操作审计支持多种方式查询AccessKey相关的事件详情。您可以通过AccessKey审计功能查询AccessKey访问的云服务、相关IP地址等信息,也可以使用事件查询功能查询AccessKey的事件记录详情。本文为您介绍如何查询AccessKey访问的云服务、AccessKey的详细调用记录,并为您提供AccessKey审计事件的补充说明信息。
查询AccessKey访问的云服务
支持查询自AccessKey审计上线后,指定AccessKey访问过的所有云服务。
数据存在一定的延迟(一般小时级),请务必谨慎对AccessKey做变更处理。
登录操作审计控制台。
在左侧导航栏,单击AccessKey审计。
在AccessKey审计页面,输入AccessKey ID,然后单击
图标,即可查询AccessKey相关信息,包括AccessKey所属的RAM用户、访问过的云服务和最后使用时间。
按需查询事件列表、IP列表和资源列表。
查询AccessKey的详细调用记录
AccessKey访问云服务的具体事件仅支持查询操作审计支持的云服务和事件。更多信息,请参见操作审计支持的云服务和事件。
登录操作审计控制台。
在左侧导航栏,单击事件查询。
在顶部导航栏选择您想查询事件的地域。
在事件查询页面,设置查询条件为AccessKey ID,然后输入需要查询的AccessKey ID。
设置查询的时间范围,然后单击
图标。(可选)如果阿里云账号已启用事件高级查询,您可以在操作审计控制台选择,查询全地域下AccessKey的调用记录。
说明事件高级查询仅支持查询部分详细事件。
您可以使用简单查询模式并设置查询条件为AccessKey ID,然后输入需要查询的AccessKey ID,选择需要查询的时间范围,最后单击运行。
您也可以关闭简单查询模式,输入event.userIdentity.accessKeyId:*条件语句,选择需要查询的时间范围,并单击运行。
补充说明
操作审计支持查询AccessKey访问过的所有阿里云服务,但AccessKey访问云服务的具体事件仅支持查询操作审计支持的云服务和事件。更多信息,请参见操作审计支持的云服务和事件。
如果在查询过程中发现AccessKey已经访问云服务,但事件列表、IP列表和资源列表中无具体信息或最后时间无法对应,说明该云服务或事件暂未支持。
相关文档
你还可以启用高级查询功能,并使用系统模板查询AccessKey相关事件详情。具体操作,请参见查询阿里云账号或AccessKey相关事件。
你还可以使用SQL查询模式,设置查询条件查询AccessKey相关的事件。具体操作,请参见自定义查询事件。