Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Macie-API-Aufrufe protokollieren mit AWS CloudTrail
Amazon Macie lässt sich integrieren. [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)Dabei handelt es sich um einen Service, der eine Aufzeichnung der von einem Benutzer, einer Rolle oder einem AWS-Service ausgeführten Aktionen bereitstellt. CloudTrailerfasst alle API-Aufrufe für Macie als Verwaltungsereignisse. Zu den erfassten Aufrufen gehören Aufrufe von der Amazon Macie Macie-Konsole und programmatische Aufrufe von Amazon Macie Macie-API-Vorgängen. Anhand der von gesammelten Informationen können Sie die Anfrage CloudTrail, die an Macie gestellt wurde, die IP-Adresse, von der aus die Anfrage gestellt wurde, den Zeitpunkt der Anfrage und weitere Details ermitteln.
Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:
+ Ob die Anforderung mit Anmeldeinformationen des Root-Benutzers oder des Benutzers gestellt wurde.
+ Ob die Anfrage im Namen eines AWS IAM Identity Center Benutzers gestellt wurde.
+ Gibt an, ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen Verbundbenutzer gesendet wurde.
+ Ob die Anforderung aus einem anderen AWS-Service gesendet wurde.
CloudTrail ist in Ihrem aktiv, AWS-Konto wenn Sie das Konto erstellen, und Sie haben automatisch Zugriff auf den CloudTrail **Eventverlauf**. Der CloudTrail **Ereignisverlauf** bietet eine einsehbare, durchsuchbare, herunterladbare und unveränderliche Aufzeichnung der aufgezeichneten Verwaltungsereignisse der letzten 90 Tage in einem. AWS-Region Weitere Informationen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [Arbeiten mit dem CloudTrail Ereignisverlauf](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html). Für die Anzeige des **Eventverlaufs CloudTrail** fallen keine Gebühren an.
Für eine fortlaufende Aufzeichnung der Ereignisse der letzten 90 Tage erstellen Sie einen Trail- oder CloudTrail Lake-Event-Datenspeicher. AWS-Konto
**CloudTrail Pfade**
Ein *Trail* ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Alle mit dem erstellten Pfade AWS-Managementkonsole sind regionsübergreifend. Sie können mithilfe von AWS CLI einen Einzel-Region- oder einen Multi-Region-Trail erstellen. Es wird empfohlen, einen Trail mit mehreren Regionen zu erstellen, da Sie alle Aktivitäten AWS-Regionen in Ihrem Konto erfassen. Wenn Sie einen Einzel-Region-Trail erstellen, können Sie nur die Ereignisse anzeigen, die im AWS-Region des Trails protokolliert wurden. Weitere Informationen zu Trails finden Sie unter [Erstellen eines Trails für Ihr AWS-Konto](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) und [Erstellen eines Trails für eine Organisation](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html) im *AWS CloudTrail -Benutzerhandbuch*.
Sie können eine Kopie Ihrer laufenden Verwaltungsereignisse kostenlos an Ihren Amazon S3 S3-Bucket senden, CloudTrail indem Sie einen Trail erstellen. Es fallen jedoch Amazon S3 S3-Speichergebühren an. Weitere Informationen zur CloudTrail Preisgestaltung finden Sie unter [AWS CloudTrail Preise](https://aws.amazon.com/cloudtrail/pricing/). Informationen zu Amazon-S3-Preisen finden Sie unter [Amazon S3 – Preise](https://aws.amazon.com/s3/pricing/).
