Publish和PublishBatchAPI 操作。
下表显示可用于跟踪和事件数据存储的资源类型。资源类型(控制台)列显示控制台中的相应选择。resources.type 值列显示您指定的 resources.type 值,以使用 AWS CLI 或 CloudTrail API 将该类型的数据事件包含在跟踪或事件数据存储中。
对于跟踪,您可以使用基本或高级事件选择器来记录通用存储桶、Lambda 函数和 DynamoDB 表中的 Amazon S3 对象的数据事件(显示在表的前三行中)。您只能使用高级事件选择器来记录其余行中显示的资源类型。
对于事件数据存储,只能使用高级事件选择器来包含数据事件。
AWS CloudTrail 支持的数据事件
| AWS 服务 | 描述 | 资源类型(控制台) | resources.type 值 |
|---|---|---|---|
| Amazon RDS | 数据库集群上的 Amazon RDS API 活动。 |
RDS 数据 API - 数据库集群 | AWS::RDS::DBCluster |
| Amazon S3 | 通用存储桶中对象上的 Amazon S3 对象级 API 活动(例如 |
S3 | AWS::S3::Object |
| Amazon S3 | 接入点上的 Amazon S3 API 活动。 |
S3 接入点 | AWS::S3::AccessPoint |
| Amazon S3 | 目录存储桶中对象上的 Amazon S3 对象级 API 活动(例如 |
S3 Express | AWS::S3Express::Object |
| Amazon S3 | Amazon S3 对象 Lambda 接入点 API 活动,例如调用 |
S3 对象 Lambda | AWS::S3ObjectLambda::AccessPoint |
| Amazon S3 | 针对卷的 Amazon FSx API 活动。 |
FSx 卷 | AWS::FSx::Volume |
| Amazon S3 表 | 针对表的 Amazon S3 API 活动。 |
S3 表 | AWS::S3Tables::Table |
| Amazon S3 表 | 针对表存储桶的 Amazon S3 API 活动。 |
S3 表存储桶 | AWS::S3Tables::TableBucket |
| Amazon S3 Vectors | 针对向量存储桶的 Amazon S3 API 活动。 |
S3 向量存储桶 | AWS::S3Vectors::VectorBucket |
| Amazon S3 Vectors | 针对向量索引的 Amazon S3 API 活动。 |
S3 向量索引 | AWS::S3Vectors::Index |
| Amazon S3 on Outposts | S3 Outposts | AWS::S3Outposts::Object |
|
| Amazon SNS | 针对平台端点的 Amazon SNS |
SNS 平台端点 | AWS::SNS::PlatformEndpoint |
| Amazon SNS | 针对主题的 Amazon SNS |
SNS 主题 | AWS::SNS::Topic |
| Amazon SQS | 消息上的 Amazon SQS API 活动。 |
SQS | AWS::SQS::Queue |
| AWS Supply Chain | 实例上的 AWS Supply Chain API 活动。 |
供应链 | AWS::SCN::Instance |
| Amazon SWF | SWF 域 | AWS::SWF::Domain |
|
| AWS AppConfig | 用于配置操作的 AWS AppConfig API 活动,例如调用 |
AWS AppConfig | AWS::AppConfig::Configuration |
| AWS AppSync | 针对 AppSync GraphQL API 的 AWS AppSync API 活动。 |
AppSync GraphQL | AWS::AppSync::GraphQLApi |
| Amazon Aurora DSQL | 针对集群资源的 Amazon Aurora DSQL API 活动。 |
Amazon Aurora DSQL | AWS::DSQL::Cluster |
| AWS B2B Data Interchange | 用于转换器操作的 B2B 数据交换 API 活动,例如对 |
B2B 数据交换 | AWS::B2BI::Transformer |
| AWS Backup | 针对搜索作业的 AWS Backup 搜索数据 API 活动。 |
AWS Backup 搜索数据 API | AWS::Backup::SearchJob |
| Amazon Bedrock | 代理别名上的 Amazon Bedrock API 活动。 | Bedrock 代理别名 | AWS::Bedrock::AgentAlias |
| Amazon Bedrock | 针对异步调用的 Amazon Bedrock API 活动。 | Bedrock 异步调用 | AWS::Bedrock::AsyncInvoke |
| Amazon Bedrock | 流别名上的 Amazon Bedrock API 活动。 | Bedrock 流别名 | AWS::Bedrock::FlowAlias |
| Amazon Bedrock | 护栏上的 Amazon Bedrock API 活动。 | Bedrock 护栏 | AWS::Bedrock::Guardrail |
| Amazon Bedrock | 针对内联代理的 Amazon Bedrock API 活动。 | Bedrock 调用内联代理 | AWS::Bedrock::InlineAgent |
| Amazon Bedrock | 知识库上的 Amazon Bedrock API 活动。 | Bedrock 知识库 | AWS::Bedrock::KnowledgeBase |
| Amazon Bedrock | 模型上的 Amazon Bedrock API 活动。 | Bedrock 模型 | AWS::Bedrock::Model |
| Amazon Bedrock | 针对提示的 Amazon Bedrock API 活动。 | Bedrock 提示 | AWS::Bedrock::PromptVersion |
| Amazon Bedrock | 针对会话的 Amazon Bedrock API 活动。 | Bedrock 会议 | AWS::Bedrock::Session |
| Amazon Bedrock | 针对流执行的 Amazon Bedrock API 活动。 |
Bedrock 流执行 | AWS::Bedrock::FlowExecution |
| Amazon Bedrock | 针对自动推理策略的 Amazon Bedrock API 活动。 |
