Monitoramento de chamadas de API Contas da AWS usando o AWS CloudTrail registro

CodeCatalyst A Amazon está integrada com AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, função ou um AWS service (Serviço da AWS). CloudTrail captura chamadas de API feitas em nome de CodeCatalyst in connected Contas da AWS as events. Se você criar uma trilha, poderá habilitar a entrega contínua de CloudTrail eventos em um bucket do S3, incluindo eventos para CodeCatalyst. Se você não configurar uma trilha, ainda poderá ver os eventos mais recentes no CloudTrail console no Histórico de eventos.

CodeCatalyst suporta o registro das seguintes ações como eventos em arquivos de CloudTrail log:

• Os eventos de gerenciamento de CodeCatalyst espaços serão registrados na Conta da AWS conta de cobrança designada para o espaço. Para ter mais informações, consulte CodeCatalyst eventos espaciais.

  nota

  Os eventos de dados para CodeCatalyst espaços podem ser acessados usando a CLI, conforme detalhado em. Acessando eventos registrados usando o registro de eventos

• Eventos para recursos usados em ações CodeCatalyst de fluxo de trabalho que ocorrem em um Conta da AWS ambiente conectado serão registrados como eventos nesse Conta da AWS. Para ter mais informações, consulte CodeCatalyst conexões de conta e eventos de cobrança.

Importante

Embora várias contas possam ser associadas a um espaço, o CloudTrail registro de eventos em CodeCatalyst espaços e projetos se aplica somente à conta de faturamento.

A conta de faturamento de espaço é sua Conta da AWS que é cobrada por CodeCatalyst recursos além do nível AWS gratuito. Várias contas podem ser conectadas a um espaço, enquanto somente uma conta pode ser a conta de cobrança designada. A conta de cobrança ou contas adicionais conectadas ao espaço podem ter funções do IAM que são usadas para implantar AWS recursos e infraestrutura, como um cluster do Amazon ECS ou um bucket do S3, a partir de fluxos de trabalho. CodeCatalyst Você pode usar o fluxo de trabalho YAML para identificar aquele em Conta da AWS que você implantou.

nota

AWS os recursos que são implantados em contas conectadas para CodeCatalyst fluxos de trabalho não são registrados como parte do CloudTrail registro do espaço. CodeCatalyst Por exemplo, CodeCatalyst os recursos incluem um espaço ou projeto. AWS os recursos incluem um serviço Amazon ECS ou uma função Lambda. CloudTrail o registro deve ser configurado separadamente para cada Conta da AWS local em que os recursos são implantados.

CodeCatalyst o login em contas conectadas inclui as seguintes considerações:

• O acesso aos CloudTrail eventos é gerenciado com o IAM na conta conectada e não na CodeCatalyst.

• Conexões de terceiros, como a vinculação a um GitHub repositório, resultarão na gravação de nomes de recursos de terceiros nos CloudTrail registros.

nota

CloudTrail o registro de CodeCatalyst eventos está no nível do espaço e não isola os eventos pelos limites do projeto.

Para obter mais informações sobre CloudTrail, consulte o Guia AWS CloudTrail do usuário.

nota

Esta seção descreve o CloudTrail registro de todos os eventos registrados em um CodeCatalyst espaço conectado e aos Contas da AWS quais estão conectados. CodeCatalyst Além disso, para revisar todos os eventos registrados em um CodeCatalyst espaço, você também pode usar o AWS CLI aws codecatalyst list-event-logs comando e. Para ter mais informações, consulte Acessando eventos registrados usando o registro de eventos.

CodeCatalyst eventos espaciais

As ações CodeCatalyst para gerenciar recursos no nível do espaço e no nível do projeto são registradas na conta de cobrança do espaço. Para CloudTrail registrar um CodeCatalyst espaço, os eventos são registrados com as seguintes considerações.

• CloudTrail os eventos se aplicam a todo o espaço e não têm como escopo nenhum projeto único.

• Quando você conecta um Conta da AWS a um CodeCatalyst espaço, os eventos registráveis para conexões da conta serão registrados nele. Conta da AWS Depois de habilitar essa conexão, você não poderá desativá-la.

• Quando você conecta um Conta da AWS a um CodeCatalyst espaço e o designa como a conta de cobrança do espaço, os eventos serão registrados nele. Conta da AWS Depois de habilitar essa conexão, você não poderá desativá-la.

