本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 透過新增資源標籤索引鍵和 IAM 全域條件索引鍵來豐富 CloudTrail 事件
<a name="cloudtrail-context-events"></a>

您可以在建立或更新事件資料存放區時新增資源標籤索引鍵、主體標籤索引鍵和 IAM 全域條件索引鍵，以豐富 CloudTrail 管理事件和資料事件。這可讓您根據業務內容來分類、搜尋和分析 CloudTrail 事件，例如成本分配和財務管理、操作和資料安全需求。您可以在 CloudTrail Lake 中執行查詢來分析事件。您也可以選擇[聯合](query-federation.md)事件資料存放區，並在 Amazon Athena 中執行查詢。您可以使用 [CloudTrail 主控台](query-event-data-store-cloudtrail.md)、 和 SDKs，將資源標籤金鑰[AWS CLI](lake-cli-manage-eds.md#lake-cli-put-event-configuration)和 IAM 全域條件金鑰新增至事件資料存放區。

**注意**  
您在資源建立或更新之後新增的資源標籤可能會在 CloudTrail 事件中反映這些標籤之前遇到延遲。刪除資源的 CloudTrail 事件可能不會包含標籤資訊。  
IAM 全域條件金鑰一律會顯示在查詢的輸出中，但資源擁有者可能無法看見。

當您將資源標籤索引鍵新增至擴充事件時，CloudTrail 會包含與 API 呼叫中所涉及資源相關聯的所選標籤索引鍵。

當您將 IAM 全域條件金鑰新增至事件資料存放區時，CloudTrail 會包含授權程序期間評估之所選條件金鑰的相關資訊，包括主體、工作階段和請求本身的其他詳細資訊。

**注意**  
設定 CloudTrail 包含條件索引鍵或主體標籤，並不表示每個事件都會出現此條件索引鍵或主體標籤。例如，如果您已設定 CloudTrail 包含特定全域條件金鑰，但未在特定事件中看到，這表示該金鑰與該動作的 IAM 政策評估無關。

新增資源標籤金鑰或 IAM 條件金鑰後，CloudTrail 會在 CloudTrail 事件中包含 `eventContext` 欄位，以提供 API 動作的所選內容資訊。

當事件不包含 `eventContext` 欄位時，有一些例外狀況，包括下列項目：
+ 與已刪除資源相關的 API 事件可能有也可能沒有資源標籤。
+ `eventContext` 欄位不會有延遲事件的資料，也不會出現於 API 呼叫後更新的事件。例如，如果 Amazon EventBridge 發生延遲或中斷，則在解決中斷之後，事件的標籤可能會保留一段時間。有些 AWS 服務將會遇到較長的延遲。如需詳細資訊，請參閱[CloudTrail 中豐富事件的資源標籤更新](#resrouce-tags-updates)。
+ 如果您修改或刪除用於豐富事件的 AWSServiceRoleForCloudTrailEventContext 服務連結角色，CloudTrail 不會將任何資源標籤填入 `eventContext` 。

**注意**  
`eventContext` 欄位只會出現在設定為包含資源標籤索引鍵、主體標籤索引鍵和 IAM 全域條件索引鍵的事件資料存放區事件中。交付至**事件歷史記錄**、Amazon EventBridge、可使用 AWS CLI `lookup-events`命令檢視，以及交付至追蹤的事件，將不會包含 `eventContext` 欄位。

**Topics**
+ [AWS 服務 支援資源標籤](#resource-tags-supported-services)
+ [AWS 服務 支援 IAM 全域條件金鑰](#condition-keys-supported-services)
+ [事件範例](#context-event-examples)

## AWS 服務 支援資源標籤
<a name="resource-tags-supported-services"></a>

所有 AWS 服務 支援資源標籤。如需詳細資訊，請參閱[支援 的 服務 AWS Resource Groups Tagging API](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/supported-services.html)。

### CloudTrail 中豐富事件的資源標籤更新
<a name="resrouce-tags-updates"></a>

設定為這樣做時，CloudTrail 會擷取資源標籤的相關資訊，並使用它們在豐富的事件中提供資訊。使用資源標籤時，在某些情況下，系統請求事件時可能無法準確反映資源標籤。在標準操作期間，在資源建立時間套用的標籤一律存在，而且會有極少或沒有延遲。不過，下列服務預期在 CloudTrail 事件中出現資源標籤變更的延遲：
+ Amazon Chime Voice Connector
+ AWS CloudTrail
+ AWS CodeConnections
+ Amazon DynamoDB
+ Amazon ElastiCache
+ Amazon Keyspaces (適用於 Apache Cassandra)
+ Amazon Kinesis
+ Amazon Lex
+ Amazon MemoryDB
+ Amazon S3
+ Amazon Security Lake
+ AWS Direct Connect
+ AWS IAM Identity Center
+ AWS Key Management Service
+ AWS Lambda
+ AWS Marketplace 廠商洞見
+ AWS Organizations
+ AWS Payment Cryptography
+ Amazon Simple Queue Service

服務中斷也可能導致資源標籤資訊的更新延遲。如果發生服務中斷延遲，後續 CloudTrail 事件將包含 `addendum` 欄位，其中包含資源標籤變更的相關資訊。此額外資訊將依指定使用，以提供富集的 CloudTrailevents。

