使用记录 Amazon Connect API 通话 AWS CloudTrail

Amazon Connect 与 AWS CloudTrail一项服务集成，该服务提供用户、角色或 AWS 服务API拨打的 Amazon Connect 通话记录。 CloudTrail 将 Amazon Connect API 呼叫捕获为事件。所有公共 Amazon Connect APIs 支持 CloudTrail。

注意

• 当您使用 Amazon Connect 管理网站创建或更新快速连接、队列或用户管理资源时， CloudTrail日志记录会记录这些事件。

• 在创建或更新操作时间、流程、电话号码、用户层次结构、座席状态和提示资源时， CloudTrail 只有在使用CLI或公开APIs进行更改时才会记录这些事件。

• 要访问更新的 Amazon Connect 管理网站和 CloudTrail 支持，您必须使用与服务相关的角色。有关更多信息，请参阅 将服务相关角色用于 Amazon Connect。

使用 CloudTrail 收集到的信息，您可以识别向 Amazon Connect API 提出的特定请求、请求者的 IP 地址、请求者的身份、请求的日期和时间等。如果您配置了跟踪，则可以将 CloudTrail事件持续传输到 Amazon S3 存储桶。如果您未配置跟踪，则可以在 CloudTrail 控制台的 “事件历史记录” 中查看最新事件。

有关更多信息（ CloudTrail包括如何配置和启用跟踪），请参阅为您的 AWS 账户创建跟踪和AWS CloudTrail 用户指南。

Amazon Connect 中的信息 CloudTrail

CloudTrail 在您创建 AWS 账户时已在您的账户上启用。当 Amazon Connect 中出现支持的事件活动时，该活动会与其他 AWS 服务 CloudTrail 事件一起记录在事件历史记录中。您可以在自己的 AWS 账户中查看、搜索和下载最近发生的事件。有关更多信息，请参阅使用事件历史记录查看 CloudTrail 事件。

要持续记录您的 AWS 账户中的事件，包括 Amazon Connect 的事件，请创建跟踪。跟踪允许 CloudTrail 将日志文件传输到 Amazon S3 存储桶。默认情况下，当您在控制台中创建跟踪时，该跟踪将应用于所有 AWS 区域。该跟踪记录来自所有 AWS 区域的事件，并将日志文件传输到您指定的 Amazon S3 存储桶。此外，您可以配置其他 AWS 服务，以进一步分析和处理 CloudTrail 日志中收集的事件数据。有关更多信息，请参阅下列内容：

• 为您的 AWS 账户创建跟踪

• CloudTrail 支持的服务和集成

• 为以下各项配置亚马逊SNS通知 CloudTrail

• 接收来自多个区域的 CloudTrail 日志文件

• 接收来自多个账户的 CloudTrail 日志文件

每个事件或日记账条目都包含有关生成请求的人员信息。身份信息有助于您确定以下内容：

• 请求是使用 root 还是 AWS Identity and Access Management (IAM) 凭据发出。

• 请求是使用角色还是联合用户的临时安全凭证发出的。

• 请求是否由其他 AWS 服务发出。

有关更多信息，请参阅CloudTrail userIdentity元素。

示例：Amazon Connect 日志文件条目

跟踪是一种配置，允许将事件作为日志文件传输到您指定的 Amazon S3 存储桶。 CloudTrail 日志文件包含一个或多个日志条目。事件代表来自任何来源的单个请求，包括有关请求的操作、操作的日期和时间、请求参数等的信息。 CloudTrail 日志文件不是公共API调用的有序堆栈跟踪，因此它们不会按任何特定的顺序出现。

