Mencatat Panggilan API Amazon EFSAWS CloudTrail - Amazon Elastic File System

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mencatat Panggilan API Amazon EFSAWS CloudTrail

Amazon EFS terintegrasi denganAWS CloudTrail, layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atauAWSlayanan di Amazon EFS. CloudTrail menangkap semua panggilan API untuk Amazon EFS sebagai peristiwa, termasuk panggilan dari konsol Amazon EFS dan panggilan kode ke operasi API Amazon EFS.

Jika membuat jejak, Anda dapat mengaktifkan pengiriman kejadian CloudTrail berkelanjutan ke bucket Amazon S3, termasuk kejadian untuk Amazon EFS. Jika Anda tidak mengonfigurasi jejak, Anda masih dapat melihat peristiwa terbaru dalam konsol CloudTrail di Riwayat peristiwa. Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuat ke Amazon EFS, alamat IP asal permintaan dibuat, siapa yang membuat permintaan, kapan dibuat, dan detail lainnya.

Untuk mempelajari selengkapnya tentang CloudTrail, lihat Panduan Pengguna AWS CloudTrail.

Informasi Amazon EFS di CloudTrail

CloudTrail diaktifkan di Akun AWS Anda saat Anda membuat akun. Ketika aktivitas terjadi di Amazon EFS, aktivitas tersebut dicatat di kejadian CloudTrail bersama lainnyaAWSperistiwa layanan diRiwayat peristiwa. Anda dapat melihat, mencari, dan mengunduh peristiwa terbaru di Akun AWS Anda. Untuk informasi lebih lanjut, lihat Melihat Peristiwa dengan Riwayat Peristiwa CloudTrail.

Untuk catatan kejadian yang sedang berlangsung diAkun AWS, termasuk kejadian untuk Amazon EFS, buatlah jejak. Jejak memungkinkan CloudTrail mengirim file log ke bucket Amazon S3. Secara default, ketika Anda membuat jejak di dalam konsol tersebut, jejak diterapkan ke semua Wilayah AWSs. Jejak log peristiwa dari semuaWilayah AWSs diAWSpartisi dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Selain itu, Anda dapat mengonfigurasi layanan AWS lainnya untuk menganalisis lebih lanjut dan bertindak berdasarkan data peristiwa yang dikumpulkan di catatan CloudTrail. Untuk informasi lebih lanjut, lihat topik berikut di Panduan Pengguna AWS CloudTrail:

Semua Amazon EFSPanggilan APIdicatat oleh CloudTrail. Misalnya, panggilan ke operasi CreateFileSystem, CreateMountTarget, dan CreateTags menghasilkan entri di berkas log CloudTrail.

Setiap entri kejadian atau log berisi informasi tentang siapa yang membuat permintaan tersebut. Informasi identitas membantu Anda menentukan hal berikut:

  • Bahwa permintaan dibuat dengan kredensial pengguna root atau pengguna AWS Identity and Access Management (IAM).

  • Bahwa permintaan tersebut dibuat dengan kredensial keamanan sementara untuk peran atau pengguna gabungan.

  • Apakah permintaan dibuat oleh layanan AWS yang lain.

Untuk informasi lebih lanjut, lihat Elemen userIdentity CloudTrail di Panduan Pengguna AWS CloudTrail.

Memahami Entri Berkas Log Amazon EFS

Jejak adalah konfigurasi yang mengaktifkan pengiriman peristiwa sebagai berkas log ke bucket Amazon S3 yang telah Anda tentukan. File log CloudTrail berisi satu atau beberapa entri log. Sebuah peristiwa mewakili permintaan tunggal dari sumber apa pun dan mencakup informasi tentang tindakan yang diminta, tanggal dan waktu tindakan, parameter permintaan, dan sebagainya. File log CloudTrail bukan jejak tumpukan terurut dari panggilan API publik, sehingga berkas tersebut tidak muncul dalam urutan tertentu.

Contoh berikut menunjukkan entri log CloudTrail yang menunjukkan operasi CreateTags ketika tag untuk sistem file dibuat dari konsol.

