Mencatat log panggilan API AWS RAM dengan AWS CloudTrail - AWS Resource Access Manager
AWS RAMinformasi dalam CloudTrailMemahami entri file log AWS RAM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mencatat log panggilan API AWS RAM dengan AWS CloudTrail

AWS RAMterintegrasi denganAWS CloudTrail, layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atauAWS layanan diAWS RAM. CloudTrail merekam semua panggilan API untukAWS RAM sebagai kejadian. Panggilan yang direkam mencakup panggilan dari AWS RAM konsol dan panggilan kode ke operasi API AWS RAM ini. Jika Anda membuat jejak, Anda dapat mengaktifkan pengiriman berkelanjutan CloudTrail peristiwa ke bucket Amazon S3 yang Anda tentukan, termasuk peristiwa untukAWS RAM. Jika Anda tidak mengonfigurasi jejak, Anda masih dapat melihat peristiwa terbaru dalam CloudTrail konsol di Riwayat peristiwa. Gunakan informasi yang dikumpulkan oleh CloudTrail untuk menentukan permintaan yang diajukan keAWS RAM, alamat IP yang meminta, peminta, kapan dibuat, dan detail tambahan.

Untuk informasi selengkapnya CloudTrail, lihat PanduanAWS CloudTrail Pengguna.

AWS RAMinformasi dalam CloudTrail

CloudTrail diaktifkan pada AndaAkun AWS saat Anda membuat akun tersebut. Saat aktivitas terjadi diAWS RAM, aktivitas tersebut dicatat dalam CloudTrail peristiwaAWS layanan lainnya di Riwayat peristiwa peristiwa. Anda dapat melihat, mencari, dan mengunduh peristiwa terbaru di Akun AWS Anda. Untuk informasi selengkapnya, lihat Melihat Kejadian dengan Riwayat CloudTrail Kejadian.

Untuk catatan berkelanjutan tentang peristiwa di Akun AWS, termasuk peristiwa untuk AWS RAM, buat jejak. Jejak memungkinkan CloudTrail untuk mengirim berkas log ke bucket Amazon S3. Secara default, saat Anda membuat jejak di dalam konsol tersebut, jejak diterapkan ke semua Wilayah AWS. Jejak mencatat peristiwa dari semua Wilayah di partisi AWS dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Selain itu, Anda dapat mengonfigurasiAWS layanan lainnya untuk dianalisis lebih lanjut dan bertindak berdasarkan data kejadian yang dikumpulkan di CloudTrail log. Untuk informasi selengkapnya, lihat yang berikut:

SemuaAWS RAM tindakan dicatat oleh CloudTrail dan didokumentasikan dalam ReferensiAWS RAM API. Misalnya, panggilan untuk tindakan CreateResourceShare, AssociateResourceShare, dan EnableSharingWithAwsOrganization menghasilkan entri dalam file log CloudTrail.

Setiap entri kejadian atau log berisi informasi yang membantu Anda menentukan siapa yang membuat permintaan tersebut.

  • Akun AWSkredenal root

  • Kredensi keamanan sementara dari peranAWS Identity and Access Management (IAM) atau pengguna federasi.

  • Kredenal keamanan jangka panjang dari pengguna IAM.

  • AWSLayanan lain.

Untuk informasi selengkapnya, lihat Elemen userIdentity CloudTrail .

Memahami entri file log AWS RAM

Jejak adalah konfigurasi yang memungkinkan pengiriman peristiwa sebagai berkas log ke bucket Amazon S3 yang Anda tentukan. CloudTrail berkas log berisi satu atau lebih entri log. Sebuah peristiwa mewakili permintaan tunggal dari sumber apa pun dan mencakup informasi tentang tindakan yang diminta, tanggal dan waktu tindakan, parameter permintaan, dan sebagainya. CloudTrail berkas log bukan jejak tumpukan terurut dari panggilan API publik, sehingga berkas tersebut tidak muncul dalam urutan tertentu.

Contoh berikut menunjukkan entri CloudTrail log untukCreateResourceShare tindakan tersebut.

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "NOPIOSFODNN7EXAMPLE",
        "arn": "arn:aws:iam::111122223333:user/admin",
        "accountId": "111122223333",
        "accessKeyId": "BCDIOSFODNN7EXAMPLE",
        "userName": "admin"
    },
    "eventTime": "2018-11-03T04:23:19Z",
    "eventSource": "ram.amazonaws.com",
    "eventName": "CreateResourceShare",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.1.0",
    "userAgent": "aws-cli/1.16.2 Python/2.7.10 Darwin/16.7.0 botocore/1.11.2",
    "requestParameters": {
        "name": "foo"
    },
    "responseElements": {
        "resourceShare": {
            "allowExternalPrincipals": true,
            "name": "foo",
            "owningAccountId": "111122223333",
            "resourceShareArn": "arn:aws:ram:us-east-1:111122223333:resource-share/EXAMPLE0-1234-abcd-1212-987656789098",
            "status": "ACTIVE"
        }
    },
    "requestID": "EXAMPLE0-abcd-1234-mnop-987654567876",
    "eventID": "EXAMPLE0-1234-abcd-hijk-543234565434",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}