Registrazione con AWS CloudTrail - AWS App Mesh

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Registrazione con AWS CloudTrail

AWS App Meshfunziona conAWS CloudTrail, un servizio che offre un record delle operazioni eseguite da un utente, un ruolo oAWSservizio in App Mesh. CloudTrail acquisisce tutte le chiamate API per App Mesh come eventi. Le chiamate acquisite includono le chiamate dalla console App Mesh e le chiamate di codice alle operazioni delle API App Mesh. Se crei un trail, puoi abilitare la distribuzione continua di CloudTrail eventi in un bucket Amazon S3, inclusi gli eventi per App Mesh. Se non configuri un trail, è comunque possibile visualizzare gli eventi più recenti in CloudTrail Console inCronologia degli eventi. Utilizzo delle informazioni raccolte da CloudTrail, è possibile determinare la richiesta, App Mesh indirizzo IP da cui è effettuata la richiesta, l'utente o l'account che ha effettuato la richiesta, il momento in cui è effettuata e altri dettagli.

Per ulteriori informazioni su CloudTrail, consultaAWS CloudTrailGuida per l’utente di.

App Mesh in CloudTrail

CloudTrail è abilitato sul tuoAWSaccount quando crei l'account. Quando si verifica un'attività in App Mesh, tale attività viene registrata in CloudTrail evento insieme ad altriAWSEventi del servizio inCronologia degli eventi. È possibile visualizzare, cercare e scaricare gli eventi recenti nell'account AWS. Per ulteriori informazioni, consulta la paginaVisualizzazione di eventi con CloudTrail Cronologia eventi.

Per una registrazione continua degli eventi inAWSaccount, inclusi gli eventi per App Mesh, crea un trail. UNpistaabilita CloudTrail per distribuire i file di log in un bucket Amazon S3. Per impostazione predefinita, quando si crea un trail nella console, il trail sarà valido in tutte le regioni AWS. Il trail registra gli eventi di tutte le regioni nella partizione AWS e distribuisce i file di log nel bucket Amazon S3 specificato. Inoltre, puoi configurarne altriAWSservizi per analizzare con maggiore dettaglio e usare i dati raccolti in CloudTrail registri. Per ulteriori informazioni, consulta gli argomenti seguenti:

Tutte le operazioni di App Mesh sono registrate da CloudTrail e sono documentati inOperazioni dell'API. Ad esempio, le chiamate alCreateMesh,DescribeMesh, eDeleteMeshle azioni generano voci nel CloudTrail File di log. Vengono registrate anche le azioni eseguite da App Mesh per conto dell'utente, come la creazione di un ruolo collegato al servizio quando si crea una mesh.

Ogni evento o voce di log contiene informazioni sull'utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:

  • Se la richiesta è stata effettuata con le credenziali utente AWS Identity and Access Management (IAM) o root.

  • Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.

  • Se la richiesta è stata effettuata da un altro servizio AWS.

Per ulteriori informazioni, consulta Elemento CloudTrail userIdentity.

Informazioni sulle voci del file di log di App

Un trail è una configurazione che consente la distribuzione di eventi come i file di log in un bucket Amazon S3 specificato dall’utente. CloudTrail i file di log possono contenere una o più voci di log. Un evento rappresenta una singola richiesta da un'origine e include informazioni sull’operazione richiesta, data e ora dell'operazione, parametri della richiesta e così via. CloudTrail I file di log non sono una traccia di stack ordinata delle chiamate API pubbliche, quindi non appaiono in base a un ordine specifico.

Il seguente esempio mostra un CloudTrail voce di registro che dimostra laCreateMeshoperazione.

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::123456789012:user/Mary_Major", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Mary_Major", "sessionContext": { "sessionIssuer": {}, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2019-10-18T14:56:49Z" } }, "invokedBy": "signin.amazonaws.com" }, "eventTime": "2019-10-18T15:00:49Z", "eventSource": "appmesh.amazonaws.com", "eventName": "CreateMesh", "awsRegion": "us-east-2", "sourceIPAddress": "205.251.233.178", "userAgent": "signin.amazonaws.com", "requestParameters": { "meshName": "my-mesh", "clientToken": "00000000-0000-0000-0000-0000000000", "spec": { "egressFilter": { "type": "DROP_ALL" } } }, "responseElements": { "mesh": { "meshName": "my-mesh", "status": { "status": "ACTIVE" }, "metadata": { "version": 1, "lastUpdatedAt": "Oct 18, 2019 3:00:49 PM", "uid": "00000000-0000-0000-0000-000000000000", "createdAt": "Oct 18, 2019 3:00:49 PM", "arn": "arn:aws:iam::123456789012::mesh/my-mesh" }, "spec": { "egressFilter": { "type": "DROP_ALL" } } } }, "requestID": "cb8c167e-EXAMPLE", "eventID": "e3c6f4ce-EXAMPLE", "readOnly": false, "eventType": "AwsApiCall", "apiVersion": "2019-01-25", "recipientAccountId": 123456789012" }

App Mesh può anche emettere CloudTrail Eventi per il nostro App Mesh Envoy Management ServiceStreamAggregatedResourcesAPI. I clienti possono visualizzare il modo in cui i loro inviati si connettono e possono facilmente risolvere i problemi che Envoy potrebbe riscontrare durante la connessione al pannello di controllo di App Mesh.

Il seguente esempio mostra un CloudTrail voce di registro che dimostra laStreamAggregatedResourcesoperazione.

{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AKIAIOSFODNN7EXAMPLE:d060be4ac3244e05aca4e067bfe241f8", "arn": "arn:aws:sts::123456789012:assumed-role/Application-TaskIamRole-C20GBLBRLBXE/d060be4ac3244e05aca4e067bfe241f8", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "invokedBy": "appmesh.amazonaws.com" }, "eventTime": "2021-06-09T23:09:46Z", "eventSource": "appmesh.amazonaws.com", "eventName": "StreamAggregatedResources", "awsRegion": "us-west-2", "sourceIPAddress": "appmesh.amazonaws.com", "userAgent": "appmesh.amazonaws.com", "eventID": "e3c6f4ce-EXAMPLE", "readOnly": false, "eventType": "AwsServiceEvent", "managementEvent": true, "recipientAccountId": "123456789012", "serviceEventDetails": { "connectionId": "e3c6f4ce-EXAMPLE", "nodeArn": "arn:aws:appmesh:us-west-2:123456789012:mesh/CloudTrail-Test/virtualNode/cloudtrail-test-vn", "eventStatus": "ConnectionEstablished", "failureReason": "" }, "eventCategory": "Management" }

IleventStatusil campo ha uno dei tre valori a seconda di come Envoy si connette al nostro servizio di gestione App Mesh Envoy:

  • ConnectionEstablished— Envoy si è collegato correttamente al piano di controllo App Mesh.

  • ConnectionGracefullyTerminated— Envoy è disconnesso dal piano di controllo App Mesh. Questo è il comportamento previsto, poiché una connessione Envoy viene interrotta ogni 30 minuti circa.

  • ConnectionTerminated— Si è verificato un problema durante la connessione di Envoy al piano di controllo di App Mesh. Il motivo dell'errore è indicato infailureReason.