Registro de llamadas a la API de Amazon MQ mediante AWS CloudTrail

Amazon MQ está integrado con AWS CloudTrail un servicio que proporciona un registro de las llamadas de Amazon MQ que realiza un usuario, un rol o un servicio. AWS CloudTrail captura las llamadas a la API relacionadas con los corredores y las configuraciones de Amazon MQ como eventos, incluidas las llamadas desde la consola de Amazon MQ y las llamadas en código desde las API de Amazon MQ. Para obtener más información al respecto CloudTrail, consulte la Guía del AWS CloudTrail usuario.

nota

CloudTrail no registra las llamadas a la API relacionadas con las operaciones de ActiveMQ (por ejemplo, el envío y la recepción de mensajes) ni con la consola web ActiveMQ. Para registrar información relacionada con las operaciones de ActiveMQ, puede configurar Amazon MQ para que publique registros generales y de auditoría en Amazon Logs. CloudWatch

Con la información CloudTrail recopilada, puede identificar una solicitud específica a una API de Amazon MQ, la dirección IP del solicitante, la identidad del solicitante, la fecha y hora de la solicitud, etc. Si configura una ruta, puede habilitar la entrega continua de CloudTrail eventos a un bucket de Amazon S3. Si no configura una ruta, puede ver los eventos más recientes en el historial de eventos de la CloudTrail consola. Para obtener más información, consulte Información general acerca de la creación de registros de seguimiento en la Guía del usuario de AWS CloudTrail.

Información de Amazon MQ en CloudTrail

Cuando crea su AWS cuenta, CloudTrail está habilitada. Cuando se produce una actividad de eventos de Amazon MQ compatible, se registra en un CloudTrail evento junto con otros eventos de AWS servicio en el historial de eventos. Puede ver, buscar y descargar los últimos eventos de su cuenta de AWS . Para obtener más información, consulte Visualización de eventos con el historial de CloudTrail eventos en la Guía del AWS CloudTrail usuario.

Un rastro permite CloudTrail entregar archivos de registro a un bucket de Amazon S3. Puede crear un registro para mantener un registro continuo de los eventos en su AWS cuenta. De forma predeterminada, cuando creas una ruta con la AWS Management Console, la ruta se aplica a todas AWS las regiones. La ruta registra los eventos de todas AWS las regiones y entrega los archivos de registro al bucket de Amazon S3 especificado. También puede configurar otros AWS servicios para analizar más a fondo los datos de eventos recopilados en los CloudTrail registros y actuar en función de ellos. Para obtener más información, consulte los siguientes temas en la Guía del usuario de AWS CloudTrail :

• CloudTrail Servicios e integraciones compatibles

• Configuración de las notificaciones de Amazon SNS para CloudTrail

• Recibir archivos de CloudTrail registro de varias regiones

• Recibir archivos de CloudTrail registro de varias cuentas

Amazon MQ admite el registro de los parámetros de solicitud y las respuestas de las siguientes API como eventos en archivos de CloudTrail registro:

• CreateConfiguration

• DeleteBroker

• DeleteUser

• RebootBroker

• UpdateBroker

nota

RebootBroker Los archivos de registro se registran al reiniciar el bróker. Durante el período de mantenimiento, el servicio se reinicia automáticamente y los archivos de RebootBroker registro no se registran.

importante

Para los métodos GET de las siguientes API, los parámetros de solicitud se registran, pero las respuestas se ocultan:

• DescribeBroker

• DescribeConfiguration

• DescribeConfigurationRevision

• DescribeUser

• ListBrokers

• ListConfigurationRevisions

• ListConfigurations

• ListUsers

Para las siguientes API, los parámetros de solicitud data y password se ocultan con asteriscos (***):

• CreateBroker (POST)

• CreateUser (POST)

• UpdateConfiguration (PUT)

• UpdateUser (PUT)

Cada entrada de evento o registro contiene información acerca del solicitante. Esta información le ayuda a determinar lo siguiente:

• ¿La solicitud se realizó con las credenciales del nodo raíz o del usuario de ?

• ¿La solicitud se realizó con credenciales de seguridad temporales de una función o un usuario federado?

• ¿La solicitud la realizó otro AWS servicio?

Para obtener más información, consulte el elemento CloudTrailUserIdentity en la Guía del usuario.AWS CloudTrail

Ejemplo de entrada del archivo de registro de Amazon MQ

Un rastro es una configuración que permite la entrega de eventos como archivos de registro al bucket de Amazon S3 especificado. CloudTrail Los archivos de registro contienen una o más entradas de registro.

Un evento representa una única solicitud de cualquier origen e incluye información sobre la solicitud a una API de Amazon MQ, la dirección IP del solicitante, la identidad del solicitante, la fecha y la hora de la solicitud, etcétera.

El siguiente ejemplo muestra una entrada de CloudTrail registro para una llamada a la CreateBrokerAPI.

nota

Como los archivos de CloudTrail registro no son un rastreo de pila ordenado de las API públicas, no muestran la información en ningún orden específico.

{
    "eventVersion": "1.06",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AKIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
        "accountId": "111122223333",
        "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
        "userName": "AmazonMqConsole"
    },
    "eventTime": "2018-06-28T22:23:46Z",
    "eventSource": "amazonmq.amazonaws.com",
    "eventName": "CreateBroker",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "203.0.113.0",
    "userAgent": "PostmanRuntime/7.1.5",
    "requestParameters": {
        "engineVersion": "5.15.9",
        "deploymentMode": "ACTIVE_STANDBY_MULTI_AZ",
        "maintenanceWindowStartTime": {
            "dayOfWeek": "THURSDAY",
            "timeOfDay": "22:45",
            "timeZone": "America/Los_Angeles"
        },
        "engineType": "ActiveMQ",
        "hostInstanceType": "mq.m5.large",
        "users": [
            {
                "username": "MyUsername123",
                "password": "***",
                "consoleAccess": true,
                "groups": [
                    "admins",
                    "support"
                ]
            },
            {
                "username": "MyUsername456",
                "password": "***",
                "groups": [
                    "admins"
                ]
            }
        ],
        "creatorRequestId": "1",
        "publiclyAccessible": true,
        "securityGroups": [
            "sg-a1b234cd"
        ],
        "brokerName": "MyBroker",
        "autoMinorVersionUpgrade": false,
        "subnetIds": [
            "subnet-12a3b45c",
            "subnet-67d8e90f"
        ]
    },
    "responseElements": {
        "brokerId": "b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9",
        "brokerArn": "arn:aws:mq:us-east-2:123456789012:broker:MyBroker:b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9"
    },
    "requestID": "a1b2c345-6d78-90e1-f2g3-4hi56jk7l890",
    "eventID": "a12bcd3e-fg45-67h8-ij90-12k34d5l16mn",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}