  Eventos para recursos em nível espacial e em nível de projeto são registrados somente na conta de faturamento. Para alterar a conta de CloudTrail destino, atualize a conta de cobrança em CodeCatalyst. No início do próximo ciclo de cobrança mensal, a alteração entra em vigor para a nova conta de cobrança em. CodeCatalyst Depois disso, a conta de CloudTrail destino é atualizada.

A seguir estão exemplos de eventos relacionados a ações CodeCatalyst para gerenciar recursos em nível espacial e em nível de projeto. AWS As seguintes APIs são lançadas por meio do SDK e da CLI. Os eventos serão registrados na conta de cobrança Conta da AWS especificada para o CodeCatalyst espaço.

• CreateDevEnvironment

• CreateProject

• DeleteDevEnvironment

• GetDevEnvironment

• GetProject

• GetSpace

• GetSubscription

• ListDevEnvironments

• ListDevEnvironmentSessions

• ListEventLogs

• ListProjects

• ListSourceRepositories

• StartDevEnvironment

• StartDevEnvironmentSession

• StopDevEnvironment

• StopDevEnvironmentSession

• UpdateDevEnvironment

CodeCatalyst conexões de conta e eventos de cobrança

Veja a seguir exemplos de eventos relacionados a ações em conexões CodeCatalyst de contas ou faturamento: AWS

• AcceptConnection

• AssociateIAMRoletoConnection

• DeleteConnection

• DissassociateIAMRolefromConnection

• GetBillingAuthorization

• GetConnection

• GetPendingConnection

• ListConnections

• ListIAMRolesforConnection

• PutBillingAuthorization

• RejectConnection

CodeCatalyst informações em CloudTrail

CloudTrail é ativado em e Conta da AWS quando você cria essa conta. Quando você conecta isso Conta da AWS a um CodeCatalyst espaço, os eventos desse espaço que ocorrem nele Conta da AWS são registrados são registrados nessa CloudTrail conta da AWS. Os eventos registráveis CodeCatalyst são registrados como CloudTrail eventos nos CloudTrail registros na conta conectada e no histórico de eventos no CloudTrail console, junto com outros AWS eventos registráveis nessa conta.

Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar:

• Se a solicitação foi feita por um usuário com o ID do AWS construtor.

• Se a solicitação foi feita com credenciais de usuário root ou AWS Identity and Access Management (IAM).

• Se a solicitação foi feita com credenciais de segurança temporárias de um perfil ou de um usuário federado.

• Se a solicitação foi feita por outro AWS serviço.

Para obter mais informações, consulte o elemento CloudTrail userIdentity.

Acessando CloudTrail eventos

Para obter um registro contínuo dos eventos em sua Conta da AWS, incluindo eventos de CodeCatalyst atividades no Conta da AWS, crie uma trilha. Uma trilha permite CloudTrail entregar arquivos de log para um bucket do S3. Por padrão, quando você cria uma trilha no console, ela é aplicada a todas as Regiões da AWS. A trilha registra eventos de todas as regiões na AWS partição e entrega os arquivos de log ao bucket do S3 que você especificar. Além disso, você pode configurar outros AWS serviços para analisar e agir com base nos dados de eventos coletados nos CloudTrail registros. Para mais informações, consulte:

• Visão geral da criação de uma trilha

• CloudTrail serviços e integrações suportados

• Configurar notificações do Amazon SNS para o CloudTrail

• Recebendo arquivos de CloudTrail log de várias regiões e Recebendo arquivos de CloudTrail log de várias contas

Uma trilha é uma configuração que permite a entrega de eventos como arquivos de log para um bucket do S3 que você especificar. CloudTrail os arquivos de log contêm uma ou mais entradas de log. Um evento representa uma única solicitação de qualquer fonte e inclui informações sobre a ação solicitada, a data e a hora da ação, os parâmetros da solicitação e assim por diante. CloudTrail os arquivos de log não são um rastreamento de pilha ordenado das chamadas públicas de API, portanto, eles não aparecem em nenhuma ordem específica.