Bedrock 自动推理策略 | AWS::Bedrock::AutomatedReasoningPolicy |
| Amazon Bedrock | 针对自动推理策略版本的 Amazon Bedrock API 活动。 |
Bedrock 自动推理策略版本 | AWS::Bedrock::AutomatedReasoningPolicyVersion |
Amazon Bedrock |
Amazon Bedrock 数据自动化项目 API 活动。 |
Bedrock 数据自动化项目 |
|
Amazon Bedrock |
Bedrock 数据自动化调用 API 活动。 |
Bedrock 数据自动化调用 |
|
Amazon Bedrock |
Amazon Bedrock 数据自动化配置文件 API 活动。 |
Bedrock 数据自动化配置文件 |
|
Amazon Bedrock |
Amazon Bedrock 蓝图 API 活动。 |
Bedrock 蓝图 |
|
Amazon Bedrock |
Amazon Bedrock 代码解释器 API 活动。 |
Bedrock-AgentCore 代码解释器 |
|
Amazon Bedrock |
Amazon Bedrock 浏览器 API 活动。 |
Bedrock-AgentCore 浏览器 |
|
Amazon Bedrock |
Amazon Bedrock 工作负载身份 API 活动。 |
Bedrock-AgentCore 工作负载身份 |
|
Amazon Bedrock |
Amazon Bedrock 工作负载身份目录 API 活动。 |
Bedrock-AgentCore 工作负载身份目录 |
|
Amazon Bedrock |
Amazon Bedrock 令牌文件库 API 活动。 |
Bedrock-AgentCore 令牌文件库 |
|
Amazon Bedrock |
Amazon Bedrock APIKey CredentialProvider API 活动。 |
Bedrock-AgentCore APIKey CredentialProvider |
|
Amazon Bedrock |
Amazon Bedrock 运行时 API 活动。 |
Bedrock-AgentCore 运行时 |
|
Amazon Bedrock |
Amazon Bedrock 运行时端点 API 活动。 |
Bedrock-AgentCore 运行时端点 |
|
Amazon Bedrock |
Amazon Bedrock 网关 API 活动。 |
Bedrock-AgentCore 网关 |
|
Amazon Bedrock |
Amazon Bedrock 内存 API 活动。 |
Bedrock-AgentCore 内存 |
|
Amazon Bedrock |
Amazon Bedrock Oauth2 CredentialProvider API 活动。 |
Bedrock-AgentCore Oauth2 CredentialProvider |
|
Amazon Bedrock |
Amazon Bedrock 浏览器自定义 API 活动。 |
Bedrock-AgentCore 浏览器自定义 |
|
Amazon Bedrock |
Amazon Bedrock 代码解释器自定义 API 活动。 |
Bedrock-AgentCore 代码解释器自定义 |
|
| Amazon Bedrock | Amazon Bedrock 工具 API 活动。 |
Bedrock 工具 | AWS::Bedrock::Tool |
| AWS Cloud Map | 命名空间上的 AWS Cloud Map API 活动。 | AWS Cloud Map 命名空间 | |
| AWS Cloud Map | 服务上的 AWS Cloud Map API 活动。 | AWS Cloud Map 服务 | |
| Amazon CloudFront | 上的 CloudFront API 活动。。KeyValueStore |
CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
| AWS CloudTrail | 针对 CloudTrail Lake 通道 的 CloudTrail |
CloudTrail 通道 | AWS::CloudTrail::Channel |
| Amazon CloudWatch | 指标上的 Amazon CloudWatch API 活动。 |
CloudWatch 指标 | AWS::CloudWatch::Metric |
| Amazon CloudWatch 网络流量监测仪 | 监视器上的 Amazon CloudWatch 网络流量监测仪 API 活动。 |
网络流量监测仪监视器 | AWS::NetworkFlowMonitor::Monitor |
| Amazon CloudWatch 网络流量监测仪 | 作用域上的 Amazon CloudWatch 网络流量监测仪 API 活动。 |
网络流量监测仪作用域 | AWS::NetworkFlowMonitor::Scope |
| Amazon CloudWatch RUM | 应用程序监视器上的 Amazon CloudWatch RUM API 活动。 |
RUM 应用程序监视器 | AWS::RUM::AppMonitor |
| Amazon CodeGuru Profiler | 对分析组的 CodeGuru Profiler API 活动。 | CodeGuru Profiler 分析组 | AWS::CodeGuruProfiler::ProfilingGroup |
| Amazon CodeWhisperer | 针对自定义的 Amazon CodeWhisperer API 活动。 | CodeWhisperer 自定义 | AWS::CodeWhisperer::Customization |
| Amazon CodeWhisperer | 针对个人资料的 Amazon CodeWhisperer API 活动。 | CodeWhisperer | AWS::CodeWhisperer::Profile |
| Amazon Cognito | 针对 Amazon Cognito 身份池的 Amazon Cognito API 活动。 |
Cognito 身份池 | AWS::Cognito::IdentityPool |
| AWS Data Exchange | 资产上的 AWS Data Exchange API 活动。 |
Data Exchange 资产 |
|
Amazon Data Firehose |
Amazon Data Firehose 传输流 API 活动。 |
Amazon Data Firehose |
|
| AWS Deadline Cloud | 实例集上的 Deadline Cloud API 活动。 |