以下示例显示了演示该GetContactAttributes操作的 CloudTrail 日志条目。

{
        "eventVersion": "1.05",
        "userIdentity": {
         "type": "AssumedRole",
         "principalId": "AAAAAAA1111111EXAMPLE",
         "arn": "arn:aws:sts::123456789012:assumed-role/John",
         "accountId": "123456789012",
         "accessKeyId": "AAAAAAA1111111EXAMPLE",          
         "sessionContext": {
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2019-08-15T06:40:14Z"
            },
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AAAAAAA1111111EXAMPLE",
                "arn": "arn:aws:iam::123456789012:role/John",
                "accountId": "123456789012",
                "userName": "John"
            }
        }
    },
    "eventTime": "2019-08-15T06:40:55Z",
    "eventSource": "connect.amazonaws.com",
    "eventName": "GetContactAttributes",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "205.251.233.179",
    "userAgent": "aws-sdk-java/1.11.590 Mac_OS_X/10.14.6 Java_HotSpot(TM)_64-Bit_Server_VM/25.202-b08 java/1.8.0_202 vendor/Oracle_Corporation",
    "requestParameters": {
        "InitialContactId": "00fbeee1-123e-111e-93e3-11111bfbfcc1",
        "InstanceId": "00fbeee1-123e-111e-93e3-11111bfbfcc1"
    },
    "responseElements": null,
    "requestID": "be1bee1d-1111-11e1-1eD1-0dc1111f1ac1c",
    "eventID": "00fbeee1-123e-111e-93e3-11111bfbfcc1",
    "readOnly": true,
    "eventType": "AwsApiCall",
    "recipientAccountId": "123456789012"
}
         
            

示例：Amazon Connect Voice ID 日志文件条目

就像 Amazon Connect 一样，语音识别与集成在一起 CloudTrail。启用后，该服务会针对用户、角色或 AWS 服务发出的语音 ID API 呼叫发出事件。您也可以重复使用为 Amazon Connect 创建的相同 CloudTrail 资源（包括跟踪和 S3 存储桶）来接收语音 ID 的 CloudTrail 日志。

出于安全考虑，API请求和响应中可能包含PII信息的敏感字段将在事件中被删除。

以下示例显示了演示该 CreateDomain操作的 CloudTrail 日志条目。

{
  "eventVersion": "1.08",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AROA5STZEFPSWCM4YHJB2:SampleUser",
    "arn": "arn:aws:sts::111122223333:assumed-role/SampleRole/SampleUser",
    "accountId": "111122223333",
    "accessKeyId": "AAAAAAA1111111EXAMPLE",  
    "sessionContext": {
      "sessionIssuer": {
        "type": "Role",
        "principalId": "EXAMPLEZEFPSWCM4YHJB2",
        "arn": "arn:aws:iam::111122223333:role/SampleRole",
        "accountId": "111122223333",
        "userName": "SampleRole"
      },
      "webIdFederationData": {},
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2021-08-17T01:55:39Z"
      }
    }
  },
  "eventTime": "2021-08-17T01:55:41Z",
  "eventSource": "voiceid.amazonaws.com",
  "eventName": "CreateDomain",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "205.251.233.179",
  "userAgent": "aws-sdk-java/1.11.590 Mac_OS_X/10.14.6 Java_HotSpot(TM)_64-Bit_Server_VM/25.202-b08 java/1.8.0_202 vendor/Oracle_Corporation",
  "requestParameters": {
    "description": "HIDDEN_DUE_TO_SECURITY_REASONS",
    "name": "HIDDEN_DUE_TO_SECURITY_REASONS",
    "serverSideEncryptionConfiguration": {
      "kmsKeyId": "alias/sample-customer-managed-key"
    }
  },
  "responseElements": {
    "domain": {
      "arn": "arn:aws:voiceid:us-west-2:111122223333:domain/ExampleOsAjzg9xoByUatN",
      "createdAt": "Aug 17, 2021, 1:55:40 AM",
      "description": "HIDDEN_DUE_TO_SECURITY_REASONS",
      "domainId": "UcUuCPFOsAjzg9xoByUatN",
      "domainStatus": "ACTIVE",
      "name": "HIDDEN_DUE_TO_SECURITY_REASONS",
      "serverSideEncryptionConfiguration": {
        "kmsKeyId": "arn:aws:kms:us-west-2:111122223333:key/1111111-7741-44b1-a5fe-7c6208589bf3"
      },
      "updatedAt": "Aug 17, 2021, 1:55:40 AM"
    }
  },
  "requestID": "11111111-b358-4637-906e-67437274fe4e",
  "eventID": "1111111-a4d1-445e-ab62-8626af3c458d",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "managementEvent": true,
  "eventCategory": "Management",
  "recipientAccountId": "111122223333"
}