本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
通过添加资源标签密钥和 IAM 全局条件键来丰富 CloudTrail 事件
在创建或更新事件数据存储时,您可以通过添加资源标签密钥、委托人标签密钥和 IAM 全局条件键来丰富 CloudTrail 管理事件和数据事件。这使您可以根据业务环境对 CloudTrail 事件进行分类、搜索和分析,例如成本分配和财务管理、运营和数据安全要求。您可以通过在 La CloudTrail ke 中运行查询来分析事件。您也可以选择联合事件数据存储并在 Amazon Athena 中运行查询。您可以使用CloudTrail 控制台、和,将资源标签密钥和 IAM 全局条件密钥添加到事件数据存储中 SDKs。AWS CLI
注意
在资源创建或更新后添加的资源标签可能会延迟,然后这些标签才会反映在 CloudTrail 事件中。 CloudTrail 资源删除事件可能不包含标签信息。
IAM 全局条件键将始终显示在查询的输出中,但资源所有者可能看不到它们。
向丰富事件添加资源标签密钥时, CloudTrail 包括与 API 调用中涉及的资源关联的选定标签密钥。
在向事件数据存储中添加 IAM 全局条件密钥时,会 CloudTrail 包含有关在授权过程中评估的所选条件密钥的信息,包括有关委托人、会话和请求本身的其他详细信息。
注意
配置 CloudTrail 为包含条件键或主体标签并不意味着此条件键或主体标签将出现在每个事件中。例如,如果您已设置 CloudTrail 为包含特定的全局条件密钥,但在特定事件中却看不到该密钥,则表明该密钥与该操作的 IAM 策略评估无关。
添加资源标签密钥或 IAM 条件键后,在 CloudTrail 事件中 CloudTrail 包含一个eventContext字段,该字段为 API 操作提供所选上下文信息。
在某些例外情况下,事件不包括 eventContext 字段,包括:
-
与已删除资源相关的 API 事件可能有资源标签,也可能没有资源标签。
-
eventContext字段没有延迟事件的数据,并且对于在 API 调用后更新的事件,该字段将不存在。例如,如果 Amazon 出现延迟或中断 EventBridge,则事件的标签可能会在中断问题解决后的一段时间内保持过期。有些 AWS 服务的延迟时间会更长。有关更多信息,请参阅 资源标签已更新, CloudTrail 用于丰富活动。 -
如果您修改或删除用于丰富活动的 AWSServiceRoleForCloudTrailEventContext 服务相关角色,则CloudTrail 不会在中填充任何资源标签。
eventContext
注意
eventContext 字段仅存在于配置为包含资源标签键、主体标签键和 IAM 全局条件键的事件数据存储的事件中。发送到事件历史记录、Amazon EventBridge、可使用 AWS CLI lookup-events命令查看并传送到跟踪的事件将不包括该eventContext字段。
AWS 服务 支持资源标签
全部 AWS 服务 支持资源标签。有关更多信息,请参阅 Services that support the AWS Resource Groups Tagging API。
资源标签已更新, CloudTrail 用于丰富活动
配置为这样做时,会 CloudTrail 捕获有关资源标签的信息,并使用它们在丰富的事件中提供信息。在使用资源标签时,在某些情况下,系统请求事件时可能无法准确反映资源标签。在标准操作期间,创建资源时应用的标签始终存在,并且不会出现延迟或延迟极少。但是,预计以下服务会延迟 CloudTrail 事件中出现的资源标签更改:
Amazon Chime Voice Connector
AWS CloudTrail
AWS CodeConnections
Amazon DynamoDB
Amazon ElastiCache
Amazon Keyspaces(Apache Cassandra 兼容)
Amazon Kinesis
Amazon Lex
Amazon MemoryDB
Amazon S3
Amazon Security Lake
AWS Direct Connect
AWS IAM Identity Center
AWS Key Management Service
AWS Lambda
AWS Marketplace 供应商见解
AWS Organizations
AWS Payment Cryptography
Amazon Simple Queue Service
服务中断也可能导致资源标签信息更新出现延迟。如果出现服务中断延迟,后续 CloudTrail 事件将包括一个addendum字段,其中包含有关资源标签变更的信息。这些附加信息将按规定用于提供丰富的信息CloudTrailevents。
AWS 服务 支持 IAM 全局条件键
以下内容 AWS 服务 支持丰富事件的 IAM 全局条件密钥:
-
AWS Certificate Manager
-
AWS CloudTrail
-
Amazon CloudWatch
-
Amazon CloudWatch 日志
-
AWS CodeBuild
-
AWS CodeCommit
-
AWS CodeDeploy
-
Amazon Cognito Sync
-
Amazon Comprehend
-
Amazon Comprehend Medical
-
Amazon Connect Voice ID
-
AWS Control Tower
-
Amazon Data Firehose
-
Amazon Elastic Block Store
-
Elastic Load Balancing
-
AWS 终端用户消息收发社交服务
-
Amazon EventBridge
-
Amazon EventBridge 日程安排
-
Amazon Data Firehose
-
Amazon FSx
-
AWS HealthImaging
-
AWS IoT Events
-
AWS IoT FleetWise
-
AWS IoT SiteWise
-
AWS IoT TwinMaker
-
AWS IoT Wireless
-
Amazon Kendra
-
AWS KMS
-
AWS Lambda
-
AWS License Manager
-
Amazon Lookout for Equipment
-