Deadline Cloud 实例集 |
|
| AWS Deadline Cloud | 作业上的 Deadline Cloud API 活动。 |
Deadline Cloud 作业 |
|
| AWS Deadline Cloud | 队列上的 Deadline Cloud API 活动。 |
Deadline Cloud 队列 |
|
| AWS Deadline Cloud | 工作程序上的 Deadline Cloud API 活动。 |
Deadline Cloud 工作程序 |
|
| Amazon DynamoDB | 表上的 Amazon DynamoDB 项目级 API 活动(例如, 注意对于启用了流的表,数据事件中的 |
DynamoDB |
|
| Amazon DynamoDB | 针对流的 Amazon DynamoDB API 活动 |
DynamoDB Streams | AWS::DynamoDB::Stream |
| Amazon Elastic Block Store | Amazon Elastic Block Store (EBS) 直接 API,例如 Amazon EBS 快照上的 |
Amazon EBS 直接 API | AWS::EC2::Snapshot |
Amazon Elastic Compute Cloud |
Amazon EC2 Instance Connect 端点 API 活动。 |
EC2 Instance Connect 端点 |
|
| Amazon Elastic Container Service | 对容器实例的 Amazon Elastic Container Service API 活动。 |
ECS 容器实例 | AWS::ECS::ContainerInstance |
| Amazon Elastic Kubernetes Service | 对控制面板的 Amazon Elastic Kubernetes Service API 活动。 |
Amazon Elastic Kubernetes Service 控制面板 | AWS::EKS::Dashboard |
| Amazon EMR | 预写日志工作区上的 Amazon EMR API 活动。 | EMR 预写日志工作空间 | AWS::EMRWAL::Workspace |
| AWS 最终用户消息 SMS | 发起身份上的 AWS 最终用户消息 SMS API 活动。 | SMS 语音发起身份 | AWS::SMSVoice::OriginationIdentity |
| AWS 最终用户消息 SMS | 对消息的 AWS 终端用户消息发送 SMS 服务 API 活动。 | 短信语音消息 | AWS::SMSVoice::Message |
| AWS 最终用户消息社交 | 电话号码 ID 上的 AWS 最终用户消息社交 API 活动。 | 社交消息电话号码 ID | AWS::SocialMessaging::PhoneNumberId |
| AWS 最终用户消息社交 | 对 Waba ID 的 AWS 最终用户社交消息 API 活动。 | 社交消息 Waba ID | AWS::SocialMessaging::WabaId |
| Amazon FinSpace | 针对环境的 Amazon FinSpace API 活动 |
FinSpace | AWS::FinSpace::Environment |
| Amazon GameLift Streams | 对应用程序的 Amazon GameLift Streams 流式处理 API 活动。 |
GameLift Streams 应用程序 | AWS::GameLiftStreams::Application |
| Amazon GameLift Streams | 对流组的 Amazon GameLift Streams 流式处理 API 活动。 |
GameLift Streams 流组 | AWS::GameLiftStreams::StreamGroup |
| AWS Glue | 针对 Lake Formation 创建的表的 AWS Glue API 活动 |
Lake Formation | AWS::Glue::Table |
| Amazon GuardDuty | 检测器的 Amazon GuardDuty API 活动。 |
GuardDuty 检测器 | AWS::GuardDuty::Detector |
| AWS HealthImaging | 针对数据存储的 AWS HealthImaging API 活动。 |
医学成像数据存储 | AWS::MedicalImaging::Datastore |
AWS HealthImaging |
AWS HealthImaging 映像集 API 活动。 |
MedicalImaging 映像集 |
|
| AWS IoT | 证书上的 AWS IoT API 活动。 |
IoT 证书 | AWS::IoT::Certificate |
| AWS IoT | 事物上的 AWS IoTAPI 活动。 |
IoT 事物 | AWS::IoT::Thing |
| AWS IoT Greengrass Version 2 | 组件版本上来自 Greengrass 核心设备的 Greengrass API 活动。 注意Greengrass 不会记录访问被拒绝事件。 |
IoT Greengrass 组件版本 | AWS::GreengrassV2::ComponentVersion |
| AWS IoT Greengrass Version 2 | 部署上来自 Greengrass 核心设备的 Greengrass API 活动。 注意Greengrass 不会记录访问被拒绝事件。 |
IoT Greengrass 部署 | AWS::GreengrassV2::Deployment |
| AWS IoT SiteWise | IoT SiteWise 资产 | AWS::IoTSiteWise::Asset |
|
| AWS IoT SiteWise | IoT SiteWise 时间序列 | AWS::IoTSiteWise::TimeSeries |
|
| AWS IoT SiteWise Assistant | 对对话的 Sitewise Assistant API 活动 |
Sitewise Assistant 对话 | AWS::SitewiseAssistant::Conversation |
| AWS IoT TwinMaker | 实体上的 IoT TwinMaker API 活动。 |
IoT TwinMaker 实体 | AWS::IoTTwinMaker::Entity |
| AWS IoT TwinMaker | 工作区上的 IoT TwinMaker API 活动。 |
IoT TwinMaker 工作区 | AWS::IoTTwinMaker::Workspace |
