Journalisation des appels d'API Amazon EFS avec AWS CloudTrail - Amazon Elastic File System

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Journalisation des appels d'API Amazon EFS avec AWS CloudTrail

Amazon EFS est intégré à AWS CloudTrail un service qui fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un AWS service dans Amazon EFS. CloudTrail capture tous les appels d'API pour Amazon EFS sous forme d'événements, y compris les appels depuis la console Amazon EFS et les appels de code vers les opérations d'API Amazon EFS.

Si vous créez un suivi, vous pouvez activer la diffusion continue d' CloudTrail événements vers un compartiment Amazon S3, y compris des événements pour Amazon EFS. Si vous ne configurez pas de suivi, vous pouvez toujours consulter les événements les plus récents dans la CloudTrail console dans Historique des événements. À l'aide des informations collectées par CloudTrail, vous pouvez déterminer la demande envoyée à Amazon EFS, l'adresse IP à partir de laquelle la demande a été faite, l'auteur de la demande, la date à laquelle elle a été faite et des informations supplémentaires.

Pour plus d'informations, consultez le AWS CloudTrailGuide de l'utilisateur .

Informations Amazon EFS dans CloudTrail

CloudTrail est activé sur votre compte Compte AWS lorsque vous créez le compte. Lorsqu'une activité se produit dans Amazon EFS, cette activité est enregistrée dans un CloudTrail événement avec d'autres événements de AWS service dans l'historique des événements. Vous pouvez afficher, rechercher et télécharger les événements récents dans votre Compte AWS. Pour plus d'informations, consultez la section Affichage des événements à l'aide de l'historique des CloudTrail événements.

Pour un enregistrement continu des événements de votre entrepriseCompte AWS, y compris des événements relatifs à Amazon EFS, créez un suivi. Un suivi permet CloudTrail de fournir des fichiers journaux à un compartiment Amazon S3. Par défaut, lorsque vous créez un journal d'activité dans la console, il s'applique à toutes les régions Région AWS. Le journal de suivi consigne les événements de toutes les Régions AWS dans la partition AWS et transfère les fichiers journaux dans le compartiment Amazon S3 de votre choix. En outre, vous pouvez configurer d'autres AWS services pour analyser plus en détail les données d'événements collectées dans les CloudTrail journaux et agir en conséquence. Pour plus d'informations, consultez les rubriques suivantes dans le AWS CloudTrailGuide de l'utilisateur :

Tous les appels d'API Amazon EFS sont enregistrés par CloudTrail. Par exemple, les appels aux CreateFileSystem CreateTags opérations CreateMountTarget et les opérations génèrent des entrées dans les fichiers CloudTrail journaux.

Chaque événement ou entrée de journal contient des informations sur la personne ayant initié la demande. Les informations relatives à l'identité permettent de déterminer :

  • Si la demande a été faite avec les informations d'identification de l'utilisateur root ou de l'utilisateur AWS Identity and Access Management (IAM).

  • Si la demande a été effectuée avec les informations d'identification de sécurité temporaires d'un rôle ou d'un utilisateur fédéré.

  • Si la requête a été effectuée par un autre service AWS.

Pour en savoir plus, consultez Élément userIdentity CloudTrail dans le Guide de l'utilisateur AWS CloudTrail.

Comprendre les entrées du fichier journal Amazon EFS

Un suivi est une configuration qui permet de transmettre des événements sous forme de fichiers journaux à un compartiment Amazon S3 que vous spécifiez. CloudTrail les fichiers journaux contiennent une ou plusieurs entrées de journal. Un événement représente une demande unique provenant de n'importe quelle source et inclut des informations sur l'action demandée, la date et l'heure de l'action, les paramètres de la demande, etc. CloudTrail les fichiers journaux ne constituent pas une trace ordonnée des appels d'API publics, ils n'apparaissent donc pas dans un ordre spécifique.

L'exemple suivant montre une entrée de CloudTrail journal qui illustre le CreateTags fonctionnement lors de la création d'une balise pour un système de fichiers à partir de la console.

{ "eventVersion": "1.06", "userIdentity": { "type": "Root", "principalId": "111122223333", "arn": "arn:aws:iam::111122223333:root", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2017-03-01T18:02:37Z" } } }, "eventTime": "2017-03-01T19:25:47Z", "eventSource": "elasticfilesystem.amazonaws.com", "eventName": "CreateTags", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "userAgent": "console.amazonaws.com", "requestParameters": { "fileSystemId": "fs-00112233", "tags": [{ "key": "TagName", "value": "AnotherNewTag" } ] }, "responseElements": null, "requestID": "dEXAMPLE-feb4-11e6-85f0-736EXAMPLE75", "eventID": "eEXAMPLE-2d32-4619-bd00-657EXAMPLEe4", "eventType": "AwsApiCall", "apiVersion": "2015-02-01", "recipientAccountId": "111122223333" }

L'exemple suivant montre une entrée de CloudTrail journal qui illustre l'DeleteTagsaction à effectuer lorsqu'une balise d'un système de fichiers est supprimée de la console.

