本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用記錄AWS付款密碼編譯 API 呼叫 AWS CloudTrail
AWS支付密碼與整合AWS CloudTrail,這項服務提供由使用者、角色或服務在AWS付款密碼學中AWS服務所採取動作的記錄。CloudTrail將的所有 API 呼叫當作事件時AWS間的 API 呼叫當作事件。擷取的呼叫包括從AWS付款密碼編譯主控台進行的呼叫,以及對付AWS款密碼編譯 API 操作進行的程式碼呼叫。如果您建立線索,就可以將CloudTrail事件持續交付至 Amazon S3 儲存貯體,包括AWS支付加密的事件。如果您不設定追蹤記錄,仍然可以透過 CloudTrail 主控台中的 Event history (事件歷史記錄) 檢視最新的事件。您可以利用人員CloudTrail、提出請求的時間,以AWS及發出請求的 IP 地址、人員、時間和其他詳細資訊。
若要進一步了解 CloudTrail,請參閱 AWS CloudTrail 使用者指南。
注意
Cloudtrail 整合目前僅支援控制平面作業。
AWS付款密碼學資訊 CloudTrail
當您建立帳戶時,系統會在您的 AWS 帳戶中啟用 CloudTrail。此外,在AWS付款密碼學中發生活動時,系統便會將該活動記錄至CloudTrail事件,並將其他AWS服務事件記錄到事件歷史記錄中。您可以檢視、搜尋和下載 AWS 帳戶的最新事件。如需詳細資訊,請參閱使用 CloudTrail 事件歷程記錄檢視事件。
若要持續記錄AWS帳戶中的事件,包括AWS支付密碼學的事件,請建立線索。線索能讓CloudTrail將日誌檔案交付至 Amazon S3 儲存貯體。根據預設,當您在主控台建立線索時,線索會套用到所有 AWS 區域。該追蹤會記錄來自 AWS 分割區中所有區域的事件,並將日誌檔案交付到您指定的 Amazon S3 儲存貯體。此外,您可以設定其他 AWS 服務,以進一步分析和處理 CloudTrail 日誌中所收集的事件資料。如需詳細資訊,請參閱下列內容:
CloudTrail記錄AWS付款密碼編譯作業,例如CreateKey、ImportKey、DeleteKeyListKeysTagResource、和所有其他控制平面作業。
每一筆事件或日誌項目都會包含產生請求者的資訊。身分資訊可協助您判斷下列事項:
-
該請求是否透過根或 AWS Identity and Access Management (IAM) 使用者憑證來提出。
-
提出該請求時,是否使用了特定角色或聯合身分使用者的暫時安全憑證。
-
該請求是否由另一項 AWS 服務提出。
如需詳細資訊,請參閱 CloudTrail userIdentity 元素。
瞭解AWS付款密碼編譯記錄檔項目
追蹤是一種組態,能讓事件以日誌檔案的形式交付到您指定的 Amazon S3 儲存貯體。CloudTrail 日誌檔案包含一個或多個日誌項目。一個事件為任何來源提出的單一請求,並包含請求動作、請求的日期和時間、請求參數等資訊。CloudTrail 日誌檔案並非依公有 API 呼叫追蹤記錄的堆疊排序,因此不會以任何特定順序出現。
以下範例顯示的是展示AWS的時間CreateKey。CloudTrail
{ CloudTrailEvent: { tlsDetails= { TlsDetails: { cipherSuite=TLS_AES_128_GCM_SHA256, tlsVersion=TLSv1.3, clientProvidedHostHeader=pdx80.controlplane.paymentcryptography.us-west-2.amazonaws.com } }, requestParameters=CreateKeyInput ( keyAttributes=KeyAttributes( KeyUsage=TR31_B0_BASE_DERIVATION_KEY, keyClass=SYMMETRIC_KEY, keyAlgorithm=AES_128, keyModesOfUse=KeyModesOfUse( encrypt=false, decrypt=false, wrap=false unwrap=false, generate=false, sign=false, verify=false, deriveKey=true, noRestrictions=false) ), keyCheckValueAlgorithm=null, exportable=true, enabled=true, tags=null), eventName=CreateKey, userAgent=Coral/Apache-HttpClient5, responseElements=CreateKeyOutput( key=Key( keyArn=arn:aws:payment-cryptography:us-east-2:111122223333:key/5rplquuwozodpwsp, keyAttributes=KeyAttributes( KeyUsage=TR31_B0_BASE_DERIVATION_KEY, keyClass=SYMMETRIC_KEY, keyAlgorithm=AES_128, keyModesOfUse=KeyModesOfUse( encrypt=false, decrypt=false, wrap=false, unwrap=false, generate=false, sign=false, verify=false, deriveKey=true, noRestrictions=false) ), keyCheckValue=FE23D3, keyCheckValueAlgorithm=ANSI_X9_24, enabled=true, exportable=true, keyState=CREATE_COMPLETE, keyOrigin=AWS_PAYMENT_CRYPTOGRAPHY, createTimestamp=Sun May 21 18:58:32 UTC 2023, usageStartTimestamp=Sun May 21 18:58:32 UTC 2023, usageStopTimestamp=null, deletePendingTimestamp=null, deleteTimestamp=null) ), sourceIPAddress=192.158.1.38, userIdentity={ UserIdentity: { arn=arn:aws:sts::111122223333:assumed-role/TestAssumeRole-us-west-2-PDX80/ControlPlane-IntegTest-68211a2a-3e9d-42b7-86ac-c682520e0410, invokedBy=null, accessKeyId=, type=AssumedRole, sessionContext={ SessionContext: { sessionIssuer={ SessionIssuer: {arn=arn:aws:iam::111122223333:role/TestAssumeRole-us-west-2-PDX80, type=Role, accountId=111122223333, userName=TestAssumeRole-us-west-2-PDX80, principalId=} }, attributes={ SessionContextAttributes: { creationDate=Sun May 21 18:58:31 UTC 2023, mfaAuthenticated=false } }, webIdFederationData=null } }, username=null, principalId=:ControlPlane-User, accountId=111122223333, identityProvider=null } }, eventTime=Sun May 21 18:58:32 UTC 2023, managementEvent=true, recipientAccountId=111122223333, awsRegion=us-west-2, requestID=151cdd67-4321-1234-9999-dce10d45c92e, eventVersion=1.08, eventType=AwsApiCall, readOnly=false, eventID=c69e3101-eac2-1b4d-b942-019919ad2faf, eventSource=payment-cryptography.amazonaws.com, eventCategory=Management, additionalEventData={ } } }