| Amazon Kendra 智能排名 | 针对重新评分执行计划的 Amazon Kendra Intelligent Ranking API 活动。 |
Kendra 排名 | AWS::KendraRanking::ExecutionPlan |
| Amazon Keyspaces(Apache Cassandra 兼容) | 表上的 Amazon Keyspaces API 活动。 | Cassandra 表 | AWS::Cassandra::Table |
| Amazon Keyspaces(Apache Cassandra 兼容) | 对 Cassandra CDC 流的 Amazon Keyspaces(Apache Cassandra 兼容)API 活动。 |
Cassandra CDC 流 | AWS::Cassandra::Stream |
| Amazon Kinesis Data Streams | 流上的 Kinesis Data Streams API 活动。 | Kinesis 流 | AWS::Kinesis::Stream |
| Amazon Kinesis Data Streams | 流使用者的上的 Kinesis Data Streams API 活动。 | Kinesis 流使用者 | AWS::Kinesis::StreamConsumer |
| Amazon Kinesis Video Streams | 视频流上的 Kinesis Video Streams API 活动,例如调用 GetMedia 和 PutMedia。 |
Kinesis 视频流 | AWS::KinesisVideo::Stream |
Amazon Kinesis Video Streams |
Kinesis Video Streams 视频信令通道 API 活动。 |
Kinesis 视频信令通道 |
|
| AWS Lambda | AWS Lambda 函数执行活动 ( |
Lambda: | AWS::Lambda::Function |
| Amazon Location 映射 | Amazon Location 地图 API 活动。 | 地理地图 | AWS::GeoMaps::Provider |
| Amazon Location 位数 | Amazon Location 地点 API 活动。 | 地理地点 | AWS::GeoPlaces::Provider |
| Amazon Location 路线 | Amazon Location 路线 API 活动。 | 地理路线 | AWS::GeoRoutes::Provider |
| Amazon Machine Learning | 机器学习模型上的机器学习 API 活动。 | 机器学习 MLModel | AWS::MachineLearning::MlModel |
| Amazon Managed Blockchain | 针对网络的 Amazon Managed Blockchain API 活动。 |
托管区块链网络 | AWS::ManagedBlockchain::Network |
| Amazon Managed Blockchain | 针对 Ethereum 节点的 Amazon Managed Blockchain JSON-RPC 调用,如 |
托管区块链 | AWS::ManagedBlockchain::Node |
| Amazon Managed Blockchain 查询 | Amazon Managed Blockchain 查询 API 活动。 |
Managed Blockchain 查询 | AWS::ManagedBlockchainQuery::QueryAPI |
| Amazon Managed Workflows for Apache Airflow | 对环境的 Amazon MWAA API 活动。 |
托管 Apache Airflow | AWS::MWAA::Environment |
| Amazon Neptune 图形 | Neptune Graph 上的数据 API 活动,例如查询、算法或向量搜索。 |
Neptune 图形 | AWS::NeptuneGraph::Graph |
| Amazon One Enterprise | UKey 上的 Amazon One Enterprise API 活动。 |
Amazon One UKey | AWS::One::UKey |
| Amazon One Enterprise | 用户上的 Amazon One Enterprise API 活动。 |
Amazon One 用户 | AWS::One::User |
| AWS Payment Cryptography | 别名上的 AWS Payment Cryptography API 活动。 | Payment Cryptography 别名 | AWS::PaymentCryptography::Alias |
| AWS Payment Cryptography | 密钥上的 AWS Payment Cryptography API 活动。 | Payment Cryptography 密钥 | AWS::PaymentCryptography::Key |
| Amazon Pinpoint | 对移动定位应用程序的 Amazon Pinpoint API 活动。 |
移动定位应用程序 | AWS::Pinpoint::App |
| AWS 私有 CA | AWS 私有 CA Connector for Active Directory API 活动。 |
AWS 私有 CA Connector for Active Directory | AWS::PCAConnectorAD::Connector |
| AWS 私有 CA | 用于 SCEP API 活动的 AWS 私有 CA 连接器。 |
AWS 私有 CA Connector for SCEP | AWS::PCAConnectorSCEP::Connector |
| Amazon Q 应用程序构建器 | Amazon Q 应用程序构建器上的数据 API 活动。 |
Amazon Q 应用程序构建器 | AWS::QApps::QApp |
| Amazon Q 应用程序构建器 | 对 Amazon Q 应用程序构建器会话的数据 API 活动。 |
Amazon Q 应用程序构建器会话 | AWS::QApps::QAppSession |
| Amazon Q Business | 应用程序上的 Amazon Q Business API 活动。 |
Amazon Q Business 应用程序 | AWS::QBusiness::Application |
| Amazon Q Business | 数据来源上的 Amazon Q Business API 活动。 |
