Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Protokollieren von IAM Access Analyzer-API-Aufrufen mit AWS CloudTrail
IAM Access Analyzer ist in einen Dienst integriert AWS CloudTrail, der eine Aufzeichnung der Aktionen bereitstellt, die von einem Benutzer, einer Rolle oder einem AWS Dienst in IAM Access Analyzer ausgeführt wurden. CloudTrail erfasst alle API-Aufrufe für IAM Access Analyzer als Ereignisse. Die erfassten Aufrufe umfassen Aufrufe von der IAM-Access-Analyzer-Konsole und Codeaufrufe an die API-Operationen des IAM Access Analyzer.
Wenn Sie einen Trail erstellen, können Sie die kontinuierliche Übermittlung von CloudTrail Ereignissen an einen Amazon S3 S3-Bucket aktivieren, einschließlich Ereignissen für IAM Access Analyzer. Wenn Sie keinen Trail konfigurieren, können Sie die neuesten Ereignisse trotzdem in der CloudTrail Konsole im Ereignisverlauf anzeigen.
Anhand der von CloudTrail gesammelten Informationen können Sie die Anfrage an IAM Access Analyzer, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details ermitteln.
Weitere Informationen CloudTrail dazu finden Sie im AWS CloudTrail Benutzerhandbuch.
Informationen zu IAM Access Analyzer finden Sie unter CloudTrail
CloudTrail ist in Ihrem AWS Konto aktiviert, wenn Sie das Konto erstellen. Wenn in IAM Access Analyzer eine Aktivität auftritt, wird diese Aktivität zusammen mit anderen AWS Serviceereignissen im CloudTrail Ereignisverlauf in einem Ereignis aufgezeichnet. Sie können aktuelle Ereignisse in Ihrem AWS Konto anzeigen, suchen und herunterladen. Weitere Informationen finden Sie unter Ereignisse mit CloudTrail Ereignisverlauf anzeigen.
Für eine fortlaufende Aufzeichnung der Ereignisse in Ihrem AWS Konto, einschließlich Ereignissen für IAM Access Analyzer, erstellen Sie einen Trail. Ein Trail ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Wenn Sie einen Trail in der Konsole erstellen, gilt der Trail standardmäßig für alle AWS Regionen. Der Trail protokolliert Ereignisse aus allen Regionen der AWS Partition und übermittelt die Protokolldateien an den von Ihnen angegebenen Amazon S3 S3-Bucket. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie hier:
Alle IAM Access Analyzer-Aktionen werden von der IAM Access Analyzer API-Referenz protokolliert CloudTrail und sind in dieser Dokumentation dokumentiert. Beispielsweise generieren Aufrufe von CreateArchiveRule und ListFindings Aktionen Einträge in den CloudTrail Protokolldateien. CreateAnalyzer
Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:
-
Ob die Anfrage mit Root- oder AWS Identity and Access Management (IAM-) Benutzeranmeldedaten gestellt wurde.
-
Gibt an, ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen Verbundbenutzer gesendet wurde.
-
Ob die Anfrage von einem anderen AWS Dienst gestellt wurde.
Weitere Informationen finden Sie unter CloudTrail userIdentity-Element.
Grundlagen zu Protokolldateieinträgen von IAM Access Analyzer
Ein Trail ist eine Konfiguration, die die Übertragung von Ereignissen als Protokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket ermöglicht. CloudTrail Protokolldateien enthalten einen oder mehrere Protokolleinträge. Ein Ereignis stellt eine einzelne Anforderung aus einer beliebigen Quelle dar und enthält Informationen über die angeforderte Aktion, Datum und Uhrzeit der Aktion, Anforderungsparameter usw. CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API-Aufrufe, sodass sie nicht in einer bestimmten Reihenfolge angezeigt werden.
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der den CreateAnalyzer Vorgang demonstriert, der von einer Sitzung mit übernommener Rolle mit dem Namen „Alice-tempcreds14. Juni 2021“ ausgeführt wurde. Die Rollensitzung wurde von der Rolle namens admin-tempcreds ausgestellt.
{ "eventVersion": "1.05", "userIdentity": { "type": "AssumedRole", "principalId": "AROAIBKEVSQ6C2EXAMPLE:Alice-tempcreds", "arn": "arn:aws:sts::111122223333:assumed-role/admin-tempcreds/Alice-tempcreds", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "true", "creationDate": "2021-06-14T22:54:20Z" }, "sessionIssuer": { "type": "Role", "principalId": "AKIAI44QH8DHBEXAMPLE", "arn": "arn:aws:iam::111122223333:role/admin-tempcreds", "accountId": "111122223333", "userName": "admin-tempcreds" }, "webIdFederationData": {}, } }, "eventTime": "2021-06-14T22:57:36Z", "eventSource": "access-analyzer.amazonaws.com", "eventName": "CreateAnalyzer", "awsRegion": "us-west-2", "sourceIPAddress": "198.51.100.179", "userAgent": "aws-sdk-java/1.12.79 Linux/5.4.141-78.230 OpenJDK_64-Bit_Server_VM/25.302-b08 java/1.8.0_302 vendor/Oracle_Corporation cfg/retry-mode/standard", "requestParameters": { "analyzerName": "test", "type": "ACCOUNT", "clientToken": "11111111-abcd-2222-abcd-222222222222", "tags": { "tagkey1": "tagvalue1" } }, "responseElements": { "arn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/test" }, "requestID": "22222222-dcba-4444-dcba-333333333333", "eventID": "33333333-bcde-5555-bcde-444444444444", "readOnly": false, "eventType": "AwsApiCall",, "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management" }