{ "eventVersion": "1.06", "userIdentity": { "type": "Root", "principalId": "111122223333", "arn": "arn:aws:iam::111122223333:root", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2017-03-01T18:02:37Z" } } }, "eventTime": "2017-03-01T19:25:47Z", "eventSource": "elasticfilesystem.amazonaws.com", "eventName": "CreateTags", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "userAgent": "console.amazonaws.com", "requestParameters": { "fileSystemId": "fs-00112233", "tags": [{ "key": "TagName", "value": "AnotherNewTag" } ] }, "responseElements": null, "requestID": "dEXAMPLE-feb4-11e6-85f0-736EXAMPLE75", "eventID": "eEXAMPLE-2d32-4619-bd00-657EXAMPLEe4", "eventType": "AwsApiCall", "apiVersion": "2015-02-01", "recipientAccountId": "111122223333" }

Contoh berikut menunjukkan entri log CloudTrail yang menunjukkan tindakan DeleteTags ketika tag untuk sistem file dibuat dari konsol.

{ "eventVersion": "1.06", "userIdentity": { "type": "Root", "principalId": "111122223333", "arn": "arn:aws:iam::111122223333:root", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2017-03-01T18:02:37Z" } } }, "eventTime": "2017-03-01T19:25:47Z", "eventSource": "elasticfilesystem.amazonaws.com", "eventName": "DeleteTags", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "userAgent": "console.amazonaws.com", "requestParameters": { "fileSystemId": "fs-00112233", "tagKeys": [] }, "responseElements": null, "requestID": "dEXAMPLE-feb4-11e6-85f0-736EXAMPLE75", "eventID": "eEXAMPLE-2d32-4619-bd00-657EXAMPLEe4", "eventType": "AwsApiCall", "apiVersion": "2015-02-01", "recipientAccountId": "111122223333" }

Log entri untuk Peran Tertaut Layanan EFS

Peran terkait layanan Amazon EFS membuat panggilan APIAWSsumber daya. Anda akan melihat entri log CloudTrail denganusername: AWSServiceRoleForAmazonElasticFileSystemuntuk panggilan yang dilakukan oleh peran terkait layanan EFS. Untuk informasi selengkapnya tentang peran terkait layanan dan EFS, lihatMenggunakan Peran Tertaut Layanan Amazon EFS.

Contoh berikut menampilkan entri log CloudTrail yang menunjukkanCreateServiceLinkedRoletindakan saat Amazon EFS membuat peran terkait layanan AWSServiceRoleForAmazonElasticFileSystem.

{     "eventVersion": "1.05",     "userIdentity": {         "type": "IAMUser",         "principalId": "111122223333",         "arn": "arn:aws:iam::111122223333:user/user1",         "accountId": "111122223333",         "accessKeyId": "A111122223333",         "userName": "user1",         "sessionContext": {             "attributes": {                 "mfaAuthenticated": "false",                 "creationDate": "2019-10-23T22:45:41Z"             }         },         "invokedBy": "elasticfilesystem.amazonaws.com”     },     "eventTime": "2019-10-23T22:45:41Z",     "eventSource": "iam.amazonaws.com",     "eventName": "CreateServiceLinkedRole",     "awsRegion": "us-east-1",     "sourceIPAddress": "192.0.2.0",     "userAgent": "user_agent",     "requestParameters": {         "aWSServiceName": "elasticfilesystem.amazonaws.com”     },     "responseElements": {         "role": {             "assumeRolePolicyDocument": "111122223333-10-111122223333Statement111122223333Action111122223333AssumeRole111122223333Effect%22%3A%20%22Allow%22%2C%20%22Principal%22%3A%20%7B%22Service%22%3A%20%5B%22 elasticfilesystem.amazonaws.com%22%5D%7D%7D%5D%7D",             "arn": "arn:aws:iam::111122223333:role/aws-service-role/elasticfilesystem.amazonaws.com/AWSServiceRoleForAmazonElasticFileSystem",             "roleId": "111122223333",             "createDate": "Oct 23, 2019 10:45:41 PM",             "roleName": "AWSServiceRoleForAmazonElasticFileSystem",             "path": "/aws-service-role/elasticfilesystem.amazonaws.com/“         }     },     "requestID": "11111111-2222-3333-4444-abcdef123456",     "eventID": "11111111-2222-3333-4444-abcdef123456",     "eventType": "AwsApiCall",     "recipientAccountId": "111122223333" }

Contoh berikut menampilkan entri log CloudTrail yang menunjukkanCreateNetworkInterfacetindakan yang dibuat oleh peran terkait layanan AWSServiceRoleForAmazonElasticFileSystem, dicatat dalamsessionContext.

