审计会话活动 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

审计会话活动

除了在 Systems Manager 控制台中提供有关当前和已完成会话的信息以外,Session Manager 还提供使用 Amazon CloudTrail 审计 Amazon Web Services 账户中的会话活动的功能。

CloudTrail 可以捕获通过 Systems Manager 控制台、Amazon Command Line Interface (Amazon CLI) 和 Systems Manager SDK 进行的 API 调用。您可以在 CloudTrail 控制台查看信息,或将其存储在指定的 Amazon Simple Storage Service (Amazon S3) 存储桶中。您可以将账户的所有 CloudTrail 日志存储在一个 Amazon S3 存储桶中。有关更多信息,请参阅使用记录 Amazon Systems Manager API 调用 Amazon CloudTrail

使用 Amazon EventBridge 监控会话活动(控制台)

使用 EventBridge,您可以设置规则来检测 Amazon 资源何时发生更改。您可以创建规则来检测组织中的用户何时启动或结束会话,然后通过 Amazon SNS 接收有关此事件的通知等。

EventBridge 对 Session Manager 的支持依赖于 CloudTrail 记录的 API 操作记录。(您可以使用 CloudTrail 与 Eventbridge 集成来响应大多数 Amazon Systems Manager 事件。) EventBridge 检测不到会话中发生的未进行 API 调用的操作,如 exit 命令。

以下步骤概述了如何在发生 Session Manager API 事件(如 StartSession)时通过 Amazon Simple Notification Service (Amazon SNS) 启动通知。

要使用 Amazon EventBridge 监控会话活动(控制台),请执行以下步骤:
  1. 创建 Amazon SNS 主题,以便在发生要跟踪的 Session Manager 事件时发送通知。

    有关更多信息,请参阅《Amazon Simple Notification Service 开发人员指南》中的创建主题

  2. 创建 Eventbridge 规则来调用要跟踪的 Session Manager 事件类型的 Amazon SNS 目标。

    要了解如何创建规则,请参阅《Amazon EventBridge 用户指南》中的创建对事件作出反应的 Amazon EventBridge 规则

    遵循步骤创建规则时,请做出以下选择:

    • 对于 service(Amazon 服务),选择 Systems Manager

    • 对于 Event type(事件类型),选择 Amazon API Call through CloudTrail(通过 CloudTrail 进行的 API 调用)。

    • 选择特定操作,然后输入要接收其通知的一个或多个 Session Manager 命令(一次一个)。您可以选择 StartSessionResumeSessionTerminateSession。(EventBridge 不支持 Get* List*Describe* 命令。)

    • 对于 Select a target(选择一个目标),选择 SNS topic(SNS 主题)。对于 Topic (主题),选择您在步骤 1 中创建的 Amazon SNS 主题的名称。

有关更多信息,请参阅 Amazon EventBridge 用户指南Amazon Simple Notification Service 入门指南