AWS Systems Manager
Guia do usuário

Auditoria e registro de atividade de sessão

Além de fornecer informações sobre sessões atuais e concluídas no console do Systems Manager, o Session Manager fornece opções para auditoria e registro em log de atividades de sessão na sua conta da AWS. Com ele, é possível:

  • Criar e armazenar logs de sessão para fins de arquivamento.

  • Gerar um relatório que mostra detalhes de cada conexão feita pelas suas instâncias usando Session Manager ao longo dos últimos 30 dias.

  • Gerar notificações de atividades da sessão na sua conta da AWS, como notificações do Amazon Simple Notification Service (Amazon SNS).

  • Inicia automaticamente outra ação em um recurso da AWS como resultado da atividade da sessão, como executar uma função AWS Lambda, iniciar um pipeline do AWS CodePipeline ou executar um documento do AWS Systems Manager Executar comando.

nota

Se você estiver usando o Windows Server 2012 ou anterior, os dados em seus logs podem não ser formatados corretamente. Recomendamos usar o Windows Server 2012 R2 e posterior para formatos de log ideais.

Se você estiver usando instâncias do Linux, certifique-se de que o utilitário do screen esteja instalado. Se não estiver, seus dados de log podem ser truncados. No Amazon Linux, Amazon Linux 2 e Ubuntu Server, o utilitário screen vem instalado por padrão. Para instalar o screen manualmente, dependendo da sua versão do Linux, execute sudo yum install screen ou sudo apt-get install screen.

Consulte os tópicos a seguir para obter mais informações sobre as opções de registro e auditoria Session Manager.

Auditar atividade da sessão usando AWS CloudTrail

O AWS CloudTrail captura chamadas à API de sessão feitas no console do Systems Manager, na AWS CLI e nos SDK da Systems Manager. As informações podem ser visualizados no console do CloudTrail ou armazenadas em um bucket específico do Amazon S3. Um bucket é usado em todos os logs CloudTrail para sua conta.

Para obter mais informações, consulte Registrar chamadas de API do AWS Systems Manager com o AWS CloudTrail.

Registrar dados de sessão usando o Amazon S3 (console)

Você pode optar por armazenar dados de log da sessão em um bucket específico Amazon S3 para fins de auditoria. A opção padrão é que os logs sejam enviados para um bucket do S3 criptografado. A criptografia é feita usando a chave especificada para o bucket, um chave do AWS Key Management Service (AWS KMS) ou uma chave de criptografia no lado do servidor (SSE) (AES-256) do Amazon S3.

Importante

Ao usar buckets hospedados virtualmente com Secure Sockets Layer (SSL), o certificado SSL curinga corresponde somente a buckets que não contenham pontos. Para contornar isso, use HTTP ou escreva a sua própria lógica de verificação do certificado. Recomendamos não usar pontos (".") em nomes de buckets ao usar buckets hospedados virtualmente.

Criptografia do bucket do S3

Para enviar logs ao seu bucket do S3 com criptografia, a mesma deve ser habilitada no bucket. Para obter mais informações sobre a criptografia de buckets do S3, consulte Criptografia padrão do Amazon S3 para buckets do S3.

CMK gerenciadas pelo cliente

Se você estiver usando uma chave mestra do cliente (CMK) do AWS KMS que você mesmo gerencia (uma CMK gerenciada pelo cliente) para criptografar o bucket, o perfil de instância do IAM anexado às suas instâncias deverá ter permissões explícitas para ler a CMK. Se você usar uma CMK gerenciada pela AWS, a instância não exigirá essa permissão explícita. Para obter mais informações sobre como fornecer o perfil de instância com acesso para usar a CMK, consulte Permitir o uso da CMK aos usuários da chave no AWS Key Management Service Developer Guide.

Siga estas etapas para configurar Session Manager para armazenar logs de sessão em um bucket do Amazon S3.

nota

Você também pode usar o AWS CLI para especificar ou alterar o bucket do S3 para os quais os dados serão enviados. Para obter informações, consulte Atualizar preferências do Session Manager (AWS CLI).

Para registrar dados de sessão usando o Amazon S3 (console)

  1. Abrir o console do AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

  2. No painel de navegação, selecione Session Manager.

  3. Escolha a guia Preferences (Preferências) e, em seguida, escolha Edit (Editar).

  4. Marque a caixa de seleção ao lado de S3 bucket (Bucket do S3).

  5. (Opcional) Se não quiser criptografar os dados de log que são enviados ao bucket do S3, desmarque a caixa de seleção ao lado de Encrypt log data (Criptografar dados de log). Caso contrário, os dados de log serão criptografados usando a chave de criptografia no lado do servidor especificada para o bucket. Você também deverá desmarcar a caixa de seleção se a criptografia não estiver habilitada no bucket.

  6. Para S3 bucket name (Nome do bucket do S3), selecione uma das seguintes opções:

    nota

    Recomendamos não usar pontos (".") em nomes de buckets ao usar buckets hospedados virtualmente. Para obter mais informações sobre as convenções de nomeação de buckets do S3, consulte Restrições e limitações de buckets no Amazon Simple Storage Service Developer Guide.

    • Choose a bucket name from the list (Escolha um nome de bucket na lista): selecione um bucket do S3 que já tenha sido criado na sua conta para armazenar dados de log de sessão.

