Auditer l'activité de session - AWS Systems Manager
Surveillance de l'activité des sessions à l'aide d'Amazon EventBridge (console)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Auditer l'activité de session

En plus de fournir des informations sur les sessions actuelles et terminées dans la console Systems Manager, Session Manager vous offre la possibilité d'auditer l'activité de votre compte Compte AWS à l'aide de AWS CloudTrail.

CloudTrail capture les appels d'API de session via la console Systems Manager, le AWS Command Line Interface (AWS CLI) et le SDK Systems Manager. Vous pouvez consulter les informations sur la CloudTrail console ou les stocker dans un compartiment Amazon Simple Storage Service (Amazon S3) spécifique. Un compartiment Amazon S3 est utilisé pour tous les CloudTrail journaux de votre compte. Pour plus d’informations, consultez Enregistrement AWS Systems Manager API des appels avec AWS CloudTrail.

Note

Pour une analyse analytique récurrente et historique de vos fichiers journaux, pensez à interroger les CloudTrail journaux à l'aide de CloudTrail Lake ou d'une table que vous gérez. Pour plus d'informations, consultez la section Interrogation des AWS CloudTrail journaux dans le guide de AWS CloudTrail l'utilisateur.

Surveillance de l'activité des sessions à l'aide d'Amazon EventBridge (console)

Avec EventBridge, vous pouvez définir des règles pour détecter les modifications apportées aux AWS ressources. Vous pouvez créer une règle pour détecter lorsqu'un utilisateur de votre organisation démarre ou met fin à une session puis, par exemple, recevoir une notification via Amazon SNS vous informant de l'événement.

EventBridge le support de Session Manager repose sur les enregistrements des opérations d'API enregistrés par CloudTrail. (Vous pouvez utiliser CloudTrail l'intégration avec EventBridge pour répondre à la plupart des AWS Systems Manager événements.) Les actions effectuées au cours d'une session, telles qu'une exit commande, qui n'effectuent pas d'appel d'API ne sont pas détectées par EventBridge.

Les étapes suivantes expliquent comment lancer des notifications via Amazon Simple Notification Service (Amazon SNS) lorsqu'un événement d'API Session Manager se produit, tel que StartSession.

Pour surveiller l'activité des sessions à l'aide d'Amazon EventBridge (console)

  1. Créez une rubrique Amazon SNS à utiliser pour envoyer des notifications lorsque l'événement Session Manager que vous souhaitez suivre se produit.

    Pour en savoir plus, consultez Création d'une rubrique dans le Manuel du développeur d'Amazon Simple Notification Service.

  2. Créez une EventBridge règle pour appeler la cible Amazon SNS pour le type d'Session Managerévénement que vous souhaitez suivre.

    Pour plus d'informations sur la création de la règle, consultez la section Création de EventBridge règles Amazon qui réagissent aux événements dans le guide de EventBridge l'utilisateur Amazon.

    Tout au long de la création de votre règle, sélectionnez les éléments suivants :

    • Pour le AWS service choisissez Systems Manager.

    • Pour Type d'événement, choisissez AWS API Call through CloudTrail.

    • Sélectionnez Specific operation(s) (Opérations spécifiques), puis saisissez la ou les commandes Session Manager (l'une après l'autre) pour lesquelles vous souhaitez recevoir des notifications. Vous pouvez choisir StartSession, ResumeSession et TerminateSession. (EventBridge ne prend pas en charge Describe* les commandes Get* List*, et.)

    • Pour Sélectionner une cible, choisissez Rubrique SNS. Pour Topic (Rubrique), sélectionnez le nom de la rubrique Amazon SNS que vous avez créée à l'étape 1.

Pour plus d'informations, consultez le guide de EventBridge l'utilisateur Amazon et le guide de démarrage d'Amazon Simple Notification Service.