Amazon Q Business 数据来源 | AWS::QBusiness::DataSource |
| Amazon Q Business | 索引上的 Amazon Q Business API 活动。 |
Amazon Q Business 索引 | AWS::QBusiness::Index |
| Amazon Q Business | Web 体验上的 Amazon Q Business API 活动。 |
Amazon Q Business Web 体验 | AWS::QBusiness::WebExperience |
Amazon Q Business |
Amazon Q Business 集成 API 活动。 |
Amazon Q Business 集成 |
|
| Amazon Q 开发者版 | 对集成的 Amazon Q 开发者版 API 活动。 |
Q 开发者版集成 | AWS::QDeveloper::Integration |
| Amazon Q 开发者版 | 对操作调查的 Amazon Q 开发者版 API 活动。 |
AIOps 调查组 | AWS::AIOps::InvestigationGroup |
| Amazon Quick Suite | 对操作连接器的 Amazon Quick Suite API 活动。 |
AWS QuickSuite 操作 | AWS::Quicksight::ActionConnector |
Amazon Quick Suite |
Amazon Quick Suite 流 API 活动。 |
AWS::QuickSight::Flow |
|
Amazon Quick Suite |
Amazon Quick Suite FlowSession API 活动。 |
AWS::QuickSight::FlowSession |
|
| Amazon SageMaker AI | 对端点的 Amazon SageMaker AI InvokeEndpointWithResponseStream 活动。 |
SageMaker AI 端点 | AWS::SageMaker::Endpoint |
| Amazon SageMaker AI | 对特征存放区的 Amazon SageMaker AI API 活动。 |
SageMaker AI 特征存放区 | AWS::SageMaker::FeatureGroup |
| Amazon SageMaker AI | 对实验试用组件的 Amazon SageMaker AI API 活动。 |
SageMaker AI 指标实验试用组件 | AWS::SageMaker::ExperimentTrialComponent |
Amazon SageMaker AI; |
Amazon SageMaker AI MLflow API 活动。 |
SageMaker MLflow |
|
| AWS Signer | 对签名作业的签署人 API 活动。 |
签署人签名作业 | AWS::Signer::SigningJob |
| AWS Signer | 对签名配置文件的签署人 API 活动。 |
签署人签名配置文件 | AWS::Signer::SigningProfile |
| Amazon Simple Email Service | 对配置集的 Amazon Simple Email Service (Amazon SES) API 活动。 |
SES 配置集 | AWS::SES::ConfigurationSet |
| Amazon Simple Email Service | 对电子邮件身份的 Amazon Simple Email Service (Amazon SES) API 活动。 |
SES 身份 | AWS::SES::EmailIdentity |
| Amazon Simple Email Service | 对模板的 Amazon Simple Email Service (Amazon SES) API 活动。 |
SES 模板 | AWS::SES::Template |
| Amazon SimpleDB | 对域的 Amazon SimpleDB API 活动。 |
SimpleDB 域 | AWS::SDB::Domain |
| AWS Step Functions | 对活动的 Step Functions API 活动。 |
Step Functions | AWS::StepFunctions::Activity |
| AWS Step Functions | 对状态机的 Step Functions API 活动。 |
Step Functions 状态机 | AWS::StepFunctions::StateMachine |
| AWS Systems Manager | 控制通道上的 Systems Manager API 活动。 | Systems Manager | AWS::SSMMessages::ControlChannel |
| AWS Systems Manager | 对影响评测的 Systems Manager API 活动。 | SSM 影响评测 | AWS::SSM::ExecutionPreview |
| AWS Systems Manager | 托管节点上的 Systems Manager API 活动。 | Systems Manager 托管式节点 | AWS::SSM::ManagedNode |
| Amazon Timestream | 针对数据库的 Amazon Timestream Query API 活动。 |
Timestream 数据库 | AWS::Timestream::Database |
| Amazon Timestream | 对区域端点的 Amazon Timestream API 活动。 | Timestream 区域端点 | AWS::Timestream::RegionalEndpoint |
| Amazon Timestream | 针对表的 Amazon Timestream Query API 活动。 |
Timestream 表 | AWS::Timestream::Table |
| Amazon Verified Permissions | 针对策略存储的 Amazon Verified Permissions API 活动。 |
Amazon Verified Permissions | AWS::VerifiedPermissions::PolicyStore |
| Amazon WorkSpaces Thin Client | 设备上的 WorkSpaces 瘦客户端 API 活动。 | 瘦客户端设备 | AWS::ThinClient::Device |
| Amazon WorkSpaces Thin Client | 环境上的 WorkSpaces 瘦客户端 API 活动。 | 瘦客户端环境 | AWS::ThinClient::Environment |
