Step Functions API Functions-Aufrufe aufzeichnen mit AWS CloudTrail - AWS Step Functions

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Step Functions API Functions-Aufrufe aufzeichnen mit AWS CloudTrail

AWS Step Functions ist integriert in AWS CloudTrail, ein Dienst, der eine Aufzeichnung der Aktionen bereitstellt, die von einem Benutzer, einer Rolle oder einem AWS-Service. CloudTrail erfasst alle API Aufrufe von Step Functions als Ereignisse. Zu den erfassten Aufrufen gehören Aufrufe von der Step Functions Functions-Konsole und Code-Aufrufe der Step Functions API Functions-Operationen. Anhand der von gesammelten Informationen können Sie die Anfrage CloudTrail, die an Step Functions gestellt wurde, die IP-Adresse, von der aus die Anfrage gestellt wurde, wann sie gestellt wurde, und weitere Details ermitteln.

Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:

  • Ob die Anfrage mit Anmeldeinformationen des Root-Benutzers oder des Benutzers gestellt wurde.

  • Ob die Anfrage im Namen eines IAM Identity Center-Benutzers gestellt wurde.

  • Gibt an, ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen Verbundbenutzer gesendet wurde.

  • Ob die Anfrage von einem anderen gestellt wurde AWS-Service.

CloudTrail ist aktiv in deinem AWS-Konto wenn Sie das Konto erstellen und Sie automatisch Zugriff auf den CloudTrail Event-Verlauf haben. Der CloudTrail Ereignisverlauf bietet eine einsehbare, durchsuchbare, herunterladbare und unveränderliche Aufzeichnung der aufgezeichneten Verwaltungsereignisse der letzten 90 Tage in einem AWS-Region. Weitere Informationen finden Sie unter Arbeiten mit dem CloudTrail Ereignisverlauf in der AWS CloudTrail Benutzerleitfaden. Für die Anzeige des Eventverlaufs CloudTrail fallen keine Gebühren an.

Für eine fortlaufende Aufzeichnung der Ereignisse in Ihrem AWS-Konto Erstellen Sie einen Trail- oder CloudTrailLake-Event-Datenspeicher der letzten 90 Tage.

CloudTrail Pfade

Ein Trail ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Alle Pfade wurden mit dem erstellt AWS Management Console sind regionsübergreifend. Sie können einen Pfad mit einer oder mehreren Regionen erstellen, indem Sie den AWS CLI. Es wird empfohlen, einen Wanderweg mit mehreren Regionen zu erstellen, da Sie alle Aktivitäten erfassen AWS-Regionen in deinem Konto. Wenn du einen Trail mit nur einer Region erstellst, kannst du dir nur die Ereignisse ansehen, die in den Trails protokolliert wurden AWS-Region. Weitere Informationen zu Pfaden findest du unter Einen Trail für dich erstellen AWS-Kontound Einen Trail für eine Organisation erstellen in der AWS CloudTrail Benutzerleitfaden.

Sie können eine Kopie Ihrer laufenden Verwaltungsereignisse kostenlos an Ihren Amazon S3 S3-Bucket senden, CloudTrail indem Sie einen Trail erstellen. Es fallen jedoch Amazon S3 S3-Speichergebühren an. Weitere Informationen zur CloudTrail Preisgestaltung finden Sie unter AWS CloudTrail Preisgestaltung. Informationen zu Amazon-S3-Preisen finden Sie unter Amazon S3-Preise.

CloudTrail Datenspeicher für Ereignisse in Lake

CloudTrail Mit Lake können Sie SQL basierte Abfragen zu Ihren Ereignissen ausführen. CloudTrail Lake konvertiert bestehende Ereignisse im zeilenbasierten JSON Format in das ORCApache-Format. ORCist ein spaltenförmiges Speicherformat, das für den schnellen Abruf von Daten optimiert ist. Die Ereignisse werden in Ereignisdatenspeichern zusammengefasst, bei denen es sich um unveränderliche Sammlungen von Ereignissen handelt, die auf Kriterien basieren, die Sie mit Hilfe von erweiterten Ereignisselektoren auswählen. Die Selektoren, die Sie auf einen Ereignisdatenspeicher anwenden, steuern, welche Ereignisse bestehen bleiben und für Sie zur Abfrage verfügbar sind. Weitere Informationen zu CloudTrail Lake finden Sie unter Arbeiten mit AWS CloudTrail See im AWS CloudTrail Benutzerleitfaden.

CloudTrail Für Datenspeicher und Abfragen von Ereignissen in Lake fallen Kosten an. Beim Erstellen eines Ereignisdatenspeichers wählen Sie die Preisoption aus, die für den Ereignisdatenspeicher genutzt werden soll. Die Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauer für den Ereignisdatenspeicher. Weitere Informationen zur CloudTrail Preisgestaltung finden Sie unter AWS CloudTrail Preisgestaltung.

Datenereignisse in CloudTrail

Datenereignisse liefern Informationen über die Ressourcenoperationen, die auf oder in einer Ressource ausgeführt werden (z. B. Lesen oder Schreiben in ein Amazon-S3-Objekt). Sie werden auch als Vorgänge auf Datenebene bezeichnet. Datenereignisse sind oft Aktivitäten mit hohem Volume. Protokolliert standardmäßig CloudTrail keine Datenereignisse. Der CloudTrail Ereignisverlauf zeichnet keine Datenereignisse auf.