{ "eventVersion": "1.06", "userIdentity": { "type": "Root", "principalId": "111122223333", "arn": "arn:aws:iam::111122223333:root", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2017-03-01T18:02:37Z" } } }, "eventTime": "2017-03-01T19:25:47Z", "eventSource": "elasticfilesystem.amazonaws.com", "eventName": "DeleteTags", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "userAgent": "console.amazonaws.com", "requestParameters": { "fileSystemId": "fs-00112233", "tagKeys": [] }, "responseElements": null, "requestID": "dEXAMPLE-feb4-11e6-85f0-736EXAMPLE75", "eventID": "eEXAMPLE-2d32-4619-bd00-657EXAMPLEe4", "eventType": "AwsApiCall", "apiVersion": "2015-02-01", "recipientAccountId": "111122223333" }

Entrées de journal pour les rôles liés à un service EFS

Le rôle lié au service Amazon EFS effectue des appels d'API vers AWS des ressources. Vous verrez les entrées du CloudTrail journal relatives username: AWSServiceRoleForAmazonElasticFileSystem aux appels effectués par le rôle lié au service EFS. Pour plus d'informations sur l'EFS et les rôles liés à un service, consultez. Utilisation des rôles liés à un service pour Amazon EFS

L'exemple suivant montre une entrée de CloudTrail journal qui illustre une CreateServiceLinkedRole action lorsqu'Amazon EFS crée le rôle AWSServiceRoleForAmazonElasticFileSystem lié à un service.

{     "eventVersion": "1.05",     "userIdentity": {         "type": "IAMUser",         "principalId": "111122223333",         "arn": "arn:aws:iam::111122223333:user/user1",         "accountId": "111122223333",         "accessKeyId": "A111122223333",         "userName": "user1",         "sessionContext": {             "attributes": {                 "mfaAuthenticated": "false",                 "creationDate": "2019-10-23T22:45:41Z"             }         },         "invokedBy": "elasticfilesystem.amazonaws.com”     },     "eventTime": "2019-10-23T22:45:41Z",     "eventSource": "iam.amazonaws.com",     "eventName": "CreateServiceLinkedRole",     "awsRegion": "us-east-1",     "sourceIPAddress": "192.0.2.0",     "userAgent": "user_agent",     "requestParameters": {         "aWSServiceName": "elasticfilesystem.amazonaws.com”     },     "responseElements": {         "role": {             "assumeRolePolicyDocument": "111122223333-10-111122223333Statement111122223333Action111122223333AssumeRole111122223333Effect%22%3A%20%22Allow%22%2C%20%22Principal%22%3A%20%7B%22Service%22%3A%20%5B%22 elasticfilesystem.amazonaws.com%22%5D%7D%7D%5D%7D",             "arn": "arn:aws:iam::111122223333:role/aws-service-role/elasticfilesystem.amazonaws.com/AWSServiceRoleForAmazonElasticFileSystem",             "roleId": "111122223333",             "createDate": "Oct 23, 2019 10:45:41 PM",             "roleName": "AWSServiceRoleForAmazonElasticFileSystem",             "path": "/aws-service-role/elasticfilesystem.amazonaws.com/“         }     },     "requestID": "11111111-2222-3333-4444-abcdef123456",     "eventID": "11111111-2222-3333-4444-abcdef123456",     "eventType": "AwsApiCall",     "recipientAccountId": "111122223333" }

L'exemple suivant montre une entrée de CloudTrail journal illustrant une CreateNetworkInterface action effectuée par le rôle AWSServiceRoleForAmazonElasticFileSystem lié à un service, indiquée dans le. sessionContext