| AWS X-Ray | X-Ray 跟踪 | AWS::XRay::Trace |
默认情况下,在您创建跟踪或事件数据存储时,未记录数据事件。要记录 CloudTrail 数据事件,您必须明确添加要收集活动的每种资源类型。有关记录事件数据的更多信息,请参阅记录数据事件。
记录数据事件将收取额外费用。有关 CloudTrail 定价的信息,请参阅 AWS CloudTrail 定价
网络活动事件
CloudTrail 网络活动事件使 VPC 端点所有者能够记录使用其 VPC 端点进行的从私有 VPC 到 AWS 的 AWS 服务 API 调用。通过网络活动事件,可以了解在 VPC 中执行的资源操作。
您可以记录以下服务的网络活动事件:
-
AWS AppConfig
-
AWS App Mesh
-
Amazon Athena
-
AWS B2B Data Interchange
-
AWS Backup gateway
-
Amazon Bedrock
-
账单和成本管理
-
AWS 定价计算器
-
AWS Cost Explorer
-
AWS 云端控制 API
-
AWS CloudHSM
-
AWS Cloud Map
-
AWS CloudFormation
-
AWS CloudTrail
-
Amazon CloudWatch
-
CloudWatch Application Signals
-
AWS CodeDeploy
-
Amazon Comprehend Medical
-
AWS Config
-
AWS Data Exports
-
Amazon Data Firehose
-
AWS Directory Service
-
Amazon DynamoDB
-
Amazon EC2
-
Amazon Elastic Container Service
-
Amazon Elastic File System
-
Elastic Load Balancing
-
Amazon EventBridge
-
Amazon EventBridge 调度器
-
Amazon Fraud Detector
-
AWS Free Tier
-
Amazon FSx
-
AWS Glue
-
AWS HealthLake
-
AWS IoT FleetWise
-
AWS IoT Secure Tunneling
-
AWS 开票
-
Amazon Keyspaces(Apache Cassandra 兼容)
-
AWS KMS
-
AWS Lake Formation
-
AWS Lambda
-
AWS License Manager
-
Amazon Lookout for Equipment
-
Amazon Lookout for Vision
-
Amazon Personalize
-
Amazon Q Business
-
Amazon Rekognition
-
Amazon Relational Database Service
-
Amazon S3
注意
不支持 Amazon S3 多区域接入点。
-
Amazon SageMaker AI
-
AWS Secrets Manager
-
Amazon Simple Notification Service
-
Amazon Simple Queue Service
-
Amazon Simple Workflow Service
-
AWS Storage Gateway
-
AWS Systems Manager Incident Manager
-
Amazon Textract
-
Amazon Transcribe
-
Amazon Translate
-
AWS Transform
-
Amazon Verified Permissions
-
Amazon WorkMail
默认情况下,在您创建跟踪或事件数据存储时,未记录网络活动事件。要记录 CloudTrail 网络活动事件,您必须明确设置要收集活动的事件源。有关更多信息,请参阅 记录网络活动事件。
记录网络活动事件将收取额外费用。有关 CloudTrail 定价的信息,请参阅 AWS CloudTrail 定价
Insights 事件
CloudTrail Insights 事件会分析 CloudTrail 管理活动,从而捕获您 AWS 账户中异常的 API 调用率或错误率活动。Insights 事件提供相关信息,例如关联的 API、错误代码、事件时间和统计数据,以帮助您了解异常活动并对其采取措施。与在 CloudTrail 跟踪记录或事件数据存储中捕获的其它类型的事件不同,仅在 CloudTrail 检测到账户的 API 使用情况或错误率记录的变化与账户的典型使用模式有显著差异时,才会记录 Insights 事件。有关更多信息,请参阅 使用 CloudTrail Insights。
可能生成 Insights 事件的活动的示例包括:
-
您的账户通常每分钟记录不超过 20 次 Simple Storage Service(Amazon S3)
deleteBucketAPI 调用,但是您的账户一开始就平均每分钟记录 100 次deleteBucketAPI 调用。在异常活动开始时记录一个 Insights 事件,并记录另一个见解事件以标记异常活动的结束。 -
您的账户通常每分钟记录 20 次对 Amazon EC2
AuthorizeSecurityGroupIngressAPI 的调用,但是您的账户开始记录对AuthorizeSecurityGroupIngress的零次调用。在异常活动开始时记录一个 Insights 事件,10 分钟后,当异常活动结束时,将记录另一个 Insights 事件以标记异常活动的结束。 -
您的账户七天内对 AWS Identity and Access Management API、
DeleteInstanceProfile记录的AccessDeniedException错误通常不到一个。你的账户开始对DeleteInstanceProfileAPI 调用每分钟平均记录 12 个AccessDeniedException错误。在异常错误率活动开始时记录一个 Insights 事件,并记录另一个 Insights 事件以标记异常活动的结束。
这些示例仅用于说明用途。根据您的使用案例,您的结果可能会有所不同。
要记录 CloudTrail Insights 事件,必须在新的或现有的跟踪或事件数据存储上显式启用 Insights 事件。有关创建跟踪的更多信息,请参阅使用 CloudTrail 控制台创建跟踪。有关创建事件数据存储的更多信息,请参阅使用控制台为 Insights 事件创建事件数据存储。
将对 Insights 事件收取额外费用。如果您同时为跟踪和事件数据存储启用 Insights,则需要单独付费。有关更多信息,请参阅 AWS CloudTrail 定价
事件历史记录