Exemplo de evento de conexões de CodeCatalyst conta em AWS

O exemplo a seguir mostra uma entrada de CloudTrail registro que demonstra a ListConnections ação. Para um Conta da AWS que está conectado ao espaço, ListConnections é usado para visualizar todas as conexões da conta CodeCatalyst para isso Conta da AWS. O evento será registrado no local Conta da AWS especificado e o valor do arn será o Amazon Resource Name (ARN) da função usada para a ação. accountId

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AKIAI44QH8DHBEXAMPLE",
        "arn": "role-ARN",
        "accountId": "account-ID",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AKIAI44QH8DHBEXAMPLE",
                "arn": "role-ARN",
                "accountId": "account-ID",
                "userName": "user-name"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-09-06T15:04:31Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2022-09-06T15:08:43Z",
    "eventSource": "account-ID",
    "eventName": "ListConnections",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.168.0.1",
    "userAgent": "aws-cli/1.18.147 Python/2.7.18 Linux/5.4.207-126.363.amzn2int.x86_64 botocore/1.18.6",
    "requestParameters": null,
    "responseElements": null,
    "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 ",
    "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 ",
    "readOnly": true,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "account-ID",
    "eventCategory": "Management"
}
      

Exemplo de evento de recurso do CodeCatalyst projeto em AWS

O exemplo a seguir mostra uma entrada de CloudTrail registro que demonstra a CreateDevEnvironment ação. Uma Conta da AWS que esteja conectada ao espaço e seja a conta de cobrança designada para o espaço é usada para eventos em nível de projeto no espaço, como a criação de um ambiente de desenvolvimento.

AbaixouserIdentity, no accountId campo, está o ID da conta do IAM Identity Center (432677196278) que hospeda o pool de identidades para todas as identidades de ID do AWS Builder. Esse ID da conta contém as seguintes informações sobre o CodeCatalyst usuário do evento.

• O type campo indica o tipo de entidade do IAM para a solicitação. Para CodeCatalyst eventos para recursos espaciais e de projetos, esse valor éIdentityCenterUser. O accountId campo especifica a conta proprietária da entidade que foi usada para obter as credenciais.

• O userId campo contém o identificador de ID do AWS construtor para o usuário.

• O identityStoreArn campo contém o ARN da função para a conta e o usuário do repositório de identidades.

O recipientAccountId campo contém o ID da conta de cobrança do espaço, com um valor de exemplo aqui de 111122223333.

Para obter mais informações, consulte o elemento CloudTrail userIdentity.

{
	"eventVersion": "1.09",
	"userIdentity": {
		"type": "IdentityCenterUser",
		"accountId": "432677196278",
		"onBehalfOf": {
			"userId": "user-ID",
			"identityStoreArn": "arn:aws:identitystore::432677196278:identitystore/d-9067642ac7"
		},
		"credentialId": "ABCDefGhiJKLMn11Lmn_1AbCDEFgHijk-AaBCdEFGHIjKLmnOPqrs11abEXAMPLE"
	},
	"eventTime": "2023-05-18T17:10:50Z",
	"eventSource": "codecatalyst.amazonaws.com",
	"eventName": "CreateDevEnvironment",
	"awsRegion": "us-west-2",
	"sourceIPAddress": "192.168.0.1",
	"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:102.0) Gecko/20100101 Firefox/102.0",
	"requestParameters": {
		"spaceName": "MySpace",
		"projectName": "MyProject",
		"ides": [{
			"runtime": "public.ecr.aws/q6e8p2q0/cloud9-ide-runtime:2.5.1",
			"name": "Cloud9"
		}],
		"instanceType": "dev.standard1.small",
		"inactivityTimeoutMinutes": 15,
		"persistentStorage": {
			"sizeInGiB": 16
		}
	},
	"responseElements": {
		"spaceName": "MySpace",
		"projectName": "MyProject",
		"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 "
	},
	"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
	"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
	"readOnly": false,
	"eventType": "AwsApiCall",
	"managementEvent": true,
	"recipientAccountId": "111122223333",
	"sharedEventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
	"eventCategory": "Management"
}

nota

Em certos eventos, o agente do usuário pode não ser conhecido. Nesse caso, CodeCatalyst fornecerá um valor de Unknown no userAgent campo no CloudTrail evento.

Consultando suas trilhas de CodeCatalyst eventos

Você pode criar e gerenciar consultas para seus CloudTrail registros usando uma tabela de consultas no Amazon Athena. Para obter mais informações sobre a criação de uma consulta, consulte Como consultar AWS CloudTrail registros no Guia do usuário do Amazon Athena.