{     "eventVersion": "1.05",     "userIdentity": {         "type": "AssumedRole",         "principalId": "AIDACKCEVSQ6C2EXAMPLE",         "arn": "arn:aws:sts::0123456789ab:assumed-role/AWSServiceRoleForAmazonElasticFileSystem/0123456789ab",         "accountId": "0123456789ab",         "sessionContext": {             "sessionIssuer": {                 "type": "Role",                 "principalId": "AIDACKCEVSQ6C2EXAMPLE",                 "arn": "arn:aws:iam::0123456789ab:role/aws-service-role/elasticfilesystem.amazonaws.com/AWSServiceRoleForAmazonElasticFileSystem",                 "accountId": "0123456789ab",                 "userName": "AWSServiceRoleForAmazonElasticFileSystem"             },             "webIdFederationData": {},             "attributes": {                 "mfaAuthenticated": "false",                 "creationDate": "2019-10-23T22:50:05Z"             }         },         "invokedBy": "AWS Internal"     },     "eventTime": "20You 19-10-23T22:50:05Z",     "eventSource": "ec2.amazonaws.com",     "eventName": "CreateNetworkInterface",     "awsRegion": "us-east-1",     "sourceIPAddress": "elasticfilesystem.amazonaws.com”,     "userAgent": "elasticfilesystem.amazonaws.com",     "requestParameters": {         "subnetId": "subnet-71e2f83a",         "description": "EFS mount target for fs-1234567 (fsmt-1234567)",         "groupSet": {},         "privateIpAddressesSet": {}     },     "responseElements": {         "requestId": "0708e4ad-03f6-4802-b4ce-4ba987d94b8d",         "networkInterface": {             "networkInterfaceId": "eni-0123456789abcdef0",             "subnetId": "subnet-12345678",             "vpcId": "vpc-01234567",             "availabilityZone": "us-east-1b",             "description": "EFS mount target for fs-1234567 (fsmt-1234567)",             "ownerId": "666051418590",             "requesterId": "0123456789ab",             "requesterManaged": true,             "status": "pending",             "macAddress": "00:bb:ee:ff:aa:cc",             "privateIpAddress": "192.0.2.0",             "privateDnsName": "ip-192-0-2-0.ec2.internal",             "sourceDestCheck": true,             "groupSet": {                 "items": [                     {                         "groupId": "sg-c16d65b6",                         "groupName": "default"                     }                 ]             },             "privateIpAddressesSet": {                 "item": [                     {                         "privateIpAddress": "192.0.2.0",                         "primary": true                     }                 ]             },             "tagSet": {}         }     },     "requestID": "11112222-3333-4444-5555-666666777777",     "eventID": "aaaabbbb-1111-2222-3333-444444555555",     "eventType": "AwsApiCall",     "recipientAccountId": "111122223333" }

Entrées de journal pour l'authentification EFS

Autorisation Amazon EFS pour les émissions NewClientConnection et UpdateClientConnection CloudTrail les événements des clients NFS. Un événement NewClientConnection est émis lorsqu'une connexion est autorisée immédiatement après une connexion initiale et immédiatement après une reconnexion. Un UpdateClientConnection est émis lorsqu'une connexion est réautorisée et que la liste des actions autorisées a changé. L'événement est également émis lorsque la nouvelle liste d'actions autorisées n'inclut pasClientMount. Pour plus d'informations sur l'autorisation EFS, consultezUtilisation d'IAM pour contrôler l'accès aux données du système de fichiers.

L'exemple suivant montre une entrée de CloudTrail journal illustrant un NewClientConnection événement.

{ "eventVersion": "1.05", "userIdentity": { "type": "AssumedRole", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:sts::0123456789ab:assumed-role/abcdef0123456789", "accountId": "0123456789ab", "accessKeyId": "AKIAIOSFODNN7EXAMPLE ", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::0123456789ab:role/us-east-2", "accountId": "0123456789ab", "userName": "username" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2019-12-23T17:50:16Z" }, "ec2RoleDelivery": "1.0" } }, "eventTime": "2019-12-23T18:02:12Z", "eventSource": "elasticfilesystem.amazonaws.com", "eventName": "NewClientConnection", "awsRegion": "us-east-2", "sourceIPAddress": "AWS Internal", "userAgent": "elasticfilesystem", "requestParameters": null, "responseElements": null, "eventID": "27859ac9-053c-4112-aee3-f3429719d460", "readOnly": true, "resources": [ { "accountId": "0123456789ab", "type": "AWS::EFS::FileSystem", "ARN": "arn:aws:elasticfilesystem:us-east-2:0123456789ab:file-system/fs-01234567" }, { "accountId": "0123456789ab", "type": "AWS::EFS::AccessPoint", "ARN": "arn:aws:elasticfilesystem:us-east-2:0123456789ab:access-point/fsap-0123456789abcdef0" } ], "eventType": "AwsServiceEvent", "recipientAccountId": "0123456789ab", "serviceEventDetails": { "permissions": { "ClientRootAccess": true, "ClientMount": true, "ClientWrite": true }, "sourceIpAddress": "10.7.3.72" } }

Entrées du fichier journal Amazon EFS pour les systèmes de encrypted-at-rest fichiers

Amazon EFS vous donne la possibilité d'utiliser le chiffrement au repos, le chiffrement en transit, ou les deux, pour vos systèmes de fichiers. Pour plus d'informations, veuillez consulter Chiffrement des données dans Amazon EFS.

Amazon EFS envoie un contexte de chiffrement lors de demandes AWS KMS d'API pour générer des clés de données et déchiffrer les données Amazon EFS. L'ID du système de fichiers est le contexte de chiffrement de tous les systèmes de fichiers qui sont chiffrées au repos. Dans le requestParameters champ d'une entrée de CloudTrail journal, le contexte de chiffrement est similaire au suivant.

"EncryptionContextEquals": {} "aws:elasticfilesystem:filesystem:id" : "fs-4EXAMPLE"