Journalisation des appels d'API Amazon SNS à l'aide de CloudTrail

Amazon SNS est intégré à AWS CloudTrail, un service qui enregistre les actions effectuées par un utilisateur, un rôle ou un service AWS dans Amazon SNS. CloudTrail enregistre les appels d'API pour Amazon SNS en tant qu'évènements. Les appels enregistrés incluent les appels de la console Amazon SNS et les appels de code vers les opérations d'API Amazon SNS. Si vous créez un journal de suivi, vous pouvez activer la livraison continue des évènements CloudTrail dans un compartiment Amazon S3, y compris les évènements pour Amazon SNS. Si vous ne configurez pas de journal d'activité, vous pouvez toujours afficher les événements les plus récents dans la console CloudTrail dans Event history (Historique des événements). Avec les informations collectées par CloudTrail, vous pouvez déterminer la demande qui a été envoyée à Amazon SNS, l'adresse IP à partir de laquelle la demande a été effectuée, l'auteur et la date de la demande, ainsi que d'autres détails.

Pour en savoir plus sur CloudTrail, y compris la façon de le configurer et de l'activer, consultez le AWS CloudTrail Guide de l'utilisateur.

Informations relatives à Amazon SNS dans CloudTrail

CloudTrail est activé dans votre Compte AWS lors de la création de ce dernier. Quand une activité d'évènement prise en charge a lieu dans Amazon SNS, elle est enregistrée dans un évènement CloudTrail avec d'autres évènements de service AWS dans l'Historique des évènements. Vous pouvez afficher, rechercher et télécharger les événements récents dans votre Compte AWS. Pour plus d'informations, veuillez consulter Affichage des évènements avec l'historique des évènements CloudTrail.

Pour un enregistrement continu des évènements dans votre Compte AWS, y compris les évènements pour Amazon SNS, créez un journal d'activité. Un journal de suivi permet à CloudTrail de livrer des fichiers journaux dans un compartiment Amazon S3. Par défaut, lorsque vous créez un journal de suivi dans la console, il s'applique à toutes les régions AWS. Le journal de suivi consigne les événements de toutes les Régions dans la partition AWS et livre les fichiers journaux dans le compartiment Amazon S3 de votre choix. En outre, vous pouvez configurer d'autres services AWS pour analyser et agir sur les données d'événements collectées dans les journaux CloudTrail. Pour en savoir plus, consultez les ressources suivantes :

• Présentation de la création d'un journal d'activité

• Intégrations et services pris en charge par CloudTrail

• Configuration des Notifications de Amazon SNS pour CloudTrail

• Réception des fichiers journaux CloudTrail de plusieurs régions et Réception des fichiers journaux CloudTrail de plusieurs comptes

Contrôler les événements de plan dans CloudTrail

Amazon SNS prend en charge la journalisation des actions suivantes en tant qu'évènements dans des fichiers journaux CloudTrail :

• AddPermission

• CheckIfPhoneNumberIsOptedOut

• ConfirmSubscription

• CreatePlatformApplication

• CreatePlatformEndpoint

• CreateSMSSandboxPhoneNumber

• CreateTopic

• DeleteEndpoint

• DeletePlatformApplication

• DeleteSMSSandboxPhoneNumber

• DeleteTopic

• GetDataProtectionPolicy

• GetEndpointAttributes

• GetPlatformApplicationAttributes

• GetSMSAttributes

• GetSMSSandboxAccountStatus

• GetSubscriptionAttributes

• GetTopicAttributes

• ListEndpointsByPlatformApplication

• ListOriginationNumbers

• ListPhoneNumbersOptedOut

• ListPlatformApplications

• ListSMSSandboxPhoneNumbers

• ListSubscriptions

• ListSubscriptionsByTopic

• ListTagsForResource

• ListTopics

• OptInPhoneNumber

• PutDataProtectionPolicy

• RemovePermission

• SetEndpointAttributes

• SetPlatformApplicationAttributes

• SetSMSAttributes

• SetSubscriptionAttributes

• SetTopicAttributes

• Subscribe

• TagResource

• Unsubscribe

• UntagResource

• VerifySMSSandboxPhoneNumber

Note

Lorsque vous n'êtes pas connecté à Amazon Web Services (mode non authentifié) et que les actions ConfirmSubscription ou Unsubscribe sont appelées, elles ne sont pas journalisées dans CloudTrail. Ainsi, lorsque vous choisissez le lien fourni dans une notification par e-mail afin de confirmer un abonnement en attente à une rubrique, l'action ConfirmSubscription est appelée en mode non authentifié. Dans cet exemple, l'action ConfirmSubscription n'est pas journalisée dans CloudTrail.

Chaque événement ou entrée de journal contient des informations sur la personne ayant initié la demande. Les informations relatives à l'identité permettent de déterminer les éléments suivants :

• Si la demande a été effectuée avec les informations d'identification utilisateur racine ou AWS Identity and Access Management (IAM).