Für Datenereignisse werden zusätzliche Gebühren fällig. Weitere Informationen zur CloudTrail Preisgestaltung finden Sie unter AWS CloudTrail Preisgestaltung.

Sie können Datenereignisse für die Ressourcentypen von Step Functions mithilfe der CloudTrail Konsole protokollieren. AWS CLI, oder CloudTrail API Operationen. Weitere Informationen zum Protokollieren von Datenereignissen finden Sie unter Protokollieren von Datenereignissen mit AWS Management Consoleund Protokollieren von Datenereignissen mit AWS Command Line Interface in der AWS CloudTrail Benutzerleitfaden.

In der folgenden Tabelle sind die Ressourcentypen von Step Functions aufgeführt, für die Sie Datenereignisse protokollieren können. In der Spalte Datenereignistyp wird der Wert angezeigt, den Sie in der Liste Datenereignistyp auf der CloudTrail Konsole auswählen können. In der Wertspalte resources.type wird der resources.type Wert angezeigt, den Sie angeben würden, wenn Sie erweiterte Event-Selektoren mit dem AWS CLI oder. CloudTrail APIs In der CloudTrail Spalte APIsProtokollierte Daten werden die API Aufrufe angezeigt, die CloudTrail für den Ressourcentyp protokolliert wurden.

Sie können erweiterte Ereignisauswahlen so konfigurieren, dass sie nach den resources.ARN FelderneventName, und filternreadOnly, sodass nur die Ereignisse protokolliert werden, die für Sie wichtig sind. Weitere Informationen zu diesen Feldern finden Sie unter AdvancedFieldSelector in der AWS CloudTrail APIReferenz.

Art des Datenereignisses resources.type-Wert Daten APIs wurden protokolliert CloudTrail
Step-Functions-Zustandsautomat AWS::StepFunctions::StateMachine
  • InvokeHTTPEndpoint

Verwaltungsereignisse in CloudTrail

Verwaltungsereignisse bieten Informationen über Verwaltungsvorgänge, die mit Ressourcen in Ihrem AWS-Konto. Diese Operationen werden auch als Operationen auf Steuerungsebene bezeichnet. In der Standardeinstellung werden Verwaltungsereignisse CloudTrail protokolliert.

State Machine (Zustandsautomat)

Alias der Zustandsmaschine

Zustandsmaschinen-Version

Hinrichtungen

Aktivität

Aufgaben-Token

MapRun

Tags

Beispiele für Ereignisse

Ein Ereignis stellt eine einzelne Anforderung aus einer beliebigen Quelle dar und enthält Informationen über den angeforderten API Vorgang, Datum und Uhrzeit des Vorgangs, Anforderungsparameter usw. CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API Aufrufe, sodass Ereignisse nicht in einer bestimmten Reihenfolge angezeigt werden.

Das folgende Beispiel zeigt ein CloudTrail Datenereignis, das demonstriertInvokeHTTPEndpoint.

{ "eventVersion": "1.09", "userIdentity": { "accountId": "123456789012", "invokedBy": "states.amazonaws.com" }, "eventTime": "2024-05-01T01:23:45Z", "eventSource": "states.amazonaws.com", "eventName": "InvokeHTTPEndpoint", "awsRegion": "us-east-1", "sourceIPAddress": "states.amazonaws.com", "userAgent": "states.amazonaws.com", "requestParameters": null, "responseElements": null, "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa", "readOnly": false, "resources": [ { "accountId": "123456789012", "type": "AWS::StepFunctions::StateMachine", "ARN": "arn:aws:states:us-east-1:123456789012:stateMachine:ExampleStateMachine" } ], "eventType": "AwsServiceEvent", "managementEvent": false, "recipientAccountId": "123456789012", "serviceEventDetails": { "httpMethod": "GET", "httpEndpoint": "https://example.com" }, "eventCategory": "Data" }

Das folgende Beispiel zeigt ein CloudTrail Verwaltungsereignis, das den CreateStateMachine Vorgang demonstriert.

{ "eventVersion": "1.08", "userIdentity": { "type": "IAMUser", "principalId": "AIDAJYDLDBVBI4EXAMPLE", "arn": "arn:aws:iam::123456789012:user/test-user", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "test-user" }, "eventTime": "2024-05-01T01:23:45Z", "eventSource": "states.amazonaws.com", "eventName": "CreateStateMachine", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "requestParameters": { "name": "MyStateMachine", "definition": "HIDDEN_DUE_TO_SECURITY_REASONS", "roleArn": "arn:aws:iam::123456789012:role/MyStateMachineRole", "type": "STANDARD", "loggingConfiguration": { "level": "OFF", "includeExecutionData": false }, "tags": [], "tracingConfiguration": { "enabled": false }, "publish": false }, "responseElements": { "stateMachineArn": "arn:aws:states:us-east-1:123456789012:stateMachine:MyStateMachine", "creationDate": "May 1, 2024 1:23:45 AM" }, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management" }

Informationen zu CloudTrail Datensatzinhalten finden Sie unter CloudTrailDatensatzinhalt im AWS CloudTrail Benutzerleitfaden.