    • Enter a bucket name in the text box (Insira um nome de bucket na caixa de texto): insira o nome de um bucket do S3 que já tenha sido criado na sua conta para armazenar dados de log de sessão.

  7. (Opcional) Para prefixo de chaves do S3, insira o nome de uma pasta existente ou uma nova pasta para armazenar logs no bucket selecionado.

  8. Escolha Salvar.

Para obter mais informações sobre como trabalhar com Amazon S3 e buckets do S3, consulte Amazon Simple Storage Service Getting Started Guide e Amazon Simple Storage Service Console User Guide.

Registrar dados de sessão usando o Amazon CloudWatch Logs (console)

O Amazon CloudWatch Logs permite monitorar, armazenar e acessar os arquivos de log de vários serviços da AWS. Você pode transmitir dados de log de sessão a um grupo de logs do CloudWatch Logs para fins de auditoria. A opção padrão é que os dados de log sejam enviados com criptografia usando sua chave do AWS KMS, mas você pode transmitir esses dados ao seu grupo de logs com ou sem criptografia.

Siga estas etapas para configurar o Session Manager para transmitir dados de log de sessão a um grupo de logs do CloudWatch Logs.

nota

Você também pode usar a AWS CLI para especificar ou alterar o grupo de logs do CloudWatch Logs ao qual os dados de sessão serão enviados. Para obter informações, consulte Atualizar preferências do Session Manager (AWS CLI).

Para registrar dados de sessão usando o Amazon CloudWatch Logs (console)

  1. Abrir o console do AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

  2. No painel de navegação, selecione Session Manager.

  3. Escolha a guia Preferences (Preferências) e, em seguida, escolha Edit (Editar).

  4. Marque a caixa de seleção ao lado dos logs do CloudWatch.

  5. (Opcional) Se não quiser criptografar os dados de log que são enviados ao CloudWatch Logs, desmarque a caixa de seleção ao lado de Encrypt log data (Criptografar dados de log). Caso contrário, os dados de log serão criptografados usando a chave de criptografia no lado do servidor especificada para o grupo de logs. Você também deverá desmarcar a caixa de seleção se a criptografia não estiver habilitada no grupo de logs.

  6. Em CloudWatch logs (Logs do CloudWatch), para especificar o grupo de logs existente do CloudWatch Logs na sua conta da AWS no qual fazer upload de logs de sessão, selecione uma das seguintes ações:

    • Choose a log group from the list (Escolha um grupo de logs na lista): selecione um grupo de logs que já tenha sido criado na sua conta para armazenar dados de log de sessão.

    • Enter a log group name in the text box (Insira um nome de grupo de logs na caixa de texto): insira o nome de um grupo de logs que já tenha sido criado na sua conta para armazenar dados de log de sessão.

  7. Escolha Salvar.

Para obter mais informações sobre como trabalhar com o CloudWatch Logs, consulte o Amazon CloudWatch Logs User Guide.

Monitorar atividades de sessão usando o Amazon CloudWatch Events (console)

O CloudWatch Events permite configurar regras para detectar quando ocorrem alterações nos recursos da AWS. Você pode criar uma regra para detectar quando um usuário na sua organização inicia ou interrompe uma sessão e, em seguida, por exemplo, receber uma notificação por meio do Amazon SNS sobre o evento.

O suporte do CloudWatch Events ao Session Manager se baseia em registros de ações de API que foram registradas pelo CloudTrail. (Você pode usar integração do CloudTrail com CloudWatch Events para responder à maioria dos eventos do AWS Systems Manager.)

As etapas a seguir descrevem como acionar notificações por meio do Amazon Simple Notification Service (Amazon SNS) quando um evento da API Session Manager ocorre, como StartSession.

Para monitorar atividades de sessão usando o Amazon CloudWatch Events (console)

  1. Crie um tópico do Amazon SNS a ser usado para enviar notificações, que você deseja rastrear, quando o evento do Session Manager ocorrer.

    Para obter mais informações, consulte Criar um tópico no Amazon Simple Notification Service Developer Guide.

  2. Crie uma regra da CloudWatch Events para invocar o destino do Amazon SNS para o tipo de evento do Session Manager que você deseja rastrear.

    Para obter informações sobre como criar a regra, consulte Criar uma regra do CloudWatch Events que é acionada em um evento no Amazon CloudWatch Events User Guide.

    À medida que você seguir as etapas para criar uma regra, selecione o seguinte:

    • Em Service Name (Nome do serviço), escolha EC2 Simple Systems Manager (SSM).

    • Para Event Type (Tipo de evento), escolha AWS API Call via (Chamada de API da AWS via) CloudTrail.

    • Escolha Specific operations(s) (Operação(ões) específica(s)) e, em seguida, insira o(s) comando(s) do Session Manager (um de cada vez) que você deseja receber notificações. Você pode escolher StartSession, ResumeSession e TerminateSession. (CloudWatch Events não possui suporte aos comando Get*, List* e Describe*).

    • Em Targets (Destinos), escolha SNS topic (Tópico do SNS). Em Topic (Tópico), escolha o nome do tópico do Amazon SNS criado na Etapa 1.

Para obter mais informações, consulte o Amazon CloudWatch Events User Guide e o Amazon Simple Notification Service Getting Started Guide.