CloudTrail 事件历史记录提供对 AWS 区域 中过去 90 天发生的 CloudTrail 管理事件的可查看、可搜索、可下载和不可变记录。您可以使用此历史记录了解您的 AWS 账户在 AWS 管理控制台、AWS 开发工具包、命令行工具和其他 AWS 服务中执行的操作。您可以通过选择要显示的列来在 CloudTrail 控制台中自定义事件历史记录的视图。有关更多信息,请参阅 使用 CloudTrail 事件历史记录。
跟踪
跟踪是一种配置,可将 CloudTrail 事件传输到 S3 存储桶,并可选择传输到 CloudWatch Logs 和 Amazon EventBridge。您可以使用跟踪来选择您希望传送的 CloudTrail 事件,使用 AWS KMS 密钥加密您的 CloudTrail 事件日志文件,并设置日志文件传送的 Amazon SNS 通知。有关如何创建和管理跟踪的更多信息,请参阅为您的 AWS 账户 创建跟踪。
多区域和单区域跟踪
您可以为您的 AWS 账户 创建多区域和单区域跟踪。
- 多区域跟踪
-
当您创建多区域跟踪时,CloudTrail 会记录您的 AWS 账户中已启用的所有 AWS 区域中的事件,并将 CloudTrail 事件日志文件传输到您指定的 S3 存储桶。作为最佳实践,我们建议您创建多区域跟踪,因为它能够捕获所有已启用区域中的活动。使用 CloudTrail 控制台创建的所有跟踪都是多区域跟踪。您可以通过使用 AWS CLI 将单区域跟踪转换为多区域跟踪。有关更多信息,请参阅了解多区域跟踪和选择加入区域、使用控制台创建跟踪和将单区域跟踪转换为多区域跟踪。
- 单区域跟踪
-
当您创建单区域跟踪时,CloudTrail 仅记录该区域中的事件。然后,它将 CloudTrail 事件日志文件传送到您指定的 Amazon S3 存储桶。您只能使用 AWS CLI 创建单区域跟踪。如果您另外创建了单个跟踪,可以让这些跟踪将 CloudTrail 事件日志文件传送到同一个 S3 存储桶或单独的存储桶。这是使用 AWS CLI 或 CloudTrail API 创建跟踪时的默认选项。有关更多信息,请参阅 使用 AWS CLI 创建、更新和管理跟踪记录。
注意
对于这两种类型的跟踪,您可以在任何区域中指定 Amazon S3 存储桶。
多区域跟踪具有以下优势:
-
跟踪的配置设置一致地应用到所有已启用的 AWS 区域。
-
您可以在单个 Amazon S3 存储桶中(或者,在 CloudWatch Logs 日志组中)接收来自所有已启用的 AWS 区域的 CloudTrail 事件。
-
从一个位置管理所有已启用的 AWS 区域的跟踪配置。
创建多区域跟踪会产生以下影响:
-
CloudTrail 将所有已启用的 AWS 区域中的账户活动的日志文件都传输到您指定的单个 Amazon S3 存储桶,并且可选择传输到 CloudWatch Logs 日志组。
-
如果您为跟踪配置了 Amazon SNS 主题,则会将有关所有已启用的 AWS 区域中的日志文件传输的 SNS 通知发送到此单个 SNS 主题。
-
您可以在所有已启用的 AWS 区域查看多区域跟踪,但只能在创建跟踪的主区域修改跟踪。
无论跟踪是多区域还是单区域,发送到 Amazon EventBridge 的事件都是在每个区域的事件总线中接收的,而不是在单个事件总线中接收的。
每区域多个跟踪记录
如果您拥有不同但相关的用户组,例如开发人员、安全人员和 IT 审计人员,您可以为每个区域创建多个跟踪记录。这可使每个组均接收各自的日志文件副本。
CloudTrail 对每个区域最多支持五条跟踪记录。多区域跟踪计为每个区域一个跟踪。
以下是具有五个跟踪的区域的示例:
-
您在美国西部(加利福尼亚北部)区域创建了两个仅适用于此区域的跟踪记录。
-
您在美国西部(北加利福尼亚)区域创建了另外两个多区域跟踪。
-
您在亚太地区(悉尼)区域创建了另一个多区域跟踪。此跟踪也作为美国西部(加利福尼亚北部)区域中的跟踪存在。
您可以在 CloudTrail 控制台的跟踪页面中查看 AWS 区域 中的跟踪列表。有关更多信息,请参阅 使用 CloudTrail 控制台更新跟踪。有关 CloudTrail 定价的信息,请参阅 AWS CloudTrail 定价
组织跟踪
组织跟踪是一种配置,支持将 AWS Organizations 组织内管理账户和所有成员账户中的 CloudTrail 事件传送到同一 Amazon S3 存储桶、CloudWatch Logs 和 Amazon EventBridge。创建组织跟踪可帮助您为组织定义统一的事件记录策略。
使用控制台创建的所有组织跟踪都是多区域组织跟踪,它们记录组织中每个成员账户中已启用的 AWS 区域 的事件。要记录组织中所有 AWS 分区的事件,请在每个分区中创建多区域组织跟踪。您可以通过使用 AWS CLI 创建单区域或多区域组织跟踪。如果您创建单区域跟踪,则只能记录跟踪的 AWS 区域(也称为主区域)中的活动。
尽管您的 AWS 账户 默认启用了大多数 AWS 区域,但您必须手动启用某些区域(也称为选择加入区域)。有关默认启用哪些区域的信息,请参阅《AWS 账户管理 参考指南》中的 Considerations before enabling and disabling Regions。有关 CloudTrail 支持的区域列表,请参阅 CloudTrail 支持的区域。
当您创建组织跟踪时,将在属于您组织的成员账户中创建具有您所指定名称的跟踪副本。
-
如果组织跟踪适用于单区域,而跟踪的主区域不是选择加入区域,则会在每个成员账户的组织跟踪主区域中创建该跟踪的副本。
-
如果组织跟踪适用于单区域,而跟踪的主区域不是选择加入区域,则会在已启用该区域的成员账户中的组织跟踪主区域中创建该跟踪的副本。
-
如果组织跟踪是多区域,并且跟踪的主区域不是选择加入区域,则会在每个成员账户中每个已启用的 AWS 区域 中创建跟踪副本。当成员账户启用选择加入区域时,在激活该区域完成后,将在新选择加入的区域中为成员帐户创建多区域跟踪的副本。
-
如果组织跟踪是多区域,而主区域是选择加入区域,则成员账户将不会向组织跟踪发送活动,除非它们选择加入创建多区域跟踪的 AWS 区域。例如,如果您创建了多区域跟踪,并选择欧洲(西班牙)区域作为跟踪的主区域,则只有为其账户启用了欧洲(西班牙)区域的成员账户才会将其账户活动发送到组织跟踪。
注意
即使资源验证失败,CloudTrail 也会在成员账户中创建组织跟踪。验证失败的示例包括:
-
Amazon S3 存储桶策略不正确
-
Amazon SNS 主题策略不正确
-
无法传输至 CloudWatch Logs 日志组
-
权限不足,无法使用 KMS 密钥进行加密
拥有 CloudTrail 权限的成员账户可以通过在 CloudTrail 控制台上查看跟踪的详细信息页面或运行 AWS CLI get-trail-status 命令来查看组织跟踪的任何验证失败。
