通过 EC2 Instance Conect Endpoint 建立的日志连接 - Amazon Elastic Compute Cloud
记录 EC2 Instance Connect Endpoint API 调用日志审核通过 EC2 Instance Connect Endpoint 连接的用户
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

通过 EC2 Instance Conect Endpoint 建立的日志连接

您可以使用日志记录资源操作并使用 Amazon CloudTrail 日志审核通过 EC2 Instance Connect Endpoint 建立的连接。

有关将 Amazon CloudTrail 与 Amazon EC2 结合使用的更多信息,请参阅 使用 Amazon CloudTrail 记录 Amazon EC2 和 Amazon EBS API 调用

使用 Amazon CloudTrail 记录 EC2 Instance Connect Endpoint API 调用日志

EC2 Instance Connect Endpoint 资源操作将作为管理事件记录到 CloudTrail。当进行以下 API 调用时,该活动将在事件历史记录中作为 CloudTrail 事件记录:

  • CreateInstanceConnectEndpoint

  • DescribeInstanceConnectEndpoints

  • DeleteInstanceConnectEndpoint

您可以在 Amazon Web Services 账户中查看、搜索和下载最新事件。有关更多信息,请参阅 Amazon CloudTrail 用户指南中的使用 CloudTrail 事件历史记录查看事件

使用 Amazon CloudTrail 审核使用 EC2 Instance Connect Endpoint 连接到实例的用户

通过 EC2 Instance Connect Endpoint 对实例的连接尝试将记录在 CloudTrail 的事件历史记录中。当通过 EC2 Instance Connect Endpoint 启动对实例的连接时,该连接将被记录为带有 OpenTunneleventName 的 CloudTrail 管理事件。

您可以创建将 CloudTrail 事件路由到目标的 Amazon EventBridge 规则。有关更多信息,请参阅 Amazon EventBridge 用户指南

以下是在 CloudTrail 中记录的 OpenTunnel 管理事件示例。

{
     "eventVersion": "1.08",
     "userIdentity": {
         "type": "IAMUser",
         "principalId": "ABCDEFGONGNOMOOCB6XYTQEXAMPLE",
         "arn": "arn:aws:iam::1234567890120:user/IAM-friendly-name",
         "accountId": "123456789012",
         "accessKeyId": "ABCDEFGUKZHNAW4OSN2AEXAMPLE",
         "userName": "IAM-friendly-name"
     },
     "eventTime": "2023-04-11T23:50:40Z",
     "eventSource": "ec2-instance-connect.amazonaws.com",
     "eventName": "OpenTunnel",
     "awsRegion": "us-east-1",
     "sourceIPAddress": "1.2.3.4",
     "userAgent": "aws-cli/1.15.61 Python/2.7.10 Darwin/16.7.0 botocore/1.10.60",
     "requestParameters": {
         "instanceConnectEndpointId": "eici-0123456789EXAMPLE",
         "maxTunnelDuration": "3600",
         "remotePort": "22",
         "privateIpAddress": "10.0.1.1"
     },
     "responseElements": null,
     "requestID": "98deb2c6-3b3a-437c-a680-03c4207b6650",
     "eventID": "bbba272c-8777-43ad-91f6-c4ab1c7f96fd",
     "readOnly": false,
     "resources": [{
         "accountId": "123456789012",
         "type": "AWS::EC2::InstanceConnectEndpoint",
         "ARN": "arn:aws:ec2:us-east-1:123456789012:instance-connect-endpoint/eici-0123456789EXAMPLE"
     }],
     "eventType": "AwsApiCall",
     "managementEvent": true,
     "recipientAccountId": "123456789012",
     "eventCategory": "Management"
}