{     "eventVersion": "1.05",     "userIdentity": {         "type": "AssumedRole",         "principalId": "AIDACKCEVSQ6C2EXAMPLE",         "arn": "arn:aws:sts::0123456789ab:assumed-role/AWSServiceRoleForAmazonElasticFileSystem/0123456789ab",         "accountId": "0123456789ab",         "sessionContext": {             "sessionIssuer": {                 "type": "Role",                 "principalId": "AIDACKCEVSQ6C2EXAMPLE",                 "arn": "arn:aws:iam::0123456789ab:role/aws-service-role/elasticfilesystem.amazonaws.com/AWSServiceRoleForAmazonElasticFileSystem",                 "accountId": "0123456789ab",                 "userName": "AWSServiceRoleForAmazonElasticFileSystem"             },             "webIdFederationData": {},             "attributes": {                 "mfaAuthenticated": "false",                 "creationDate": "2019-10-23T22:50:05Z"             }         },         "invokedBy": "AWS Internal"     },     "eventTime": "20You 19-10-23T22:50:05Z",     "eventSource": "ec2.amazonaws.com",     "eventName": "CreateNetworkInterface",     "awsRegion": "us-east-1",     "sourceIPAddress": "elasticfilesystem.amazonaws.com”,     "userAgent": "elasticfilesystem.amazonaws.com",     "requestParameters": {         "subnetId": "subnet-71e2f83a",         "description": "EFS mount target for fs-1234567 (fsmt-1234567)",         "groupSet": {},         "privateIpAddressesSet": {}     },     "responseElements": {         "requestId": "0708e4ad-03f6-4802-b4ce-4ba987d94b8d",         "networkInterface": {             "networkInterfaceId": "eni-0123456789abcdef0",             "subnetId": "subnet-12345678",             "vpcId": "vpc-01234567",             "availabilityZone": "us-east-1b",             "description": "EFS mount target for fs-1234567 (fsmt-1234567)",             "ownerId": "666051418590",             "requesterId": "0123456789ab",             "requesterManaged": true,             "status": "pending",             "macAddress": "00:bb:ee:ff:aa:cc",             "privateIpAddress": "192.0.2.0",             "privateDnsName": "ip-192-0-2-0.ec2.internal",             "sourceDestCheck": true,             "groupSet": {                 "items": [                     {                         "groupId": "sg-c16d65b6",                         "groupName": "default"                     }                 ]             },             "privateIpAddressesSet": {                 "item": [                     {                         "privateIpAddress": "192.0.2.0",                         "primary": true                     }                 ]             },             "tagSet": {}         }     },     "requestID": "11112222-3333-4444-5555-666666777777",     "eventID": "aaaabbbb-1111-2222-3333-444444555555",     "eventType": "AwsApiCall",     "recipientAccountId": "111122223333" }

Entri Log untuk Otentikasi EFS I

Otorisasi Amazon EFS IAM untuk klien NFS memancarkanNewClientConnectiondanUpdateClientConnectionperistiwa CloudTrail. SEBUAHNewClientConnectionacara dipancarkan ketika koneksi diotorisasi segera setelah koneksi awal, dan segera setelah re-koneksi. SesiUpdateClientConnectiondipancarkan ketika koneksi diotorisasi ulang dan daftar tindakan yang diizinkan telah berubah, Ini juga dipancarkan ketika daftar baru tindakan yang diizinkan tidak termasukClientMount. Untuk informasi selengkapnya tentang otorisasi EFS IAM, lihatMenggunakan IAM untuk mengontrol akses data sistem file.

