使用 Amazon Systems Manager 记录 Amazon CloudTrail API 调用 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

使用 Amazon Systems Manager 记录 Amazon CloudTrail API 调用

Amazon Systems Manager 已与 Amazon CloudTrail 服务集成,后者可提供用户、角色或 Amazon Web Service 服务在 Systems Manager 中所执行操作的记录。CloudTrail 将对 Systems Manager 的所有 API 调用作为事件捕获,包括来自 Systems Manager 控制台的调用和对 Systems Manager API 的代码调用。如果您创建跟踪记录,则可以打开将 CloudTrail 事件持续传送到 Amazon S3 存储桶(包括 Systems Manager 的事件)的功能。如果您不配置跟踪,则仍可在 CloudTrail 控制台中的 Event history(事件历史记录) 中查看最新事件。使用 CloudTrail 收集的信息,您可以确定向 Systems Manager 发出了什么请求、发出请求的 IP 地址、何人发出的请求、发出请求的时间,以及其他详细信息。

如需了解有关 CloudTrail 的更多信息,请参阅 Amazon CloudTrail 用户指南

CloudTrail 中的 Systems Manager 信息

在您创建 Amazon Web Services 账户时,将在该账户上激活 CloudTrail。当 Systems Manager 中发生活动时,该活动将记录在 CloudTrail 事件中,并与其他 Amazon Web Service事件一起保存在 Event history(事件历史记录)中。您可以在 Amazon Web Services 账户 中查看、搜索和下载最新事件。有关更多信息,请参阅 Amazon CloudTrail 用户指南中的使用 CloudTrail 事件历史记录查看事件

要持续记录 Amazon Web Services 账户中的事件(包括 Systems Manager 的事件),请创建跟踪记录。通过跟踪,CloudTrail 可将日志文件传送至 Amazon S3 存储桶。预设情况下,在控制台中创建跟踪记录时,此跟踪记录将适用于所有 Amazon Web Services 区域。跟踪记录 Amazon 分区所有区域的事件,将日志文件传送至指定的 S3 存储桶。此外,您可以配置其他 Amazon Web Services,进一步分析在 CloudTrail 日志中收集的事件数据并采取行动。有关更多信息,请参阅:

CloudTrail 会记录所有 Systems Manager 操作,Amazon Systems Manager API 参考中介绍了这些操作。例如,对 CreateMaintenanceWindowsPutInventorySendCommandStartSession 操作的调用将在 CloudTrail 日志文件中生成条目。有关设置 CloudTrail 来监控 Systems Manager API 调用的示例,请参阅 使用 Amazon EventBridge 监控会话活动(控制台)

每个事件或日志条目都包含有关生成请求的人员信息。身份信息可帮助您确定以下内容:

  • 请求是使用 Amazon Web Services 账户 根用户凭证还是 IAM 用户凭证发出。

  • 请求是使用角色还是联合身份用户的临时安全凭证发出的。

  • 请求是否由其他 Amazon Web Service 发出。

有关更多信息,请参阅 CloudTrail userIdentity 元素

了解 Systems Manager 日志文件条目

跟踪是一种配置,允许将事件作为日志文件传送到您指定的 Amazon S3 存储桶。CloudTrail 日志文件包含一个或多个日志条目。一个事件表示一个来自任何源的请求,包括有关所请求的操作、操作的日期和时间、请求参数等方面的信息。CloudTrail 日志文件不是公有 API 调用的有序堆栈跟踪,因此它们不会按任何特定顺序显示。

示例 1:DeleteDocument

以下示例显示了一个 CloudTrail 日志条目,用于演示对美国东部(俄亥俄)区域 (us-east-2) 中名为 example-Document 的文档执行的 DeleteDocument 操作。

{ "eventVersion": "1.04", "userIdentity": { "type": "AssumedRole", "principalId": "AKIAI44QH8DHBEXAMPLE:203.0.113.11", "arn": "arn:aws:sts::123456789012:assumed-role/example-role/203.0.113.11", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2018-03-06T20:19:16Z" }, "sessionIssuer": { "type": "Role", "principalId": "AKIAI44QH8DHBEXAMPLE", "arn": "arn:aws:iam::123456789012:role/example-role", "accountId": "123456789012", "userName": "example-role" } } }, "eventTime": "2018-03-06T20:30:12Z", "eventSource": "ssm.amazonaws.com", "eventName": "DeleteDocument", "awsRegion": "us-east-2", "sourceIPAddress": "203.0.113.11", "userAgent": "example-user-agent-string", "requestParameters": { "name": "example-Document" }, "responseElements": null, "requestID": "86168559-75e9-11e4-8cf8-75d18EXAMPLE", "eventID": "832b82d5-d474-44e8-a51d-093ccEXAMPLE", "resources": [ { "ARN": "arn:aws:ssm:us-east-2:123456789012:document/example-Document", "accountId": "123456789012" } ], "eventType": "AwsApiCall", "recipientAccountId": "123456789012" }

示例 2:StartConnection

以下示例演示了一个在美国东部(俄亥俄)区域(us-east-2)使用 Fleet Manager 启动 RDP 连接的用户的 CloudTrail 日志条目。底层 API 操作是 StartConnection

{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AKIAI44QH8DHBEXAMPLE", "arn": "arn:aws:sts::123456789012:assumed-role/exampleRole", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AKIAI44QH8DHBEXAMPLE", "arn": "arn:aws:sts::123456789012:assumed-role/exampleRole", "accountId": "123456789012", "userName": "exampleRole" }, "webIdFederationData": {}, "attributes": { "creationDate": "2021-12-13T14:57:05Z", "mfaAuthenticated": "false" } } }, "eventTime": "2021-12-13T16:50:41Z", "eventSource": "ssm-guiconnect.amazonaws.com", "eventName": "StartConnection", "awsRegion": "us-east-2", "sourceIPAddress": "34.230.45.60", "userAgent": "example-user-agent-string", "requestParameters": { "AuthType": "Credentials", "Protocol": "RDP", "ConnectionType": "SessionManager", "InstanceId": "i-02573cafcfEXAMPLE" }, "responseElements": { "ConnectionArn": "arn:aws:ssm-guiconnect:us-east-2:123456789012:connection/fcb810cd-241f-4aae-9ee4-02d59EXAMPLE", "ConnectionKey": "71f9629f-0f9a-4b35-92f2-2d253EXAMPLE", "ClientToken": "49af0f92-d637-4d47-9c54-ea51aEXAMPLE", "requestId": "d466710f-2adf-4e87-9464-055b2EXAMPLE" }, "requestID": "d466710f-2adf-4e87-9464-055b2EXAMPLE", "eventID": "fc514f57-ba19-4e8b-9079-c2913EXAMPLE", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management" }