使用 Amazon Systems Manager 记录 Amazon CloudTrail API 调用 - Amazon Systems Manager
中的系统管理员信息 CloudTrail了解 Systems Manager 日志文件条目
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon Systems Manager 记录 Amazon CloudTrail API 调用

Amazon Systems Manager已与集成Amazon CloudTrail,一项提供用户、角色或用户所执行操作记录的服务Amazon Web Service在系统管理器中。 CloudTrail 将系统管理器 API 调用捕获为事件,包括从系统管理器控制台发起的调用和对系统管理器 API 的调用。如果您创建了跟踪,则可以启用 “持续交付” CloudTrail S3 存储桶的事件,包括系统管理器的事件。如果您未配置跟踪,您仍然可以在中查看最新事件 CloudTrail 控制台输入事件历史。使用所收集的信息 CloudTrail,您可以确定向 Systems Manager 发出的请求、发出请求的 IP 地址、谁提出了请求、何时发出请求以及其他详细信息。

要了解更多相关信息 CloudTrail,请参阅Amazon CloudTrail用户指南

中的系统管理员信息 CloudTrail

CloudTrail 已在您的设备上激活Amazon Web Services 账户当你创建账户时。在 Systems Manager 中发生活动时,该活动将记录在 CloudTrail 活动以及其他Amazon Web Service中的事件事件历史。您可以在 Amazon Web Services 账户 中查看、搜索和下载最新事件。有关更多信息,请参阅使用查看事件 CloudTrail 事件历史Amazon CloudTrail用户指南

要持续记录 Amazon Web Services 账户中的事件(包括 Systems Manager 的事件),请创建跟踪记录。一条小径允许 CloudTrail 将日志文件传送到 S3 存储桶。预设情况下,在控制台中创建跟踪记录时,此跟踪记录将适用于所有 Amazon Web Services 区域。跟踪记录 Amazon 分区所有区域的事件,将日志文件传送至指定的 S3 存储桶。此外,您还可以配置其他Amazon Web Services进一步分析中收集的事件数据并据此采取行动 CloudTrail 日志。有关更多信息,请参阅:

大多数系统管理器 API 操作都是由记录的 CloudTrail 并记录在Amazon Systems ManagerAPI 参考。例如,拨打CreateMaintenanceWindowsPutInventorySendCommand,以及StartSession操作在中生成条目 CloudTrail 日志文件。有关设置的示例 CloudTrail 要监控系统管理器 API 调用,请参阅使用 Amazon EventBridge 监控会话活动(控制台)

每个事件或日志条目都包含相应信息,可帮助您确定提出请求的人员。

  • Amazon Web Services 账户根用户

  • 来自 Amazon Identity and Access Management(IAM)角色或联合用户的临时安全凭证。

  • 来自 IAM 用户的长期安全凭证。

  • 另一项 Amazon 服务。

有关更多信息,请参阅 CloudTrail userIdentity 元素

了解 Systems Manager 日志文件条目

跟踪是一种配置,允许将事件作为日志文件传送到您指定的 S3 存储桶。 CloudTrail 日志文件包含一个或多个日志条目。事件代表来自任何来源的单个请求,包括有关所请求的操作、操作的日期和时间、请求参数等的信息。 CloudTrail 日志文件不是公共 API 调用的有序堆栈跟踪,因此它们不会按任何特定顺序显示。

示例 1:DeleteDocument

以下示例显示了 CloudTrail 演示以下内容的日志条目DeleteDocument对名为的文档进行操作example-Document在美国东部(俄亥俄州)区域(us-east-2)。

{
    "eventVersion": "1.04",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AKIAI44QH8DHBEXAMPLE:203.0.113.11",
        "arn": "arn:aws:sts::123456789012:assumed-role/example-role/203.0.113.11",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2018-03-06T20:19:16Z"
            },
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AKIAI44QH8DHBEXAMPLE",
                "arn": "arn:aws:iam::123456789012:role/example-role",
                "accountId": "123456789012",
                "userName": "example-role"
            }
        }
    },
    "eventTime": "2018-03-06T20:30:12Z",
    "eventSource": "ssm.amazonaws.com",
    "eventName": "DeleteDocument",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "203.0.113.11",
    "userAgent": "example-user-agent-string",
    "requestParameters": {
        "name": "example-Document"
    },
    "responseElements": null,
    "requestID": "86168559-75e9-11e4-8cf8-75d18EXAMPLE",
    "eventID": "832b82d5-d474-44e8-a51d-093ccEXAMPLE",
    "resources": [
        {
            "ARN": "arn:aws:ssm:us-east-2:123456789012:document/example-Document",
            "accountId": "123456789012"
        }
    ],
    "eventType": "AwsApiCall",
    "recipientAccountId": "123456789012"
}
示例 2:StartConnection

以下示例显示了 CloudTrail 使用启动 RDP 连接的用户的日志条目Fleet Manager在美国东部(俄亥俄州)区域(us-east-2)。底层 API 操作是 StartConnection

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AKIAI44QH8DHBEXAMPLE",
        "arn": "arn:aws:sts::123456789012:assumed-role/exampleRole",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AKIAI44QH8DHBEXAMPLE",
                "arn": "arn:aws:sts::123456789012:assumed-role/exampleRole",
                "accountId": "123456789012",
                "userName": "exampleRole"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2021-12-13T14:57:05Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2021-12-13T16:50:41Z",
    "eventSource": "ssm-guiconnect.amazonaws.com",
    "eventName": "StartConnection",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "34.230.45.60",
    "userAgent": "example-user-agent-string",
    "requestParameters": {
        "AuthType": "Credentials",
        "Protocol": "RDP",
        "ConnectionType": "SessionManager",
        "InstanceId": "i-02573cafcfEXAMPLE"
    },
    "responseElements": {
        "ConnectionArn": "arn:aws:ssm-guiconnect:us-east-2:123456789012:connection/fcb810cd-241f-4aae-9ee4-02d59EXAMPLE",
        "ConnectionKey": "71f9629f-0f9a-4b35-92f2-2d253EXAMPLE",
        "ClientToken": "49af0f92-d637-4d47-9c54-ea51aEXAMPLE",
        "requestId": "d466710f-2adf-4e87-9464-055b2EXAMPLE"
    },
    "requestID": "d466710f-2adf-4e87-9464-055b2EXAMPLE",
    "eventID": "fc514f57-ba19-4e8b-9079-c2913EXAMPLE",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}