Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS Systems Manager è integrato con AWS CloudTrail, un servizio che fornisce un registro delle azioni intraprese da un utente, ruolo o un Servizio AWS. CloudTrail acquisisce tutte le chiamate API per Systems Manager come eventi. Le chiamate acquisite includono chiamate provenienti da Systems Manager console e chiamate in codice verso Systems Manager operazioni API. Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare la richiesta effettuata a Systems Manager, l'indirizzo IP da cui è stata effettuata la richiesta, quando è stata effettuata e dettagli aggiuntivi.
Ogni evento o voce di log contiene informazioni sull'utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:
-
Se la richiesta è stata effettuata con le credenziali utente root o utente.
-
Se la richiesta è stata effettuata per conto di un utente del Centro identità IAM.
-
Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.
-
Se la richiesta è stata effettuata da un altro Servizio AWS.
CloudTrail è attivo nel tuo account Account AWS quando crei l'account e hai automaticamente accesso alla cronologia degli CloudTrail eventi. La cronologia CloudTrail degli eventi fornisce un record visualizzabile, ricercabile, scaricabile e immutabile degli ultimi 90 giorni di eventi di gestione registrati in un. Regione AWSPer ulteriori informazioni, consulta Lavorare con la cronologia degli CloudTrail eventi nella Guida per l'utente.AWS CloudTrail Non sono CloudTrail previsti costi per la visualizzazione della cronologia degli eventi.
Per una registrazione continua degli eventi degli Account AWS ultimi 90 giorni, crea un trail o un data store di eventi CloudTrailLake.
- CloudTrail sentieri
-
Un trail consente di CloudTrail inviare file di log a un bucket Amazon S3. Tutti i percorsi creati utilizzando il AWS Management Console sono multiregionali. È possibile creare un trail per una singola Regione o per più Regioni tramite AWS CLI. La creazione di un percorso multiregionale è consigliata in quanto consente di registrare l'intera attività del proprio Regioni AWS account. Se si crea un trail per una singola Regione, è possibile visualizzare solo gli eventi registrati nella Regione AWS del trail. Per ulteriori informazioni sui trail, consulta Creating a trail for your Account AWS e Creating a trail for an organization nella Guida per l'utente di AWS CloudTrail .
Puoi inviare gratuitamente una copia dei tuoi eventi di gestione in corso al tuo bucket Amazon S3 CloudTrail creando un percorso, tuttavia ci sono costi di storage di Amazon S3. Per ulteriori informazioni sui CloudTrail prezzi, consulta la pagina Prezzi.AWS CloudTrail
Per informazioni sui prezzi di Amazon S3, consulta Prezzi di Amazon S3 . - CloudTrail Archivi di dati sugli eventi di Lake
-
CloudTrail Lake ti consente di eseguire query basate su SQL sui tuoi eventi. CloudTrail Lake converte gli eventi esistenti in formato JSON basato su righe in formato Apache ORC.
ORC è un formato di archiviazione a colonne ottimizzato per il recupero rapido dei dati. Gli eventi vengono aggregati in archivi di dati degli eventi, che sono raccolte di eventi immutabili basate sui criteri selezionati applicando i selettori di eventi avanzati. I selettori applicati a un archivio di dati degli eventi controllano quali eventi persistono e sono disponibili per l'esecuzione della query. Per ulteriori informazioni su CloudTrail Lake, consulta Working with AWS CloudTrail Lake nella Guida per l'utente.AWS CloudTrail CloudTrail Gli archivi e le richieste di dati sugli eventi di Lake comportano dei costi. Quando crei un datastore di eventi, scegli l'opzione di prezzo da utilizzare per tale datastore. L'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi, nonché il periodo di conservazione predefinito e quello massimo per il datastore di eventi. Per ulteriori informazioni sui CloudTrail prezzi, consulta Prezzi.AWS CloudTrail
Eventi relativi ai dati di Systems Manager in CloudTrail
Gli eventi di dati forniscono informazioni sulle operazioni delle risorse eseguite su o in una risorsa (ad esempio, creazione o apertura di un canale di controllo). Queste operazioni sono definite anche operazioni del piano dei dati. Gli eventi di dati sono spesso attività che interessano volumi elevati di dati. Per impostazione predefinita, CloudTrail non registra gli eventi relativi ai dati. La cronologia CloudTrail degli eventi non registra gli eventi relativi ai dati.
Per gli eventi di dati sono previsti costi aggiuntivi. Per ulteriori informazioni sui CloudTrail prezzi, consulta la sezione AWS CloudTrail Prezzi
È possibile registrare gli eventi relativi ai dati per i tipi di risorse Systems Manager utilizzando la CloudTrail AWS CLI console o le operazioni CloudTrail API. Per ulteriori informazioni su come registrare gli eventi relativi ai dati, consulta Registrazione di eventi relativi ai dati con AWS Management Console e Registrazione di eventi relativi ai dati con AWS Command Line Interface nella Guida per l'utente AWS CloudTrail .