**CloudTrail Datenspeicher für Ereignisse in Lake**
CloudTrail Mit *Lake* können Sie SQL-basierte Abfragen für Ihre Ereignisse ausführen. CloudTrail [Lake konvertiert bestehende Ereignisse im zeilenbasierten JSON-Format in das Apache ORC-Format.](https://orc.apache.org/) ORC ist ein spaltenförmiges Speicherformat, das für den schnellen Abruf von Daten optimiert ist. Die Ereignisse werden in *Ereignisdatenspeichern* zusammengefasst, bei denen es sich um unveränderliche Sammlungen von Ereignissen handelt, die auf Kriterien basieren, die Sie mit Hilfe von [erweiterten Ereignisselektoren](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-concepts.html#adv-event-selectors) auswählen. Die Selektoren, die Sie auf einen Ereignisdatenspeicher anwenden, steuern, welche Ereignisse bestehen bleiben und für Sie zur Abfrage verfügbar sind. *Weitere Informationen zu CloudTrail Lake finden Sie unter [Arbeiten mit AWS CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) im AWS CloudTrail Benutzerhandbuch.*
CloudTrail Für das Speichern und Abfragen von Ereignisdaten in Lake fallen Kosten an. Beim Erstellen eines Ereignisdatenspeichers wählen Sie die [Preisoption](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-manage-costs.html#cloudtrail-lake-manage-costs-pricing-option) aus, die für den Ereignisdatenspeicher genutzt werden soll. Die Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauer für den Ereignisdatenspeicher. Weitere Informationen zur CloudTrail Preisgestaltung finden Sie unter [AWS CloudTrail Preise](https://aws.amazon.com/cloudtrail/pricing/).
## Macie-Management-Ereignisse in AWS CloudTrail
[Verwaltungsereignisse](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events) enthalten Informationen zu Verwaltungsvorgängen, die an Ressourcen in Ihrem AWS-Konto ausgeführt werden. Sie werden auch als Vorgänge auf Steuerebene bezeichnet. CloudTrail Protokolliert standardmäßig Verwaltungsereignisse.
Amazon Macie protokolliert alle Operationen auf der Macie-Steuerebene als Verwaltungsereignisse. CloudTrail Beispielsweise generieren Aufrufe der `CreateClassificationJob` Operationen`ListFindings`,`DescribeBuckets`, und Verwaltungsereignisse in. CloudTrail Jedes Ereignis umfasst ein `eventSource` Feld. Dieses Feld gibt an AWS-Service , an wen eine Anfrage gestellt wurde. Für Macie-Ereignisse ist der Wert für dieses Feld:`macie2.amazonaws.com`.
Eine Liste der Operationen auf der Steuerungsebene, bei denen Macie sich anmeldet CloudTrail, finden Sie unter [Operationen](https://docs.aws.amazon.com/macie/latest/APIReference/operations.html) in der *Amazon Macie API-Referenz*.
## Beispiele für Macie-Ereignisse in AWS CloudTrail
Ein Ereignis stellt eine einzelne Anfrage aus einer beliebigen Quelle dar und enthält Informationen über den angeforderten API-Vorgang, Datum und Uhrzeit des Vorgangs, Anforderungsparameter usw. CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API-Aufrufe, sodass Ereignisse nicht in einer bestimmten Reihenfolge angezeigt werden.
Die folgenden Beispiele zeigen CloudTrail Ereignisse, die den Betrieb von Amazon Macie demonstrieren. Einzelheiten zu den Informationen, die ein Ereignis enthalten kann, finden Sie unter [CloudTrailDatensatzinhalt](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html) im *AWS CloudTrail Benutzerhandbuch*.
**Topics**
+ [Ergebnisse auflisten](#logging-ct-events-example-listfindings)
+ [Stichproben sensibler Daten für einen Befund abrufen](#logging-ct-events-example-getsdoccurrences)
+ [Löschen einer Mitgliedschaftseinladung](#logging-ct-events-example-deleteinvitations)
+ [Deaktivierung von Macie](#logging-ct-events-example-disablemacie)
