实测 AWS 日志延迟:IAM 用户权限变更事件追踪

本文通过实际测试 AWS CloudTrail 日志服务,记录了 IAM 服务中“AddUserToGroup”事件的日志生成延迟。测试表明,这一全局服务操作事件在 us-east-1 区域产生,延迟约为 2 分钟,远快于官方 SLA 的 15 分钟要求。

每日博客 #811:测试 AWS 日志延迟 - 修改用户权限

作者:David Cowen

2025年4月17日

你好,读者。

延续我们关于 AWS CloudTrail 速度测试的系列,今天的测试聚焦于一个新的 IAM 相关操作:AddUserToGroup。当您通过将 IAM 用户分配到一个组来修改其权限(这将授予该用户额外的权限)时,会产生此事件。

第四次测试:AWS AddUserToGroup 事件

今天的测试场景涉及通过将 IAM 用户添加到一个组来更改账户权限。这是一种通过组策略授予新权限的常见方式。一旦用户被添加到组中,AddUserToGroup 事件预期会出现在 CloudTrail 中。

与之前的 IAM 测试一样,这引出了一个问题:事件会出现在哪个区域?由于 IAM 是一个全球服务,AWS 文档指出,无论 API 调用源自何处,此类活动都将在 us-east-1 区域记录。

结果

启动操作并开始计时后,AddUserToGroup 事件正好在 2 分钟后出现在 us-east-1 区域。

这个结果与我们之前的 IAM 测试结果一致,并且再次证明了 CloudTrail 记录 IAM 事件的速度远快于 AWS 官方的服务等级协议(SLA):

  • 比 15 分钟的 SLA 要求更快。
  • 比关键事件的 5 分钟“目标”更快,但比我们观察过的其他事件要慢。

后续计划

在明天的帖子中,我将继续测试 IAM 活动——下一个主题是:将用户从组中移除。请持续关注以了解性能是否保持一致!

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次