Journalisation des appels d’API Amazon MQ à l’aide de AWS CloudTrail

Amazon MQ est intégré à AWS CloudTrail un service qui fournit un enregistrement des appels Amazon MQ effectués par un utilisateur, un rôle ou un service. AWS CloudTrail capture les appels d'API liés aux courtiers et aux configurations Amazon MQ sous forme d'événements, y compris les appels depuis la console Amazon MQ et les appels de code depuis les API Amazon MQ. Pour plus d'informations CloudTrail, consultez le guide de AWS CloudTrail l'utilisateur.

Note

CloudTrail n'enregistre pas les appels d'API liés aux opérations ActiveMQ (par exemple, l'envoi et la réception de messages) ou à la console Web ActiveMQ. Pour enregistrer les informations relatives aux opérations ActiveMQ, vous pouvez configurer Amazon MQ pour publier des journaux généraux et d'audit sur Amazon Logs. CloudWatch

À l'aide des informations CloudTrail collectées, vous pouvez identifier une demande spécifique adressée à une API Amazon MQ, l'adresse IP du demandeur, son identité, la date et l'heure de la demande, etc. Si vous configurez un suivi, vous pouvez activer la diffusion continue des CloudTrail événements vers un compartiment Amazon S3. Si vous ne configurez pas de suivi, vous pouvez consulter les événements les plus récents dans l'historique des événements de la CloudTrail console. Pour plus d'informations, consultez Présentation de la création d'un journal de suivi dans le Guide de l'utilisateur AWS CloudTrail.

Informations sur Amazon MQ dans CloudTrail

Lorsque vous créez votre AWS compte, CloudTrail est activé. Lorsqu'une activité d'événement Amazon MQ prise en charge se produit, elle est enregistrée dans un CloudTrail événement avec d'autres événements de AWS service dans l'historique des événements. Vous pouvez afficher, rechercher et télécharger les événements récents pour votre compte AWS . Pour plus d'informations, consultez la section Affichage des événements avec l'historique des CloudTrail événements dans le guide de AWS CloudTrail l'utilisateur.

Un suivi permet CloudTrail de transférer des fichiers journaux vers un compartiment Amazon S3. Vous pouvez créer un parcours pour conserver une trace continue des événements sur votre AWS compte. Par défaut, lorsque vous créez un parcours à l'aide du AWS Management Console, le parcours s'applique à toutes les AWS régions. Le journal enregistre les événements de toutes les AWS régions et envoie les fichiers journaux au compartiment Amazon S3 spécifié. Vous pouvez également configurer d'autres AWS services pour analyser plus en détail les données d'événements collectées dans les CloudTrail journaux et agir en conséquence. Pour plus d’informations, consultez les rubriques suivantes dans le AWS CloudTrail Guide de l’utilisateur :

• CloudTrail Services et intégrations pris en charge

• Configuration des notifications Amazon SNS pour CloudTrail

• Réception de fichiers CloudTrail journaux provenant de plusieurs régions

• Réception de fichiers CloudTrail journaux provenant de plusieurs comptes

Amazon MQ prend en charge l'enregistrement des paramètres de demande et des réponses pour les API suivantes sous forme d'événements dans des fichiers CloudTrail journaux :

• CreateConfiguration

• DeleteBroker

• DeleteUser

• RebootBroker

• UpdateBroker

Note

RebootBroker les fichiers journaux sont enregistrés lorsque vous redémarrez le broker. Pendant la fenêtre de maintenance, le service redémarre automatiquement et les fichiers RebootBroker journaux ne sont pas enregistrés.

Important

Pour les méthodes GET des API suivantes, les paramètres de la demande sont consignés, mais les réponses sont supprimées :

• DescribeBroker

• DescribeConfiguration

• DescribeConfigurationRevision

• DescribeUser

• ListBrokers

• ListConfigurationRevisions

• ListConfigurations

• ListUsers

Pour les API suivantes, les paramètres de la demande data et password sont masqués par des astérisques (***) :

• CreateBroker (POST)

• CreateUser (POST)

• UpdateConfiguration (PUT)

• UpdateUser (PUT)

Chaque événement ou entrée de journal contient des informations sur le demandeur. Cette information permet de déterminer les éléments suivants :

• La demande a-t-elle été effectuée avec les informations d'identification racine ou de l'utilisateur  ?

• La demande a-t-elle été effectuée avec des informations d'identification de sécurité temporaires pour un rôle ou un utilisateur fédéré ?

• La demande a-t-elle été faite par un autre AWS service ?

Pour plus d'informations, consultez la section CloudTrailUserIdentity Element dans le guide de l'AWS CloudTrail utilisateur.

Exemple d'entrée de fichier journal Amazon MQ

Un suivi est une configuration qui permet de transmettre des événements sous forme de fichiers journaux au compartiment Amazon S3 spécifié. CloudTrail les fichiers journaux contiennent une ou plusieurs entrées de journal.

Un événement représente une demande individuelle provenant de n’importe quelle source et comprend des informations sur la demande à une API Amazon MQ, l’adresse IP du demandeur, l’identité du demandeur, la date et l’heure de l’action, etc.

L'exemple suivant montre une entrée de CloudTrail journal pour un appel d'CreateBrokerAPI.

Note

Comme les fichiers CloudTrail journaux ne constituent pas une trace ordonnée des API publiques, ils ne répertorient pas les informations dans un ordre spécifique.

{
    "eventVersion": "1.06",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AKIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:iam::111122223333:user/AmazonMqConsole",
        "accountId": "111122223333",
        "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
        "userName": "AmazonMqConsole"
    },
    "eventTime": "2018-06-28T22:23:46Z",
    "eventSource": "amazonmq.amazonaws.com",
    "eventName": "CreateBroker",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "203.0.113.0",
    "userAgent": "PostmanRuntime/7.1.5",
    "requestParameters": {
        "engineVersion": "5.15.9",
        "deploymentMode": "ACTIVE_STANDBY_MULTI_AZ",
        "maintenanceWindowStartTime": {
            "dayOfWeek": "THURSDAY",
            "timeOfDay": "22:45",
            "timeZone": "America/Los_Angeles"
        },
        "engineType": "ActiveMQ",
        "hostInstanceType": "mq.m5.large",
        "users": [
            {
                "username": "MyUsername123",
                "password": "***",
                "consoleAccess": true,
                "groups": [
                    "admins",
                    "support"
                ]
            },
            {
                "username": "MyUsername456",
                "password": "***",
                "groups": [
                    "admins"
                ]
            }
        ],
        "creatorRequestId": "1",
        "publiclyAccessible": true,
        "securityGroups": [
            "sg-a1b234cd"
        ],
        "brokerName": "MyBroker",
        "autoMinorVersionUpgrade": false,
        "subnetIds": [
            "subnet-12a3b45c",
            "subnet-67d8e90f"
        ]
    },
    "responseElements": {
        "brokerId": "b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9",
        "brokerArn": "arn:aws:mq:us-east-2:123456789012:broker:MyBroker:b-1234a5b6-78cd-901e-2fgh-3i45j6k178l9"
    },
    "requestID": "a1b2c345-6d78-90e1-f2g3-4hi56jk7l890",
    "eventID": "a12bcd3e-fg45-67h8-ij90-12k34d5l16mn",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}