### Beispiel: Ergebnisse auflisten
Das folgende Beispiel zeigt ein CloudTrail Ereignis für den Amazon Macie [https://docs.aws.amazon.com/macie/latest/APIReference/findings.html](https://docs.aws.amazon.com/macie/latest/APIReference/findings.html)Macie-Vorgang. In diesem Beispiel hat ein AWS Identity and Access Management (IAM-) Benutzer (`Mary_Major`) die Amazon Macie Macie-Konsole verwendet, um eine Teilmenge von Informationen über aktuelle Richtlinienfeststellungen für sein Konto abzurufen.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "123456789012",
"arn": "arn:aws:iam::123456789012:user/Mary_Major",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "Mary_Major",
"sessionContext":{
"attributes": {
"creationdate": "2024-11-14T15:49:57Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2024-11-14T16:09:56Z",
"eventSource": "macie2.amazonaws.com",
"eventName": "ListFindings",
"awsRegion": "us-east-1",
"sourceIPAddress": "198.51.100.1",
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36",
"requestParameters": {
"sortCriteria": {
"attributeName": "updatedAt",
"orderBy": "DESC"
},
"findingCriteria": {
"criterion": {
"archived": {
"eq": [
"false"
]
},
"category": {
"eq": [
"POLICY"
]
}
}
},
"maxResults": 25,
"nextToken": ""
},
"responseElements": null,
"requestID": "d58af6be-1115-4a41-91f8-ace03example",
"eventID": "ad97fac5-f7cf-4ff9-9cf2-d0676example",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management"
}
```
### Beispiel: Stichproben sensibler Daten für ein Ergebnis werden abgerufen
Dieses Beispiel zeigt CloudTrail Ereignisse zum Abrufen und Aufdecken von Stichproben vertraulicher Daten, die Amazon Macie in einem Befund gemeldet hat. In diesem Beispiel verwendete ein IAM-Benutzer (`JohnDoe`) die Amazon Macie Macie-Konsole, um sensible Datenproben abzurufen und offenzulegen. Das Konto des Benutzers ist so konfiguriert, dass es eine IAM-Rolle (`MacieReveal`) annimmt, um sensible Datenproben von betroffenen Amazon Simple Storage Service (Amazon S3) -Objekten abzurufen und offenzulegen.
Das folgende Ereignis zeigt Details zur Anfrage des Benutzers, sensible Datenproben mithilfe des Amazon Macie [https://docs.aws.amazon.com/macie/latest/APIReference/findings-findingid-reveal.html](https://docs.aws.amazon.com/macie/latest/APIReference/findings-findingid-reveal.html)Macie-Vorgangs abzurufen und offenzulegen.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "UU4MH7OYK5ZCOAEXAMPLE:JohnDoe",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/JohnDoe",
"accountId": "111122223333",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "UU4MH7OYK5ZCOAEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2024-12-12T14:40:23Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2024-12-12T17:04:47Z",
"eventSource": "macie2.amazonaws.com",
"eventName": "GetSensitiveDataOccurrences",
"awsRegion": "us-east-1",
"sourceIPAddress": "198.51.100.252",
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36",
"requestParameters": {
"findingId": "3ad9d8cd61c5c390bede45cd2example"
},
"responseElements": null,
"requestID": "c30cb760-5102-47e7-88d8-ff2e8example",
"eventID": "baf52d92-f9c3-431a-bfe8-71c81example",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
Das nächste Ereignis zeigt Details darüber, wie Macie dann mithilfe der Operation () die angegebene IAM-Rolle (`MacieReveal`) annimmt. AWS -Security-Token-Service AWS STS[https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "reveal-samples.macie.amazonaws.com"
},
"eventTime": "2024-12-12T17:04:47Z",
"eventSource": "sts.amazonaws.com",
"eventName": "AssumeRole",
"awsRegion": "us-east-1",
"sourceIPAddress": "reveal-samples.macie.amazonaws.com",
"userAgent": "reveal-samples.macie.amazonaws.com",
"requestParameters": {
"roleArn": "arn:aws:iam::111122223333:role/MacieReveal",
"roleSessionName": "RevealCrossAccount"
},
"responseElements": {
"credentials": {
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionToken": "XXYYaz...
