Registro de llamadas a la API de AWS CodeBuild con AWS CloudTrail

AWS CodeBuildse integra conAWS CloudTrail, un servicio que proporciona un registro de las acciones llevadas a cabo por un usuario, un rol o unAWS servicio de en CodeBuild. CloudTrail captura todas las llamadas a la API para CodeBuild , incluidas las llamadas procedentes de la CodeBuild consola y de las llamadas de código a las CodeBuild API. Si crea un registro de seguimiento, puede habilitar la entrega continua de CloudTrail eventos a un bucket de S3, incluidos los eventos de CodeBuild. Si no configura un registro de seguimiento, puede ver los eventos más recientes en la consola de CloudTrail en el Event history (Historial de eventos). Mediante la información que recopila CloudTrail, se puede determinar la solicitud que se envió a CodeBuild, la dirección IP desde la que se realizó la solicitud, quién realizó la solicitud, cuándo la realizó y detalles adicionales.

Para obtener más información CloudTrail, consulte la GuíaAWS CloudTrail del usuario.

AWS CodeBuildinformación en CloudTrail

CloudTrail se habilita en suAWS cuenta de cuando la crea. Cuando se produce una actividad en CodeBuild, dicha actividad se registra en un CloudTrail evento junto con los eventos de los demásAWS servicios de en el Historial de eventos. Puede ver, buscar y descargar los últimos eventos de la cuenta de AWS. Para obtener más información, consulte Visualización de CloudTrail eventos con historial de eventos en la Guía delAWS CloudTrail usuario.

Para mantener un registro continuo de los eventos de CodeBuild, cree un registro de seguimiento.AWS Un registro de seguimiento permite CloudTrail a que pueda enviar archivos de registro a un bucket de S3. De forma predeterminada, cuando se crea un registro de seguimiento en la consola, el registro de seguimiento se aplica a todas las regiones. El registro de seguimiento registra los eventos de todas las regiones de la partición de AWS y envía los archivos de registros al bucket de S3 especificado. También puede configurar otrosAWS servicios de para analizar en profundidad y actuar en función de los datos de eventos recopilados en CloudTrail los registros. Para obtener más información, consulte:

• Introducción a la creación de registros de seguimiento

• CloudTrail servicios e integraciones compatibles

• Configuración de notificaciones de Amazon SNS S S S S S S CloudTrail

• Recibir archivos de CloudTrail registro de varias regiones y Recepción de archivos de CloudTrail registro de varias cuentas

Todas CodeBuild las acciones se registran CloudTrail y documentan en la referencia de laCodeBuild API. Por ejemplo, las llamadas a las accionesCreateProject (en lasAWS CLI,create-project),StartBuild (en lasAWS CLI,start-project) yUpdateProject (en lasAWS CLI,update-project) generan entradas en los archivos de CloudTrail registro.

Cada entrada de registro o evento contiene información sobre quién generó la solicitud. La información de identidad del usuario le ayuda a determinar lo siguiente:

• Si la solicitud se realizó con las credenciales raíz o del usuario de .

• Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.

• Si la solicitud la realizó otro servicio de AWS.

Para obtener más información, consulte el elementoCloudTrail userIdentity de la Guía delAWS CloudTrail usuario.

Descripción de las entradas de los archivos de registro de AWS CodeBuild

Un registro de seguimiento es una configuración que permite la entrega de eventos como archivos de log al bucket de S3 que se especifique. CloudTrail los archivos de registro pueden contener una o varias entradas de registro. Un evento representa una solicitud específica realizada desde un origen y contiene información sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud, etc. CloudTrail Los archivos de registro no son un rastro de la stack ordenado de las llamadas a la API públicas, por lo que no aparecen en ningún orden específico.

nota

Para proteger la información confidencial, en los CodeBuild registros se oculta lo siguiente:

• ID de clave de acceso de AWS. Para obtener más información, consulte Administración de notificaciones de acceso para usuarios de IAM en la GuíaAWS Identity and Access Management de usuario.

• Cadenas especificadas mediante el almacén de parámetros. Para obtener más información, consulte el tutorial sobre el almacén de parámetros de Systems Manager y la consola de almacenamiento de parámetros de Systems Manager en la Guía del usuario de Amazon EC2 Systems Manager.

• Cadenas especificadas medianteAWS Secrets Manager. Para obtener más información, consulte Administración de claves.

En el siguiente ejemplo, se muestra una entrada de CloudTrail registro que ilustra la creación de un proyecto de compilación en CodeBuild.

{    
  "eventVersion": "1.05",   
  "userIdentity": {       
    "type": "FederatedUser",       
    "principalId": "account-ID:user-name",       
    "arn": "arn:aws:sts::account-ID:federated-user/user-name",       
    "accountId": "account-ID",       
    "accessKeyId": "access-key-ID",       
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2016-09-06T17:59:10Z"
      },
      "sessionIssuer": {
        "type": "IAMUser",
        "principalId": "access-key-ID",
        "arn": "arn:aws:iam::account-ID:user/user-name",
        "accountId": "account-ID",
        "userName": "user-name"
      }       
    }   
  },   
  "eventTime": "2016-09-06T17:59:11Z",   
  "eventSource": "codebuild.amazonaws.com",   
  "eventName": "CreateProject",   
  "awsRegion": "region-ID",   
  "sourceIPAddress": "127.0.0.1",   
  "userAgent": "user-agent",   
  "requestParameters": {       
    "awsActId": "account-ID"   
  },   
  "responseElements": {       
    "project": {
      "environment": {
        "image": "image-ID",
        "computeType": "BUILD_GENERAL1_SMALL",
        "type": "LINUX_CONTAINER",
        "environmentVariables": []
      },
      "name": "codebuild-demo-project",
      "description": "This is my demo project",
      "arn": "arn:aws:codebuild:region-ID:account-ID:project/codebuild-demo-project:project-ID",
      "encryptionKey": "arn:aws:kms:region-ID:key-ID",
      "timeoutInMinutes": 10,
      "artifacts": {
        "location": "arn:aws:s3:::codebuild-region-ID-account-ID-output-bucket",
        "type": "S3",
        "packaging": "ZIP",
        "outputName": "MyOutputArtifact.zip"
      }, 
      "serviceRole": "arn:aws:iam::account-ID:role/CodeBuildServiceRole",
      "lastModified": "Sep 6, 2016 10:59:11 AM",
      "source": {      
        "type": "GITHUB",
        "location": "https://github.com/my-repo.git"
      },
      "created": "Sep 6, 2016 10:59:11 AM"       
    }   
  },   
  "requestID": "9d32b228-745b-11e6-98bb-23b67EXAMPLE",   
  "eventID": "581f7dd1-8d2e-40b0-aeee-0dbf7EXAMPLE",   
  "eventType": "AwsApiCall",   
  "recipientAccountId": "account-ID" 
}