Registro de llamadas a la API de AWS Systems Manager con AWS CloudTrail - AWS Systems Manager
Información sobre el administrador de sistemas en CloudTrailDescripción de las entradas del archivo de registros de Systems Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Registro de llamadas a la API de AWS Systems Manager con AWS CloudTrail

AWS Systems Managerestá integrado conAWS CloudTrail, un servicio que proporciona un registro de las acciones realizadas por un usuario, un rol o unServicio de AWSen Systems Manager. CloudTrail captura las llamadas a las API de Systems Manager como eventos, incluidas las llamadas iniciadas desde la consola de Systems Manager y las llamadas realizadas a las API de Systems Manager. Si crea una ruta, puede activar la entrega continua de CloudTrail eventos a un bucket de S3, incluidos los eventos de Systems Manager. Si no configura un registro, podrá ver los eventos más recientes en el CloudTrail consola enHistorial de eventos. Uso de la información recopilada por CloudTrail, puede determinar la solicitud que se realizó a Systems Manager, la dirección IP desde la que se realizó la solicitud, quién la realizó, cuándo se realizó y detalles adicionales.

Para obtener más información sobre CloudTrail, consulte laAWS CloudTrailGuía del usuario.

Información sobre el administrador de sistemas en CloudTrail

CloudTrail está activado en suCuenta de AWSal crear la cuenta. Cuando se produce una actividad en Systems Manager, esa actividad se registra en un CloudTrail evento junto con otrosServicio de AWSeventos enHistorial de eventos. Puede ver, buscar y descargar los últimos eventos de la Cuenta de AWS. Para obtener más información, consulteVisualización de eventos con CloudTrail Historial de eventosen elAWS CloudTrailGuía del usuario.

Para mantener un registro continuo de los eventos de la Cuenta de AWS, incluidos los eventos de Systems Manager, cree un registro de seguimiento. Un sendero permite CloudTrail para entregar los archivos de registro a un depósito de S3. De forma predeterminada, cuando se crea un registro de seguimiento en la consola, el registro de seguimiento se aplica a todas las Regiones de AWS. El registro de seguimiento registra los eventos de todas las regiones de la partición de AWS y envía los archivos de registro al bucket de S3 especificado. Además, puede configurar otrosServicios de AWSpara analizar más a fondo los datos del evento recopilados en CloudTrail registros. Para obtener más información, consulte:

La mayoría de las operaciones de la API de Systems Manager las registra CloudTrail y están documentadas en elAWS Systems ManagerReferencia de la API. Por ejemplo, las llamadas alCreateMaintenanceWindows,PutInventory,SendCommand, yStartSessionlas acciones generan entradas en el CloudTrail archivos de registro. Para ver un ejemplo de configuración CloudTrail para supervisar una llamada a la API de Systems Manager, consulteMonitoreo de la actividad de la sesión con Amazon EventBridge (consola) .

Cada entrada de registro o evento contiene información que lo ayuda a determinar quién generó la solicitud.

  • Usuario raíz de la cuenta de AWS

  • Credenciales de seguridad temporales de un rol de AWS Identity and Access Management (IAM) o de un usuario federado.

  • Credenciales de seguridad a largo plazo de un usuario de IAM.

  • Otro servicio de AWS.

Para obtener más información, consulte el elemento userIdentity de CloudTrail .

Descripción de las entradas del archivo de registros de Systems Manager

Un registro es una configuración que permite la entrega de eventos como archivos de registro a un bucket de S3 que usted especifique. CloudTrail Los archivos de registro contienen una o más entradas de registro. Un evento representa una solicitud única de cualquier fuente e incluye información sobre la operación solicitada, la fecha y la hora de la operación, los parámetros de la solicitud, etc. CloudTrail Los archivos de registro no son un seguimiento ordenado de las llamadas a las API públicas, por lo que no se muestran en ningún orden específico.

Ejemplo 1: DeleteDocument

En el siguiente ejemplo, se muestra un CloudTrail entrada de registro que demuestra laDeleteDocumentoperación en un documento denominadoexample-Documenten la región Este de EE. UU. (Ohio) (us-east-2).

{
    "eventVersion": "1.04",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AKIAI44QH8DHBEXAMPLE:203.0.113.11",
        "arn": "arn:aws:sts::123456789012:assumed-role/example-role/203.0.113.11",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2018-03-06T20:19:16Z"
            },
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AKIAI44QH8DHBEXAMPLE",
                "arn": "arn:aws:iam::123456789012:role/example-role",
                "accountId": "123456789012",
                "userName": "example-role"
            }
        }
    },
    "eventTime": "2018-03-06T20:30:12Z",
    "eventSource": "ssm.amazonaws.com",
    "eventName": "DeleteDocument",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "203.0.113.11",
    "userAgent": "example-user-agent-string",
    "requestParameters": {
        "name": "example-Document"
    },
    "responseElements": null,
    "requestID": "86168559-75e9-11e4-8cf8-75d18EXAMPLE",
    "eventID": "832b82d5-d474-44e8-a51d-093ccEXAMPLE",
    "resources": [
        {
            "ARN": "arn:aws:ssm:us-east-2:123456789012:document/example-Document",
            "accountId": "123456789012"
        }
    ],
    "eventType": "AwsApiCall",
    "recipientAccountId": "123456789012"
}
Ejemplo 2: StartConnection

El siguiente ejemplo muestra un CloudTrail entrada de registro para un usuario que inicia una conexión RDP medianteFleet Manageren la región Este de EE. UU. (Ohio) (us-east-2). La acción de la API subyacente es StartConnection.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AKIAI44QH8DHBEXAMPLE",
        "arn": "arn:aws:sts::123456789012:assumed-role/exampleRole",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AKIAI44QH8DHBEXAMPLE",
                "arn": "arn:aws:sts::123456789012:assumed-role/exampleRole",
                "accountId": "123456789012",
                "userName": "exampleRole"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2021-12-13T14:57:05Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2021-12-13T16:50:41Z",
    "eventSource": "ssm-guiconnect.amazonaws.com",
    "eventName": "StartConnection",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "34.230.45.60",
    "userAgent": "example-user-agent-string",
    "requestParameters": {
        "AuthType": "Credentials",
        "Protocol": "RDP",
        "ConnectionType": "SessionManager",
        "InstanceId": "i-02573cafcfEXAMPLE"
    },
    "responseElements": {
        "ConnectionArn": "arn:aws:ssm-guiconnect:us-east-2:123456789012:connection/fcb810cd-241f-4aae-9ee4-02d59EXAMPLE",
        "ConnectionKey": "71f9629f-0f9a-4b35-92f2-2d253EXAMPLE",
        "ClientToken": "49af0f92-d637-4d47-9c54-ea51aEXAMPLE",
        "requestId": "d466710f-2adf-4e87-9464-055b2EXAMPLE"
    },
    "requestID": "d466710f-2adf-4e87-9464-055b2EXAMPLE",
    "eventID": "fc514f57-ba19-4e8b-9079-c2913EXAMPLE",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}