Contoh berikut menampilkan entri log CloudTrail yang menunjukkanNewClientConnectionperistiwa.

{ "eventVersion": "1.05", "userIdentity": { "type": "AssumedRole", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:sts::0123456789ab:assumed-role/abcdef0123456789", "accountId": "0123456789ab", "accessKeyId": "AKIAIOSFODNN7EXAMPLE ", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::0123456789ab:role/us-east-2", "accountId": "0123456789ab", "userName": "username" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2019-12-23T17:50:16Z" }, "ec2RoleDelivery": "1.0" } }, "eventTime": "2019-12-23T18:02:12Z", "eventSource": "elasticfilesystem.amazonaws.com", "eventName": "NewClientConnection", "awsRegion": "us-east-2", "sourceIPAddress": "AWS Internal", "userAgent": "elasticfilesystem", "requestParameters": null, "responseElements": null, "eventID": "27859ac9-053c-4112-aee3-f3429719d460", "readOnly": true, "resources": [ { "accountId": "0123456789ab", "type": "AWS::EFS::FileSystem", "ARN": "arn:aws:elasticfilesystem:us-east-2:0123456789ab:file-system/fs-01234567" }, { "accountId": "0123456789ab", "type": "AWS::EFS::AccessPoint", "ARN": "arn:aws:elasticfilesystem:us-east-2:0123456789ab:access-point/fsap-0123456789abcdef0" } ], "eventType": "AwsServiceEvent", "recipientAccountId": "0123456789ab", "serviceEventDetails": { "permissions": { "ClientRootAccess": true, "ClientMount": true, "ClientWrite": true }, "sourceIpAddress": "10.7.3.72" } }

Entri File Log Amazon EFS untuk Sistem File Terenkripsi di Istirahat

Amazon EFS memberi Anda pilihan untuk menggunakan enkripsi saat istirahat, enkripsi saat transit, atau keduanya, untuk sistem file Anda. Untuk informasi selengkapnya, lihat Enkripsi data di Amazon EFS.

Jika Anda menggunakan sistem file terenkripsi di tempat istirahat, panggilan yang dibuat Amazon EFS atas nama Anda muncul diAWS CloudTraillog sebagai berasal dariAWS-dimiliki akun. Jika Anda melihat salah satu ID akun berikut di log CloudTrail, tergantung padaWilayah AWSbahwa sistem file Anda dibuat, ID ini adalah salah satu yang dimiliki oleh layanan Amazon EFS.

Wilayah AWS ID Akun
US East (Ohio) 771736226457
US East (N. Virginia) 055650462987
US West (N. California) 208867197265
US West (Oregon) 736298361104
Africa (Cape Town) 855919597013
Asia Pacific (Hong Kong) 832882505983
Asia Pacific (Mumbai) 063610658798
Asia Pacific (Seoul) 518632624599
Asia Pacific (Singapore) 448676862907
Asia Pacific (Sydney) 288718191711

Asia Pacific (Jakarta)

TBD
Asia Pacific (Tokyo) 620757817088
Asia Pacific (Osaka) 740446410266
Canada (Central) 838331228873
China (Beijing) 365623262523
China (Ningxia) 361049930386
Europe (Frankfurt) 992038834663
Europe (Ireland) 805538244694
Europe (London) 838331228873
Europe (Milan) 393586363892
Europe (Paris) 063566772258
Europe (Stockholm) 030059730498
Middle East (Bahrain) 545970776878
South America (São Paulo) 041656882570
AWS GovCloud (US-East) 167972735943
AWS GovCloud (US-West) 174619389399

Konteks Enkripsi Amazon EFS untuk enkripsi saat istirahat

Amazon EFSkonteks enkripsisaat membuatAWS KMSPermintaan API untuk menghasilkan kunci data dan mendekripsi data Amazon EFS. ID sistem file adalah konteks enkripsi untuk semua sistem file yang dienkripsi saat istirahat. DirequestParametersbidang entri log CloudTrail, konteks enkripsi terlihat mirip dengan berikut ini.

"EncryptionContextEquals": {} "aws:elasticfilesystem:filesystem:id" : "fs-4EXAMPLE"