Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Enregistrez les appels d'API Amazon EC2 et Amazon EBS avec AWS CloudTrail
Amazon EC2 et Amazon EBS sont intégrés à AWS CloudTrail un service qui fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un AWS service dans Amazon EC2 et Amazon EBS. CloudTrail capture tous les appels d'API pour Amazon EC2 et Amazon EBS sous forme d'événements, y compris les appels depuis la console et les appels de code vers les API. Si vous créez un suivi, vous pouvez activer la diffusion continue d' CloudTrail événements vers un compartiment Amazon S3, y compris des événements pour Amazon EC2 et Amazon EBS. Si vous ne configurez pas de suivi, vous pouvez toujours consulter les événements les plus récents dans la CloudTrail console dans Historique des événements. À l'aide des informations collectées par CloudTrail, vous pouvez déterminer la demande qui a été envoyée à Amazon EC2 et Amazon EBS, l'adresse IP à partir de laquelle la demande a été faite, l'auteur de la demande, la date à laquelle elle a été faite, ainsi que des informations supplémentaires.
Pour en savoir plus CloudTrail, consultez le guide de AWS CloudTrail l'utilisateur.
Informations Amazon EC2 et Amazon EBS dans CloudTrail
CloudTrail est activé sur votre compte Compte AWS lorsque vous créez le compte. Lorsqu'une activité se produit dans Amazon EC2 et Amazon EBS, cette activité est enregistrée dans un CloudTrail événement avec d'autres Service AWS événements dans l'historique des événements. Vous pouvez afficher, rechercher et télécharger les événements récents dans votre Compte AWS. Pour plus d'informations, consultez la section Affichage des événements à l'aide de l'historique des CloudTrail événements.
Pour obtenir un registre continu des événements dans votre Compte AWS, y compris les événements pour Amazon EC2 et Amazon EBS, créez un journal d’activité. Un suivi permet CloudTrail de fournir des fichiers journaux à un compartiment Amazon S3. Par défaut, lorsque vous créez un journal d’activité dans la console, il s’applique à toutes les régions Régions AWS. Le journal enregistre les événements de toutes les régions de la AWS partition et transmet les fichiers journaux au compartiment Amazon S3 que vous spécifiez. En outre, vous pouvez configurer d'autres AWS services pour analyser plus en détail les données d'événements collectées dans les CloudTrail journaux et agir en conséquence. Pour plus d’informations, consultez :
Toutes les actions Amazon EC2 et les actions de gestion Amazon EBS sont enregistrées CloudTrail et documentées dans le manuel Amazon EC2 API Reference. Par exemple, les appels au RunInstancesDescribeInstances, ou CreateImageles actions génèrent des entrées dans les fichiers CloudTrail journaux.
Chaque événement ou entrée de journal contient des informations sur la personne ayant initié la demande. Les informations relatives à l’identité permettent de déterminer :
-
Si la demande a été effectuée avec des informations d’identification d’utilisateur root ou d’utilisateur IAM.
-
Si la demande a été effectuée avec les informations d’identification de sécurité temporaires d’un rôle ou d’un utilisateur fédéré.
-
Si la requête a été effectuée par un autre Service AWS.
Pour plus d'informations, consultez l'CloudTrailuserIdentityélément.
Se familiariser avec les entrées du fichier journal Amazon EC2 et Amazon EBS
Un suivi est une configuration qui permet de transmettre des événements sous forme de fichiers journaux à un compartiment Amazon S3 que vous spécifiez. CloudTrail les fichiers journaux contiennent une ou plusieurs entrées de journal. Un événement représente une demande unique provenant de n'importe quelle source et inclut des informations sur l'action demandée, la date et l'heure de l'action, les paramètres de la demande, etc. CloudTrail les fichiers journaux ne constituent pas une trace ordonnée des appels d'API publics, ils n'apparaissent donc pas dans un ordre spécifique.
L’enregistrement de fichier journal suivant montre qu’un utilisateur a résilié une instance.