• Si la demande a été effectuée avec les informations d'identification de sécurité temporaires d'un rôle ou d'un utilisateur fédéré.

• Si la requête a été effectuée par un autre service AWS.

Pour plus d'informations, consultez l'élément userIdentity CloudTrail.

Événements de plan de données dans CloudTrail

Pour activer la journalisation des actions d'API suivantes dans des fichiers CloudTrail, vous devez activer la journalisation de l'activité de l'API de plan de données dans CloudTrail. Pour plus d'informations, consultez Journalisation des événements de données dans le Guide de l'utilisateur AWS CloudTrail.

Les événements de plan de données peuvent également être filtrés par type de ressource pour un contrôle détaillé sur les appels d'API Amazon SNS que vous souhaitez journaliser et payer de manière sélective dans CloudTrail. Par exemple, en spécifiant le type de ressource AWS::SNS::Topic, vous pouvez journaliser les appels des actions d’API Publish et PublishBatch pour les rubriques. De même, en spécifiant le type de ressource AWS::SNS::PlatformEndpoint, vous pouvez journaliser les appels de l'action d’API Publish pour les points de terminaison de la plateforme. Pour plus d'informations, consultez AdvancedEventSelector dans la Référence d’API AWS CloudTrail.

Note

Le type de ressource Amazon SNS AWS::SNS::PhoneNumber n’est pas journalisé par CloudTrail.

API de plan de données Amazon SNS

• Publish

• PublishBatch

Exemple : entrées du fichier journal Amazon SNS

Un journal d'activité est une configuration qui permet d'envoyer des événements sous forme de fichiers journaux à un compartiment Simple Storage Service (Amazon S3) que vous spécifiez. Les fichiers journaux CloudTrail peuvent contenir une ou plusieurs entrées. Un événement représente une demande unique provenant de n'importe quelle source et comprend des informations sur l'action demandée, la date et l'heure de l'action, les paramètres de la requête, etc. Les fichiers journaux CloudTrail ne constituent pas une série ordonnée retraçant les appels d'API publiques. Ils ne suivent aucun ordre précis.

L'exemple suivant montre une entrée de journal CloudTrail qui illustre les actions ListTopics, CreateTopic et DeleteTopic.

{
  "Records": [
    {
      "eventVersion": "1.02",
      "userIdentity": {
       "type":"IAMUser",
       "userName":"Bob"
       "principalId": "EX_PRINCIPAL_ID",
        "arn": "arn:aws:iam::123456789012:user/Bob",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE"
      },
      "eventTime": "2014-09-30T00:00:00Z",
      "eventSource": "sns.amazonaws.com",
      "eventName": "ListTopics",
      "awsRegion": "us-west-2",
      "sourceIPAddress": "127.0.0.1",
      "userAgent": "aws-sdk-java/unknown-version",
      "requestParameters": {
        "nextToken": "ABCDEF1234567890EXAMPLE=="
      },
      "responseElements": null,
      "requestID": "example1-b9bb-50fa-abdb-80f274981d60",
      "eventID": "example0-09a3-47d6-a810-c5f9fd2534fe",
      "eventType": "AwsApiCall",
      "recipientAccountId": "123456789012"
    },
    {
      "eventVersion": "1.02",
      "userIdentity": {
       "type":"IAMUser",
       "userName":"Bob"
       "principalId": "EX_PRINCIPAL_ID",
        "arn": "arn:aws:iam::123456789012:user/Bob",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE"
      },
      "eventTime": "2014-09-30T00:00:00Z",
      "eventSource": "sns.amazonaws.com",
      "eventName": "CreateTopic",
      "awsRegion": "us-west-2",
      "sourceIPAddress": "127.0.0.1",
      "userAgent": "aws-sdk-java/unknown-version",
      "requestParameters": {
        "name": "hello"
      },
      "responseElements": {
        "topicArn": "arn:aws:sns:us-west-2:123456789012:hello-topic"
      },
      "requestID": "example7-5cd3-5323-8a00-f1889011fee9",
      "eventID": "examplec-4f2f-4625-8378-130ac89660b1",
      "eventType": "AwsApiCall",
      "recipientAccountId": "123456789012"
    },
    {
      "eventVersion": "1.02",
      "userIdentity": {
       "type":"IAMUser",
       "userName":"Bob"
       "principalId": "EX_PRINCIPAL_ID",
        "arn": "arn:aws:iam::123456789012:user/Bob",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE"
      },
      "eventTime": "2014-09-30T00:00:00Z",
      "eventSource": "sns.amazonaws.com",
      "eventName": "DeleteTopic",
      "awsRegion": "us-west-2",
      "sourceIPAddress": "127.0.0.1",
      "userAgent": "aws-sdk-java/unknown-version",
      "requestParameters": {
        "topicArn": "arn:aws:sns:us-west-2:123456789012:hello-topic"
      },
      "responseElements": null,
      "requestID": "example5-4faa-51d5-aab2-803a8294388d",
      "eventID": "example8-6443-4b4d-abfd-1b867280d964",
      "eventType": "AwsApiCall",
      "recipientAccountId": "123456789012"
    },
  ]
}

Les exemples suivants montrent des entrées de journal CloudTrail qui illustrent les actions Publish et PublishBatch.