成员账户中拥有 CloudTrail 权限的用户在从其 AWS 账户登录 CloudTrail 控制台时,或者当他们运行 describe-trails 等 AWS CLI 命令时,将能够看到组织跟踪(包括跟踪 ARN)(但是成员账户在使用 AWS CLI 时必须使用组织跟踪的 ARN,而不是名称)。但是,成员账户中的用户将没有足够的权限删除组织跟踪、启用和关闭日志记录、更改要记录的事件类型,或以任何其他方式更改组织跟踪。有关 AWS Organizations 的更多信息,请参阅 Organizations 术语和概念。有关创建和使用组织跟踪记录的更多信息,请参阅为组织创建跟踪。
CloudTrail Lake 和事件数据存储
CloudTrail Lake 允许您对事件运行基于 SQL 的精细查询,并记录来自 AWS 外部源的事件,包括来自您自己的应用程序和与 CloudTrail 集成的合作伙伴的事件。您不需要在账户中配置跟踪记录即可使用 CloudTrail Lake。
事件被聚合到事件数据存储,是基于您通过应用高级事件选择器选择的条件的不可变的事件集合。如果您选择一年可延期保留定价选项,则可以将事件数据在事件数据存储中最多保留 3653 天(大约 10 年);如果您选择七年保留定价选项,则最多可以保留 2557 天(大约 7 年)。您可以保存 Lake 查询以供将来使用,并查看最多七天的查询结果。您还可以将查询结果保存到 S3 存储桶。CloudTrail Lake 还可以将 AWS Organizations 中组织的事件存储在事件数据存储中,或者存储来自多个区域和账户的事件。CloudTrail Lake 是审计解决方案的一部分,可帮助您执行安全调查和故障排除。有关更多信息,请参阅使用 AWS CloudTrail Lake和CloudTrail Lake 概念和术语。
CloudTrail Insights
通过持续分析 CloudTrail 管理事件,CloudTrail Insights 帮助 AWS 用户识别和应对异常的 API 调用量或针对 API 调用记录的错误。Insights 事件是异常级别的 write 管理 API 活动,或管理 API 活动返回的异常错误级别。默认情况下,跟踪记录和事件数据存储不记录 CloudTrail Insights 事件。在控制台中,您可以选择在创建或更新跟踪或事件数据存储时记录 Insights 事件。使用 CloudTrail API 时,您可以通过使用 PutInsightSelectors API 编辑现有跟踪或事件数据存储的设置来记录 Insights 事件。记录 CloudTrail Insights 事件将收取额外费用。如果您同时为跟踪和事件数据存储启用 Insights,则需要单独付费。有关更多信息,请参阅 使用 CloudTrail Insights 和 AWS CloudTrail 定价
标签
标签是客户定义的键和可选值,它们可以分配给 AWS 资源,例如 CloudTrail 跟踪记录、事件数据存储和通道、用于存储 CloudTrail 日志文件的 S3 存储桶、AWS Organizations 组织和组织单位等等。通过将相同的标签添加到跟踪和您用于存储跟踪记录的日志文件的 S3 存储桶,您可以更轻松地通过 AWS Resource Groups 管理、搜索和筛选这些资源。您可以实施标记策略以帮助您持续、高效且轻松地查找和管理您的资源。有关更多信息,请参阅 Best Practices for Tagging AWS Resources。
AWS Security Token Service 和 CloudTrail
AWS Security Token Service(AWS STS)是一项具有全局端点并且也支持区域特定端点的服务。终端节点是作为 Web 服务请求入口点的 URL。例如,https://cloudtrail.us-west-2.amazonaws.com 是 AWS CloudTrail 服务在美国西部(俄勒冈)区域的入口点。区域性终端节点可帮助减少应用程序中的延迟。
在使用 AWS STS 区域特定端点时,该区域中的跟踪仅传输发生在该区域中的 AWS STS 事件。例如,如果您使用终端节点 sts.us-west-2.amazonaws.com,则 us-west-2 中的跟踪仅传输源自 us-west-2 的 AWS STS 事件。有关 AWS STS 区域终端节点的更多信息,请参阅 IAM 用户指南中的在 AWS 区域中激活和停用 AWS STS。
有关 AWS 区域性终端节点的完整列表,请参阅 AWS 中的 AWS 一般参考 区域和终端节点。有关来自全局 AWS STS 终端节点的事件的详细信息,请参阅全球服务事件。
全球服务事件
重要
自 2021 年 11 月 22 日起,AWS CloudTrail 更改了使用跟踪来捕获全球服务事件的方法。现在,Amazon CloudFront、AWS Identity and Access Management 和 AWS STS 创建的事件记录在创建它们的区域中,即美国东部(弗吉尼亚州北部)区域 us-east-1。这使得 CloudTrail 对这些服务的处理与其他 AWS 全球服务的处理保持一致。要继续接收美国东部(弗吉尼亚州北部)以外的全球服务事件,请务必将使用美国东部(弗吉尼亚州北部)以外全球服务事件的单区域跟踪转换为多区域跟踪。如需有关捕获全球服务事件的更多信息,请参阅本章节后面部分的启用和禁用全球服务事件记录。
相比之下,CloudTrail 控制台中的事件历史记录和 aws cloudtrail lookup-events 命令将在发生这些事件的 AWS 区域 中显示它们。
对于大多数服务,事件被记录在发生操作的区域。对于全球服务,例如 AWS Identity and Access Management (IAM)、AWS STS 和 Amazon CloudFront,事件将传送到包含全球服务的任何跟踪。
对于大多数全球服务,事件记录为发生在美国东部(弗吉尼亚州北部)区域,但有些全球服务事件记录为发生在其他区域,例如美国东部(俄亥俄州)区域或美国西部(俄勒冈州)区域。
要避免接收重复的全球服务事件,请注意:
-
默认情况下,全球服务事件传输到使用 CloudTrail 控制台创建的跟踪记录中。事件传输到跟踪的存储桶中。
-
如果您有多个单区域跟踪记录,可考虑将跟踪配置为只在其中一个跟踪记录中传输全球服务事件。有关更多信息,请参阅 启用和禁用全球服务事件记录。
-
如果将多区域跟踪转换为单区域跟踪,则该跟踪的全局服务事件日志记录将自动关闭。同样,如果您将单区域跟踪转换为多区域跟踪,则该跟踪的全局服务事件日志记录将自动启用。
有关更改跟踪的全球服务事件日志记录的更多信息,请参阅启用和禁用全球服务事件记录。
示例:
-
您在 CloudTrail 控制台中创建了一个跟踪。默认情况下,此跟踪将记录全球服务事件。
-
您有多个单区域跟踪记录。
-
您不需要为单区域跟踪记录包含全球服务。全球服务事件会提交给第一个跟踪。有关更多信息,请参阅 使用 AWS CLI 创建、更新和管理跟踪记录。
注意
在使用 AWS CLI、AWS 开发工具包或 CloudTrail API 创建或更新跟踪时,您可以指定是包括还是排除跟踪记录的全球服务事件。您不能从 CloudTrail 控制台中配置全球性服务事件日志记录。