La tabella seguente elenca i tipi di risorse Systems Manager per i quali è possibile registrare gli eventi relativi ai dati. La colonna Data event type (console) mostra il valore da scegliere dall'elenco Data event type (console) sulla CloudTrail console. La colonna del valore resources.type mostra il resources.type valore da specificare durante la configurazione dei selettori di eventi avanzati utilizzando o. AWS CLI CloudTrail APIs La CloudTrail colonna Dati APIs registrati mostra le chiamate API registrate per il tipo di risorsa. CloudTrail
| Tipo di evento di dati (console) | valore resources.type | Dati registrati APIs su CloudTrail |
|---|---|---|
| Systems Manager |
AWS::SSMMessages::ControlChannel
|
Per ulteriori informazioni su queste operazioni, consulta la sezione Operazioni definite da Amazon Message Gateway Service nella Service Authorization Reference. |
| Nodo gestito da Systems Manager |
AWS::SSM::ManagedNode
|
Per ulteriori informazioni sull'operazione |
È possibile configurare selettori di eventi avanzati per filtrare i campi eventName, readOnly e resources.ARN per registrare solo gli eventi importanti per l'utente. Per ulteriori informazioni su questi campi, vedere AdvancedFieldSelector nel documento di riferimento delle API AWS CloudTrail
Eventi di gestione di Systems Manager in CloudTrail
Gli eventi di gestione forniscono informazioni sulle operazioni di gestione eseguite sulle risorse di Account AWS. Queste operazioni sono definite anche operazioni del piano di controllo (control-plane). Per impostazione predefinita, CloudTrail registra gli eventi di gestione.
Systems Manager registra tutte le operazioni del piano di controllo CloudTrail come eventi di gestione. Le operazioni API di Systems Manager sono documentate nella Documentazione di riferimento API AWS Systems Manager. Ad esempio, le chiamate aCreateMaintenanceWindows, PutInventorySendCommand, e StartSession le azioni generano voci nei file di CloudTrail registro. Per un esempio di configurazione CloudTrail per il monitoraggio di una chiamata all'API Systems Manager, vedereMonitoraggio dell'attività della sessione tramite Amazon EventBridge (console).
Esempi di eventi Systems Manager
Un evento rappresenta una singola richiesta proveniente da qualsiasi fonte e include informazioni sull'operazione API richiesta, la data e l'ora dell'operazione, i parametri della richiesta e così via. CloudTrail i file di registro non sono una traccia stack ordinata delle chiamate API pubbliche, quindi gli eventi non vengono visualizzati in un ordine specifico.
Esempi di eventi di gestione
Esempio 1: DeleteDocument
L'esempio seguente mostra un CloudTrail evento che dimostra l'DeleteDocumentoperazione su un documento denominato example-Document nella regione Stati Uniti orientali (Ohio) (us-east-2).
{
"eventVersion": "1.04",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE:203.0.113.11",
"arn": "arn:aws:sts::123456789012:assumed-role/example-role/203.0.113.11",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2018-03-06T20:19:16Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/example-role",
"accountId": "123456789012",
"userName": "example-role"
}
}
},
"eventTime": "2018-03-06T20:30:12Z",
"eventSource": "ssm.amazonaws.com",
"eventName": "DeleteDocument",
"awsRegion": "us-east-2",
"sourceIPAddress": "203.0.113.11",
"userAgent": "example-user-agent-string",
"requestParameters": {
"name": "example-Document"
},
"responseElements": null,
"requestID": "86168559-75e9-11e4-8cf8-75d18EXAMPLE",
"eventID": "832b82d5-d474-44e8-a51d-093ccEXAMPLE",
"resources": [
{
"ARN": "arn:aws:ssm:us-east-2:123456789012:document/example-Document",
"accountId": "123456789012"
}
],
"eventType": "AwsApiCall",
"recipientAccountId": "123456789012",
"eventCategory": "Management"
}Esempio 2: StartConnection
L'esempio seguente mostra un CloudTrail evento per un utente che avvia una connessione RDP utilizzando Fleet Manager nella regione Stati Uniti orientali (Ohio) (us-east-2). L'azione API sottostante è StartConnection.