Publier

{
	"eventVersion": "1.09",
	"userIdentity": {
		"type": "AssumedRole",
		"principalId": "EX_PRINCIPAL_ID",
		"arn": "arn:aws:iam::123456789012:user/Bob",
		"accountId": "123456789012",
		"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
		"sessionContext": {
			"sessionIssuer": {
				"type": "Role",
				"principalId": "AKIAIOSFODNN7EXAMPLE",
				"arn": "arn:aws:iam::123456789012:role/Admin",
				"accountId": "123456789012",
				"userName": "ExampleUser"
			},
			"attributes": {
				"creationDate": "2023-08-21T16:44:05Z",
				"mfaAuthenticated": "false"
			}
		}
	},
	"eventTime": "2023-08-21T16:48:37Z",
	"eventSource": "sns.amazonaws.com",
	"eventName": "Publish",
	"awsRegion": "us-east-1",
	"sourceIPAddress": "192.0.2.0",
	"userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16",
	"requestParameters": {
		"topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic",
		"message": "HIDDEN_DUE_TO_SECURITY_REASONS",
		"subject": "HIDDEN_DUE_TO_SECURITY_REASONS",
		"messageStructure": "json",
		"messageAttributes": "HIDDEN_DUE_TO_SECURITY_REASONS"
	},
	"responseElements": {
		"messageId": "0787cd1e-d92b-521c-a8b4-90434e8ef840"
	},
	"requestID": "0a8ab208-11bf-5e01-bd2d-ef55861b545d",
	"eventID": "bb3496d4-5252-4660-9c28-3c6aebdb21c0",
	"readOnly": false,
	"resources": [{
		"accountId": "123456789012",
		"type": "AWS::SNS::Topic",
		"ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic"
	}],
	"eventType": "AwsApiCall",
	"managementEvent": false,
	"recipientAccountId": "123456789012",
	"eventCategory": "Data",
	"tlsDetails": {
		"tlsVersion": "TLSv1.2",
		"cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
		"clientProvidedHostHeader": "sns.us-east-1.amazonaws.com"
	}
}

PublishBatch

{
	"eventVersion": "1.09",
	"userIdentity": {
		"type": "AssumedRole",
		"principalId": "EX_PRINCIPAL_ID",
		"arn": "arn:aws:iam::123456789012:user/Bob",
		"accountId": "123456789012",
		"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
		"sessionContext": {
			"sessionIssuer": {
				"type": "Role",
				"principalId": "AKIAIOSFODNN7EXAMPLE",
				"arn": "arn:aws:iam::123456789012:role/Admin",
				"accountId": "123456789012",
				"userName": "ExampleUser"
			},
			"attributes": {
				"creationDate": "2023-08-21T19:20:49Z",
				"mfaAuthenticated": "false"
			}
		}
	},
	"eventTime": "2023-08-21T19:22:01Z",
	"eventSource": "sns.amazonaws.com",
	"eventName": "PublishBatch",
	"awsRegion": "us-east-1",
	"sourceIPAddress": "192.0.2.0",
	"userAgent": "aws-cli/1.29.16 md/Botocore#1.31.16 ua/2.0 os/linux#5.4.250-173.369.amzn2int.x86_64 md/arch#x86_64 lang/python#3.8.17 md/pyimpl#CPython cfg/retry-mode#legacy botocore/1.31.16",
	"requestParameters": {
		"topicArn": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic",
		"publishBatchRequestEntries": [{
				"id": "1",
				"message": "HIDDEN_DUE_TO_SECURITY_REASONS"
			},
			{
				"id": "2",
				"message": "HIDDEN_DUE_TO_SECURITY_REASONS"
			}
		]
	},
	"responseElements": {
		"successful": [{
				"id": "1",
				"messageId": "30d68101-a64a-5573-9e10-dc5c1dd3af2f"
			},
			{
				"id": "2",
				"messageId": "c0aa0c5c-561d-5455-b6c4-5101ed84de09"
			}
		],
		"failed": []
	},
	"requestID": "e2cdf7f3-1b35-58ad-ac9e-aaaea0ace2f1",
	"eventID": "10da9a14-0154-4ab6-b3a5-1825b229a7ed",
	"readOnly": false,
	"resources": [{
		"accountId": "123456789012",
		"type": "AWS::SNS::Topic",
		"ARN": "arn:aws:sns:us-east-1:123456789012:ExampleSNSTopic"
	}],
	"eventType": "AwsApiCall",
	"managementEvent": false,
	"recipientAccountId": "123456789012",
	"eventCategory": "Data",
	"tlsDetails": {
		"tlsVersion": "TLSv1.2",
		"cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
		"clientProvidedHostHeader": "sns.us-east-1.amazonaws.com"
	}
}