{
"Records":[
{
"eventVersion":"1.03",
"userIdentity":{
"type":"Root",
"principalId":"123456789012",
"arn":"arn:aws:iam::123456789012:root",
"accountId":"123456789012",
"accessKeyId":"AKIAIOSFODNN7EXAMPLE",
"userName":"user"
},
"eventTime":"2016-05-20T08:27:45Z",
"eventSource":"ec2.amazonaws.com",
"eventName":"TerminateInstances",
"awsRegion":"us-west-2",
"sourceIPAddress":"198.51.100.1",
"userAgent":"aws-cli/1.10.10 Python/2.7.9 Windows/7botocore/1.4.1",
"requestParameters":{
"instancesSet":{
"items":[{
"instanceId":"i-1a2b3c4d"
}]
}
},
"responseElements":{
"instancesSet":{
"items":[{
"instanceId":"i-1a2b3c4d",
"currentState":{
"code":32,
"name":"shutting-down"
},
"previousState":{
"code":16,
"name":"running"
}
}]
}
},
"requestID":"be112233-1ba5-4ae0-8e2b-1c302EXAMPLE",
"eventID":"6e12345-2a4e-417c-aa78-7594fEXAMPLE",
"eventType":"AwsApiCall",
"recipientAccountId":"123456789012"
}
]
}AWS CloudTrail À utiliser pour auditer les utilisateurs qui se connectent via EC2 Instance Connect
AWS CloudTrail À utiliser pour auditer les utilisateurs qui se connectent à vos instances via EC2 Instance Connect.
Pour auditer l'activité SSH via EC2 Instance Connect à l'aide de la console AWS CloudTrail
-
Ouvrez la AWS CloudTrail console à l'adressehttps://console.aws.amazon.com/cloudtrail/
. -
Vérifiez que vous êtes dans la région correcte.
-
Dans le volet de navigation, sélectionnez Event history (Historique des événements).
-
Pour Filter (Filtre), choisissez Event source (Source de l’événement), ec2-instance-connect.amazonaws.com.
-
(Facultatif) Pour Time range (Plage de temps), sélectionnez une plage de temps.
-
Choisissez l’icône Refresh events (Actualiser les événements).
-
La page affiche les événements correspondant aux appels d’API SendSSHPublicKey. Développez un événement à l'aide de la flèche pour afficher des détails supplémentaires, tels que le nom d'utilisateur et la clé d' AWS accès utilisés pour établir la connexion SSH, ainsi que l'adresse IP source.
-
Pour afficher toutes les informations sur l’événement au format JSON, choisissez Afficher l’événement. Le champ requestParameters contient l’ID de l’instance de destination, le nom d’utilisateur OS et la clé publique qui ont été utilisés pour établir la connexion SSH.
{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "ABCDEFGONGNOMOOCB6XYTQEXAMPLE", "arn": "arn:aws:iam::1234567890120:user/IAM-friendly-name", "accountId": "123456789012", "accessKeyId": "ABCDEFGUKZHNAW4OSN2AEXAMPLE", "userName": "IAM-friendly-name", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2018-09-21T21:37:58Z"} } }, "eventTime": "2018-09-21T21:38:00Z", "eventSource": "ec2-instance-connect.amazonaws.com", "eventName": "SendSSHPublicKey ", "awsRegion": "us-west-2", "sourceIPAddress": "123.456.789.012", "userAgent": "aws-cli/1.15.61 Python/2.7.10 Darwin/16.7.0 botocore/1.10.60", "requestParameters": { "instanceId": "i-0123456789EXAMPLE", "osUser": "ec2-user", "SSHKey": { "publicKey": "ssh-rsa ABCDEFGHIJKLMNO01234567890EXAMPLE" } }, "responseElements": null, "requestID": "1a2s3d4f-bde6-11e8-a892-f7ec64543add", "eventID": "1a2w3d4r5-a88f-4e28-b3bf-30161f75be34", "eventType": "AwsApiCall", "recipientAccountId": "0987654321" }Si vous avez configuré votre AWS compte pour collecter des CloudTrail événements dans un compartiment S3, vous pouvez télécharger et auditer les informations par programmation. Pour plus d'informations, consultez la section Obtenir et consulter vos fichiers CloudTrail journaux dans le guide de AWS CloudTrail l'utilisateur.