## AWS 服務 支援 IAM 全域條件金鑰
<a name="condition-keys-supported-services"></a>

下列 AWS 服務 支援擴充事件的 IAM 全域條件索引鍵：
+ AWS Certificate Manager
+ AWS CloudTrail
+ Amazon CloudWatch
+ Amazon CloudWatch Logs
+ AWS CodeBuild
+ AWS CodeCommit
+ AWS CodeDeploy
+ Amazon Cognito Sync
+ Amazon Comprehend
+ Amazon Comprehend Medical
+ Amazon Connect Voice ID
+ AWS Control Tower
+ Amazon Data Firehose
+ Amazon Elastic Block Store
+ Elastic Load Balancing
+ AWS 終端用戶訊息社交服務
+ Amazon EventBridge
+ Amazon EventBridge 排程器
+ Amazon Data Firehose
+ Amazon FSx
+ AWS HealthImaging
+ AWS IoT Events
+ AWS IoT FleetWise
+ AWS IoT SiteWise
+ AWS IoT TwinMaker
+ AWS IoT Wireless
+ Amazon Kendra
+ AWS KMS
+ AWS Lambda
+ AWS License Manager
+ Amazon Lookout for Equipment
+ Amazon Lookout for Vision
+ AWS Network Firewall
+ AWS Payment Cryptography
+ Amazon Personalize
+ AWS Proton
+ Amazon Rekognition
+ Amazon SageMaker AI
+ AWS Secrets Manager
+ Amazon Simple Email Service (Amazon SES)
+ Amazon Simple Notification Service (Amazon SNS)
+ Amazon SQS
+ AWS Step Functions
+ AWS Storage Gateway
+ Amazon SWF
+ AWS Supply Chain
+ Amazon Timestream
+ InfluxDB 的 Amazon Timestream
+ Amazon Transcribe
+ AWS Transfer Family
+ AWS Trusted Advisor
+ Amazon WorkSpaces
+ AWS X-Ray

### 適用於豐富事件的支援 IAM 全域條件索引鍵
<a name="context-event-supported-global-condition-keys"></a>

下表列出 CloudTrail 擴充事件支援的 IAM 全域條件索引鍵，其中包含範例值：


**全域條件金鑰和範例值**  

| 金錀 | 範例值 | 
| --- | --- | 
| aws:FederatedProvider | 「{{IdP}}」 | 
| aws:TokenIssueTime | "{{123456789}}" | 
| aws:MultiFactorAuthAge | "99" | 
| aws:MultiFactorAuthPresent | 「{{true}}」 | 
| aws:SourceIdentity | "{{UserName}}" | 
| aws:PrincipalAccount | "111122223333" | 
| aws:PrincipalArn | "arn：aws：iam：：{{555555555555：role/myRole}}" | 
| aws:PrincipalIsAWSService | "{{false}}" | 
| aws:PrincipalOrgID | "{{o-rganization}}" | 
| aws:PrincipalOrgPaths | 【「{{組織組織/path-of-org}}」】 | 
| aws:PrincipalServiceName | "{{cloudtrail.amazonaws.com}}" | 
| aws:PrincipalServiceNamesList | 【"{{cloudtrail.amazonaws.com"、"s3.amazonaws.com}}"】 | 
| aws:PrincipalType | 「{{AssumedRole}}」 | 
| aws:userid | "{{userid}}" | 
| aws:username | "{{username}}" | 
| aws:RequestedRegion | {{us-east-2}}" | 
| aws:SecureTransport | 「{{true}}」 | 
| aws:ViaAWSService | "{{false}}" | 
| aws:CurrentTime | "{{2025-04-30 15：30：00}}" | 
| aws:EpochTime | "{{1746049800}}" | 
| aws:SourceAccount | "{{111111111111}}" | 
| aws:SourceOrgID | "{{o-rganization}}" | 

## 事件範例
<a name="context-event-examples"></a>

在下列範例中， `eventContext` 欄位包含值`aws:ViaAWSService`為 的 IAM 全域條件金鑰`false`，這表示 API 呼叫不是由 進行 AWS 服務。

```
{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ASIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:sts::123456789012:assumed-role/admin",
        "accountId": "123456789012",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "ASIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::123456789012:role/admin",
                "accountId": "123456789012",
                "userName": "admin"
            },
            "attributes": {
                "creationDate": "2025-01-22T22:05:56Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2025-01-22T22:06:16Z",
    "eventSource": "cloudtrail.amazonaws.com",
    "eventName": "GetTrailStatus",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.168.0.0",
    "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:133.0) Gecko/20100101 Firefox/133.0",
    "requestParameters": {
        "name": "arn:aws:cloudtrail:us-east-1:123456789012:trail/myTrail"
    },
    "responseElements": null,
    "requestID": "d09c4dd2-5698-412b-be7a-example1a23",
    "eventID": "9cb5f426-7806-46e5-9729-exampled135d",
    "readOnly": true,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.3",
        "cipherSuite": "TLS_AES_128_GCM_SHA256",
        "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true",
    "eventContext": {
        "requestContext": {
            "aws:ViaAWSService": "false"
        },
        "tagContext": {}
    }
}
```