Amazon Lookout for Vision
-
AWS Network Firewall
-
AWS Payment Cryptography
-
Amazon Personalize
-
AWS Proton
-
Amazon Rekognition
-
亚马逊 SageMaker AI
-
AWS Secrets Manager
-
Amazon Simple Email Service (Amazon SES)
-
Amazon Simple Notification Service (Amazon SNS)
-
Amazon SQS
-
AWS Step Functions
-
AWS Storage Gateway
-
Amazon SWF
-
AWS Supply Chain
-
Amazon Timestream
-
适用于 InfluxDB 的 Amazon Timestream
-
Amazon Transcribe
-
AWS Transfer Family
-
AWS Trusted Advisor
-
Amazon WorkSpaces
-
AWS X-Ray
丰富事件支持的 IAM 全局条件键
下表列出了针对 CloudTrail 丰富事件支持的 IAM 全局条件密钥以及示例值:
| Key | 示例值 |
|---|---|
aws:FederatedProvider |
"IdP" |
aws:TokenIssueTime |
"123456789" |
aws:MultiFactorAuthAge |
"99" |
aws:MultiFactorAuthPresent |
"true" |
aws:SourceIdentity |
"UserName" |
aws:PrincipalAccount |
"111122223333" |
aws:PrincipalArn |
“arn: aws: iam::” 555555555555:role/myRole |
aws:PrincipalIsAWSService |
"false" |
aws:PrincipalOrgID |
"o-rganization" |
aws:PrincipalOrgPaths |
["o-rganization/path-of-org"] |
aws:PrincipalServiceName |
"cloudtrail.amazonaws.com" |
aws:PrincipalServiceNamesList |
["cloudtrail.amazonaws.com","s3.amazonaws.com"] |
aws:PrincipalType |
"AssumedRole" |
aws:userid |
"userid" |
aws:username |
"username" |
aws:RequestedRegion |
us-east-2" |
aws:SecureTransport |
"true" |
aws:ViaAWSService |
"false" |
aws:CurrentTime |
"2025-04-30 15:30:00" |
aws:EpochTime |
"1746049800" |
aws:SourceAccount |
"111111111111" |
aws:SourceOrgID |
"o-rganization" |
事件示例
在以下示例中,eventContext 字段包含值为 false 的 IAM 全局条件键 aws:ViaAWSService,这表示 API 调用不是由 AWS 服务进行的。
{ "eventVersion": "1.11", "userIdentity": { "type": "AssumedRole", "principalId": "ASIAIOSFODNN7EXAMPLE", "arn": "arn:aws:sts::123456789012:assumed-role/admin", "accountId": "123456789012", "accessKeyId": "ASIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "ASIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::123456789012:role/admin", "accountId": "123456789012", "userName": "admin" }, "attributes": { "creationDate": "2025-01-22T22:05:56Z", "mfaAuthenticated": "false" } } }, "eventTime": "2025-01-22T22:06:16Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "GetTrailStatus", "awsRegion": "us-east-1", "sourceIPAddress": "192.168.0.0", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:133.0) Gecko/20100101 Firefox/133.0", "requestParameters": { "name": "arn:aws:cloudtrail:us-east-1:123456789012:trail/myTrail" }, "responseElements": null, "requestID": "d09c4dd2-5698-412b-be7a-example1a23", "eventID": "9cb5f426-7806-46e5-9729-exampled135d", "readOnly": true, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.3", "cipherSuite": "TLS_AES_128_GCM_SHA256", "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com" }, "sessionCredentialFromConsole": "true", "eventContext": { "requestContext": { "aws:ViaAWSService": "false" }, "tagContext": {} } }
