Visualización de solicitudes de roles de IAM para tareas de Amazon ECS - Amazon Elastic Container Service

Visualización de solicitudes de roles de IAM para tareas de Amazon ECS

Cuando utiliza un proveedor para las credenciales de las tareas en un rol de IAM, las solicitudes del proveedor se guardan en un registro de auditoría. El registro de auditoría hereda la misma configuración de rotación de registro que el registro del agente de contenedor. Las variables de configuración de agente de contenedor ECS_LOG_ROLLOVER_TYPE, ECS_LOG_MAX_FILE_SIZE_MB y ECS_LOG_MAX_ROLL_COUNT se pueden establecer para que afecten al comportamiento del registro de auditoría. Para obtener más información, consulte Parámetros de configuración del registro del agente de contenedor de Amazon ECS.

Para el agente de contenedor versión 1.36.0 y posterior, el registro de auditoría se encuentra en /var/log/ecs/audit.log. Cuando rota el registro, se agrega una marca temporal en formato YYYY-MM-DD-HH al final del nombre del archivo de registro.

Para el agente de contenedor versión 1.35.0 y anterior, el registro de auditoría se encuentra en /var/log/ecs/audit.log.YYYY-MM-DD-HH.

El formato de entrada de registro es el siguiente:

  • Timestamp

  • Código de respuesta HTTP

  • Dirección IP y número de puerto del origen de solicitud

  • URI relativa del proveedor de credenciales

  • El agente de usuario que realizó la solicitud

  • El ARN de la tarea a la que pertenece el contenedor solicitante

  • El nombre de API GetCredentials y su número de versión

  • El nombre del clúster de Amazon ECS en el que está registrada la instancia de contenedor

  • El ARN de la instancia de contenedor

Puede usar el siguiente comando para ver los archivos de registro.

cat /var/log/ecs/audit.log.2016-07-13-16

Salida:

2016-07-13T16:11:53Z 200 172.17.0.5:52444 "/v1/credentials" "python-requests/2.7.0 CPython/2.7.6 Linux/4.4.14-24.50.amzn1.x86_64" TASK_ARN GetCredentials 1 CLUSTER_NAME CONTAINER_INSTANCE_ARN