操作审计支持查询阿里云对象存储OSS(Object Storage Service)中存储空间(Bucket)的部分管控事件。您可以快速查询管控事件并获取事件发生的时间、地域、关联的存储空间(Bucket)等信息。本文为您举例说明OSS相关事件。
OSS存储空间(Bucket)管控事件列表,请参见特殊云服务事件说明。
创建存储空间
阿里云账号通过控制台创建存储空间
以下示例表示,在北京时间2021年08月09日16:24:43,阿里云账号
189217171671****调用PutBucket接口创建了OSS存储空间test-123。{ "eventId": "6110E64B004C4034363CDC5E", "eventVersion": 1, "eventSource": "test-123.oss-cn-hangzhou-cross.aliyuncs.com", "sourceIpAddress": "Internal", "eventType": "ApiCall", "referencedResources": { "ACS::OSS::Bucket": [ "test-123" ] }, "userIdentity": { "accountId": "189217171671****", "principalId": "189217171671****", "type": "root-account", "userName": "root" }, "serviceName": "Oss", "additionalEventData": { "CallerBid": "26842" }, "requestId": "6110E64B004C4034363CDC5E", "eventTime": "2021-08-09T08:24:43Z", "isGlobal": false, "acsRegion": "cn-hangzhou", "eventName": "PutBucket" }示例中关键字段含义如下:
userIdentity.type:请求者的身份类型。取值为root-account,表示阿里云账号。serviceName:事件相关的阿里云服务名称。取值为Oss,表示对象存储OSS。eventName:事件名称。取值为PutBucket,表示创建存储空间。referencedResources:事件影响的资源列表。取值为{"ACS::OSS::Bucket": ["test-123"]},表示存储空间名称为test-123。acsRegion:事件发生的地域。取值为cn-hangzhou,表示杭州地域。eventTime:事件发生的时间(UTC格式)。取值为2021-08-09T08:24:43Z,表示北京时间2021年08月09日16:24:43。
RAM用户通过控制台创建存储空间
以下示例表示,在北京时间2021年08月09日16:47:02,RAM用户
Alice调用PutBucket接口在杭州地域创建了OSS存储空间test-123。{ "eventId": "6110EB86141D4F39389301A2", "eventVersion": 1, "eventSource": "test-123.oss-cn-hangzhou-cross.aliyuncs.com", "sourceIpAddress": "Internal", "eventType": "ApiCall", "referencedResources": { "ACS::OSS::Bucket": [ "test-123" ] }, "userIdentity": { "accountId": "189217171671****", "principalId": "26135379175722****", "type": "ram-user", "userName": "Alice" }, "serviceName": "Oss", "additionalEventData": { "CallerBid": "26842" }, "requestId": "6110EB86141D4F39389301A2", "eventTime": "2021-08-09T08:47:02Z", "isGlobal": false, "acsRegion": "cn-hangzhou", "eventName": "PutBucket" }示例中关键字段含义如下:
userIdentity.type:请求者的身份类型。取值为ram-user,表示RAM用户。userIdentity.userName:请求者的RAM用户名称。serviceName:事件相关的阿里云服务名称。取值为Oss,表示对象存储OSS。eventName:事件名称。取值为PutBucket,表示创建存储空间。referencedResources:事件影响的资源列表。取值为{"ACS::OSS::Bucket": ["test-123"]},表示存储空间名称为test-123。acsRegion:事件发生的地域。取值为cn-hangzhou,表示杭州地域。eventTime:事件发生的时间(UTC格式)。取值为2021-08-09T08:47:02Z,表示北京时间2021年08月09日16:47:02。
RAM用户通过AK调用API创建存储空间
以下示例表示,在北京时间2021年08月09日16:41:04,RAM用户
Alice通过AKLTAI4FimByATXqiFP9ni****调用PutBucket接口在杭州地域创建了OSS存储空间test-123。{ "eventId": "6110EA20EEC7423834B49315", "eventVersion": 1, "eventSource": "test-123.oss-cn-hangzhou.aliyuncs.com", "sourceIpAddress": "192.168.XX.XX", "eventType": "ApiCall", "referencedResources": { "ACS::OSS::Bucket": [ "test-123" ] }, "userIdentity": { "accessKeyId": "LTAI****************", "accountId": "127894427633****", "principalId": "22111447899160****", "type": "ram-user", "userName": "Alice" }, "serviceName": "Oss", "additionalEventData": { "CallerBid": "26842" }, "requestId": "6110EA20EEC7423834B49315", "eventTime": "2021-08-09T08:41:04Z", "isGlobal": false, "acsRegion": "cn-hangzhou", "eventName": "PutBucket" }示例中关键字段含义如下:
userIdentity.accessKeyId:发起API调用的AccessKey ID。取值为LTAI****************。userIdentity.principalId:AK所属的账号ID。取值为22111447899160****。userIdentity.type:请求者的身份类型。取值为ram-user,表示RAM用户。serviceName:事件相关的阿里云服务名称。取值为Oss,表示对象存储OSS。eventName:事件名称。取值为PutBucket,表示创建存储空间。referencedResources:事件影响的资源列表。取值为{"ACS::OSS::Bucket": ["test-123"]},表示存储空间名称为test-123。acsRegion:事件发生的地域。取值为cn-hangzhou,表示杭州地域。eventTime:事件发生的时间(UTC格式)。取值为2021-08-09T08:41:04Z,表示北京时间2021年08月09日16:41:04。
RAM用户通过角色扮演创建存储空间
以下示例表示,在北京时间2021年08月09日16:49:20,阿里云账号
189217171671****中的RAM用户通过扮演自己账号下的RAM角色oss-role,调用PutBucket接口在杭州地域创建了OSS存储空间test-123。{ "eventId": "6110EC1086A4803039D44C7A", "eventVersion": 1, "eventSource": "test-123.oss-cn-hangzhou-cross.aliyuncs.com", "requestParameters": { "stsTokenPlayerUid": "189217171671****" }, "sourceIpAddress": "Internal", "eventType": "ApiCall", "referencedResources": { "ACS::OSS::Bucket": [ "test-123" ] }, "userIdentity": { "accessKeyId": "STS.****************", "accountId": "189217171671****", "principalId": "39484351102463****:roleTest123", "type": "assumed-role", "userName": "oss-role:roleTest123" }, "serviceName": "Oss", "additionalEventData": { "CallerBid": "26842" }, "requestId": "6110EC1086A4803039D44C7A", "eventTime": "2021-08-09T08:49:20Z", "isGlobal": false, "acsRegion": "cn-hangzhou", "eventName": "PutBucket" }示例中关键字段含义如下:
userIdentity.type:请求者的身份类型。取值为assumed-role,表示RAM角色。userIdentity.userName:请求者的用户名。格式为{roleName}:{sessionName},roleName表示被扮演的角色名称,sessionName表示进行角色扮演时指定的名称。取值为oss-role:roleTest123,表示被扮演的RAM角色名称是oss-role,进行角色扮演时指定的名称为roleTest123。requestParameters.stsTokenPlayerUid:扮演者的阿里云账号ID。取值为189217171671****。referencedResources:事件影响的资源列表。取值为{"ACS::OSS::Bucket": ["test-123"]},表示OSS存储空间名称为test-123。serviceName:事件相关的阿里云服务名称。取值为Oss,表示对象存储OSS。eventName:事件名称。取值为PutBucket,表示创建存储空间。acsRegion:事件发生的地域。取值为cn-hangzhou,表示杭州地域。eventTime:事件发生的时间(UTC格式)。取值为2021-08-09T08:49:20Z,表示北京时间2021年08月09日16:49:20。
删除存储空间
阿里云账号通过控制台删除存储空间
以下示例表示,在北京时间2021年08月09日16:26:56,阿里云账号
189217171671****调用DeleteBucket接口删除了OSS存储空间test-123。{ "eventId": "6110E6D0E310653237000581", "eventVersion": 1, "eventSource": "test-123.oss-cn-hangzhou-cross.aliyuncs.com", "sourceIpAddress": "Internal", "eventType": "ApiCall", "referencedResources": { "ACS::OSS::Bucket": [ "test-123" ] }, "userIdentity": { "accountId": "189217171671****", "principalId": "189217171671****", "type": "root-account", "userName": "root" }, "serviceName": "Oss", "additionalEventData": { "CallerBid": "26842" }, "requestId": "6110E6D0E310653237000581", "eventTime": "2021-08-09T08:26:56Z", "isGlobal": false, "acsRegion": "cn-hangzhou", "eventName": "DeleteBucket" }示例中关键字段含义如下:
userIdentity.type:请求者的身份类型。取值为root-account,表示阿里云账号。serviceName:事件相关的阿里云服务名称。取值为Oss,表示对象存储OSS。eventName:事件名称。取值为DeleteBucket,表示删除存储空间。referencedResources:事件影响的资源列表。取值为{"ACS::OSS::Bucket": ["test-123"]},表示存储空间名称为test-123。acsRegion:事件发生的地域。取值为cn-hangzhou,表示杭州地域。eventTime:事件发生的时间(UTC格式)。取值为2021-08-09T08:26:56Z,表示北京时间2021年08月09日16:26:56。
RAM用户通过控制台删除存储空间
以下示例表示,在北京时间2021年08月09日16:47:11,RAM用户
Alice调用DeleteBucket接口在杭州地域删除了OSS存储空间test-123。{ "eventId": "6110EB8F7912BA33318EFEC6", "eventVersion": 1, "eventSource": "test-123.oss-cn-hangzhou-cross.aliyuncs.com", "sourceIpAddress": "Internal", "eventType": "ApiCall", "referencedResources": { "ACS::OSS::Bucket": [ "test-123" ] }, "userIdentity": { "accountId": "189217171671****", "principalId": "26135379175722****", "type": "ram-user", "userName": "Alice" }, "serviceName": "Oss", "additionalEventData": { "CallerBid": "26842" }, "requestId": "6110EB8F7912BA33318EFEC6", "eventTime": "2021-08-09T08:47:11Z", "isGlobal": false, "acsRegion": "cn-hangzhou", "eventName": "DeleteBucket" }示例中关键字段含义如下:
userIdentity.type:请求者的身份类型。取值为ram-user,表示RAM用户。userIdentity.userName:请求者的RAM用户名称。serviceName:事件相关的阿里云服务名称。取值为Oss,表示对象存储OSS。eventName:事件名称。取值为DeleteBucket,表示删除存储空间。referencedResources:事件影响的资源列表。取值为{"ACS::OSS::Bucket": ["test-123"]},表示存储空间名称为test-123。acsRegion:事件发生的地域。取值为cn-hangzhou,表示杭州地域。eventTime:事件发生的时间(UTC格式)。取值为2021-08-09T08:47:11Z,表示北京时间2021年08月09日16:47:11。
RAM用户通过AK调用API删除存储空间
以下示例表示,在北京时间2021年08月09日17:14:50,RAM用户
Alice通过AKLTAI4G2wxd32KLGARfid****调用DeleteBucket接口在杭州地域删除了OSS存储空间test-123。{ "eventId": "6110F20A1B319838338E95DB", "eventVersion": 1, "eventSource": "test-123.oss-cn-hangzhou-internal.aliyuncs.com", "sourceIpAddress": "192.168.XX.XX", "eventType": "ApiCall", "referencedResources": { "ACS::OSS::Bucket": [ "test-123" ] }, "userIdentity": { "accessKeyId": "LTAI****************", "accountId": "184538913914****", "principalId": "24576749206513****", "type": "ram-user", "userName": "Alice" }, "serviceName": "Oss", "additionalEventData": { "CallerBid": "26842" }, "requestId": "6110F20A1B319838338E95DB", "eventTime": "2021-08-09T09:14:50Z", "isGlobal": false, "acsRegion": "cn-hangzhou", "eventName": "DeleteBucket" }示例中关键字段含义如下:
userIdentity.accessKeyId:发起API调用的AccessKey ID。取值为LTAI****************。userIdentity.principalId:AK所属的账号ID。取值为24576749206513****。userIdentity.type:请求者的身份类型。取值为ram-user,表示RAM用户。serviceName:事件相关的阿里云服务名称。取值为Oss,表示对象存储OSS。eventName:事件名称。取值为DeleteBucket,表示删除存储空间。referencedResources:事件影响的资源列表。取值为{"ACS::OSS::Bucket": ["test-123"]},表示存储空间名称为test-123。acsRegion:事件发生的地域。取值为cn-hangzhou,表示杭州地域。eventTime:事件发生的时间(UTC格式)。取值为2021-08-09T09:14:50Z,表示北京时间2021年08月09日17:14:50。
RAM用户通过角色扮演删除存储空间
以下示例表示,在北京时间2021年08月09日16:49:27,阿里云账号
189217171671****中的RAM用户通过扮演自己账号下的RAM角色oss-role,调用DeleteBucket接口在杭州地域删除了OSS存储空间test-123。{ "eventId": "6110EC176C9A3A31332831C7", "eventVersion": 1, "eventSource": "test-123.oss-cn-hangzhou-cross.aliyuncs.com", "requestParameters": { "stsTokenPlayerUid": "189217171671****" }, "sourceIpAddress": "Internal", "eventType": "ApiCall", "referencedResources": { "ACS::OSS::Bucket": [ "test-123" ] }, "userIdentity": { "accessKeyId": "STS.****************", "accountId": "189217171671****", "principalId": "39484351102463****:roleTest123", "type": "assumed-role", "userName": "oss-role:roleTest123" }, "serviceName": "Oss", "additionalEventData": { "CallerBid": "26842" }, "requestId": "6110EC176C9A3A31332831C7", "eventTime": "2021-08-09T08:49:27Z", "isGlobal": false, "acsRegion": "cn-hangzhou", "eventName": "DeleteBucket" }示例中关键字段含义如下:
userIdentity.type:请求者的身份类型。取值为assumed-role,表示RAM角色。userIdentity.userName:请求者的用户名。格式为{roleName}:{sessionName},roleName表示被扮演的角色名称,sessionName表示进行角色扮演时指定的名称。取值为oss-role:roleTest123,表示被扮演的RAM角色名称是oss-role,进行角色扮演时指定的名称为roleTest123。requestParameters.stsTokenPlayerUid:扮演者的阿里云账号ID。取值为189217171671****。referencedResources:事件影响的资源列表。取值为{"ACS::OSS::Bucket": ["test-123"]},表示OSS存储空间名称为test-123。serviceName:事件相关的阿里云服务名称。取值为Oss,表示对象存储OSS。eventName:事件名称。取值为DeleteBucket,表示删除存储空间。acsRegion:事件发生的地域。取值为cn-hangzhou,表示杭州地域。eventTime:事件发生的时间(UTC格式)。取值为2021-08-09T08:49:27Z,表示北京时间2021年08月09日16:49:27。