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:sts::123456789012:assumed-role/exampleRole",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:sts::123456789012:assumed-role/exampleRole",
"accountId": "123456789012",
"userName": "exampleRole"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2021-12-13T14:57:05Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2021-12-13T16:50:41Z",
"eventSource": "ssm-guiconnect.amazonaws.com",
"eventName": "StartConnection",
"awsRegion": "us-east-2",
"sourceIPAddress": "34.230.45.60",
"userAgent": "example-user-agent-string",
"requestParameters": {
"AuthType": "Credentials",
"Protocol": "RDP",
"ConnectionType": "SessionManager",
"InstanceId": "i-02573cafcfEXAMPLE"
},
"responseElements": {
"ConnectionArn": "arn:aws:ssm-guiconnect:us-east-2:123456789012:connection/fcb810cd-241f-4aae-9ee4-02d59EXAMPLE",
"ConnectionKey": "71f9629f-0f9a-4b35-92f2-2d253EXAMPLE",
"ClientToken": "49af0f92-d637-4d47-9c54-ea51aEXAMPLE",
"requestId": "d466710f-2adf-4e87-9464-055b2EXAMPLE"
},
"requestID": "d466710f-2adf-4e87-9464-055b2EXAMPLE",
"eventID": "fc514f57-ba19-4e8b-9079-c2913EXAMPLE",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management"
}Esempi di eventi di dati
Esempio 1: CreateControlChannel
L'esempio seguente mostra un CloudTrail evento che dimostra l'operazione. CreateControlChannel
{
"eventVersion":"1.08",
"userIdentity":{
"type":"AssumedRole",
"principalId":"AKIAI44QH8DHBEXAMPLE",
"arn":"arn:aws:sts::123456789012:assumed-role/exampleRole",
"accountId":"123456789012",
"accessKeyId":"AKIAI44QH8DHBEXAMPLE",
"sessionContext":{
"sessionIssuer":{
"type":"Role",
"principalId":"AKIAI44QH8DHBEXAMPLE",
"arn":"arn:aws:iam::123456789012:role/exampleRole",
"accountId":"123456789012",
"userName":"exampleRole"
},
"attributes":{
"creationDate":"2023-05-04T23:14:50Z",
"mfaAuthenticated":"false"
}
}
},
"eventTime":"2023-05-04T23:53:55Z",
"eventSource":"ssm.amazonaws.com",
"eventName":"CreateControlChannel",
"awsRegion":"us-east-1",
"sourceIPAddress":"192.0.2.0",
"userAgent":"example-agent",
"requestParameters":{
"channelId":"44295c1f-49d2-48b6-b218-96823EXAMPLE",
"messageSchemaVersion":"1.0",
"requestId":"54993150-0e8f-4142-aa54-3438EXAMPLE",
"userAgent":"example-agent"
},
"responseElements":{
"messageSchemaVersion":"1.0",
"tokenValue":"Value hidden due to security reasons.",
"url":"example-url"
},
"requestID":"54993150-0e8f-4142-aa54-3438EXAMPLE",
"eventID":"a48a28de-7996-4ca1-a3a0-a51fEXAMPLE",
"readOnly":false,
"resources":[
{
"accountId":"123456789012",
"type":"AWS::SSMMessages::ControlChannel",
"ARN":"arn:aws:ssmmessages:us-east-1:123456789012:control-channel/44295c1f-49d2-48b6-b218-96823EXAMPLE"
}
],
"eventType":"AwsApiCall",
"managementEvent":false,
"recipientAccountId":"123456789012",
"eventCategory":"Data"
}Esempio 2: RequestManagedInstanceRoleToken
L'esempio seguente mostra un CloudTrail evento che dimostra l'RequestManagedInstanceRoleTokenoperazione.
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "123456789012:aws:ec2-instance:i-02854e4bEXAMPLE",
"arn": "arn:aws:sts::123456789012:assumed-role/aws:ec2-instance/i-02854e4bEXAMPLE",
"accountId": "123456789012",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "123456789012:aws:ec2-instance",
"arn": "arn:aws:iam::123456789012:role/aws:ec2-instance",
"accountId": "123456789012",
"userName": "aws:ec2-instance"
},
"attributes": {
"creationDate": "2023-08-27T03:34:46Z",
"mfaAuthenticated": "false"
},
"ec2RoleDelivery": "2.0"
}
},
"eventTime": "2023-08-27T03:37:15Z",
"eventSource": "ssm.amazonaws.com",
"eventName": "RequestManagedInstanceRoleToken",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "Apache-HttpClient/UNAVAILABLE (Java/1.8.0_362)",
"requestParameters": {
"fingerprint": "i-02854e4bf85EXAMPLE"
},
"responseElements": null,
"requestID": "2582cced-455b-4189-9b82-7b48EXAMPLE",
"eventID": "7f200508-e547-4c27-982d-4da0EXAMLE",
"readOnly": true,
"resources": [
{
"accountId": "123456789012",
"type": "AWS::SSM::ManagedNode",
"ARN": "arn:aws:ec2:us-east-1:123456789012:instance/i-02854e4bEXAMPLE"
}
],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "123456789012",
"eventCategory": "Data"
}Per informazioni sul contenuto dei CloudTrail record, consultate il contenuto dei CloudTrail record nella Guida per l'AWS CloudTrail utente.