EXAMPLE_SESSION_TOKEN
XXyYaZAz",
"expiration": "Dec 12, 2024, 6:04:47 PM"
},
"assumedRoleUser": {
"assumedRoleId": "AROAXOTKAROCSNEXAMPLE:RevealCrossAccount",
"arn": "arn:aws:sts::111122223333:assumed-role/MacieReveal/RevealCrossAccount"
}
},
"requestID": "d905cea8-2dcb-44c1-948e-19419example",
"eventID": "74ee4d0c-932d-3332-87aa-8bcf3example",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::IAM::Role",
"ARN": "arn:aws:iam::111122223333:role/MacieReveal"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
### Beispiel: Löschen einer Mitgliedschaftseinladung
Das folgende Beispiel zeigt ein CloudTrail Ereignis für den Amazon Macie [DeleteInvitations](https://docs.aws.amazon.com/macie/latest/APIReference/invitations-delete.html)Macie-Vorgang. In diesem Beispiel hat Macie ein Ereignis im delegierten Macie-Administratorkonto für eine Organisation protokolliert, als ein Mitglied sein Konto vom Administratorkonto trennte und die Einladung des Administrators zum Beitritt zur Organisation löschte. In dem Beispiel lautet die Konto-ID für den Administrator. AWS-Konto `777788889999` Die Konto-ID für das Mitgliedskonto lautet`111122223333`.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AWSAccount",
"accountId": "111122223333",
"invokedBy": "macie2.amazonaws.com"
},
"eventTime": "2025-09-20T18:44:58Z",
"eventSource": "macie2.amazonaws.com",
"eventName": "MacieMemberUpdated",
"awsRegion": "us-east-2",
"sourceIPAddress": "macie2.amazonaws.com",
"userAgent": "macie2.amazonaws.com",
"requestParameters": null,
"responseElements": null,
"eventID": "2f08152c-66b9-35f8-8a10-6fe1bexample",
"readOnly": false,
"resources": [{
"accountId": "777788889999",
"type": "AWS::Macie::Member",
"ARN": "arn:aws:macie2:us-east-2:777788889999:member/111122223333"
}],
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "777788889999",
"sharedEventID": "2bff2ad0-f233-48c6-8720-ca9dbexample",
"serviceEventDetails": {
"memberAccount": "111122223333",
"memberResourceStatus": "DELETED",
"apiOperation": "DeleteInvitations"
},
"eventCategory": "Management"
}
```
### Beispiel: Macie deaktivieren
Dieses Beispiel zeigt CloudTrail Ereignisse zur Deaktivierung von Amazon Macie für einen. AWS-Konto In diesem Beispiel hat ein IAM-Benutzer (`JohnDoe`) Macie für sein Konto deaktiviert. Macie stornierte und löschte daraufhin alle Aufträge zur Erkennung vertraulicher Daten für das Konto sowie weitere Macie-Ressourcen und -Daten für das Konto.
Das folgende Ereignis zeigt Details zur Anfrage des Benutzers, Macie für sein Konto mithilfe des Amazon Macie [https://docs.aws.amazon.com/macie/latest/APIReference/macie.html](https://docs.aws.amazon.com/macie/latest/APIReference/macie.html)Macie-Vorgangs zu deaktivieren.
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAXYKJR2G5JXEXAMPLE:JohnDoe",
"arn": "arn:aws:sts::123456789012:assumed-role/Admin/JohnDoe",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAXYKJR2G5JXEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/Admin",
"accountId": "123456789012",
"userName": "Admin"
},
"attributes": {
"creationDate": "2025-09-18T21:54:42Z",
"mfaAuthenticated": "true"
}
}
},
"eventTime": "2025-09-18T21:57:06Z",
"eventSource": "macie2.amazonaws.com",
"eventName": "DisableMacie",
"awsRegion": "us-east-2",
"sourceIPAddress": "198.51.100.1",
"userAgent": "aws-cli/2.17.9 md/awscrt#0.20.11 ua/2.0 os/macos#24.4.0 md/arch#x86_64 lang/python#3.11.8 md/pyimpl#CPython cfg/retry-mode#standard md/installer#exe md/prompt#off md/command#macie2.disable-macie",
"requestParameters": null,
"responseElements": null,
"requestID": "941d1d6c-c1b2-4db5-845f-1250cexample",
"eventID": "06554dba-417b-4a65-90b8-4e5d5example",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management"
}
```
Das nächste Ereignis zeigt Details dazu, wie Macie dann einen der Aufträge zur Erkennung sensibler Daten für das Konto storniert und gelöscht hat.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "Root",
"accountId": "123456789012",
"invokedBy": "macie2.amazonaws.com"
},
"eventTime": "2025-09-18T21:57:18Z",
"eventSource": "macie2.amazonaws.com",
"eventName": "MacieClassificationJobCancelled",
"awsRegion": "us-east-2",
"sourceIPAddress": "macie2.amazonaws.com",
"userAgent": "macie2.amazonaws.com",
"requestParameters": null,
"responseElements": null,
"eventID": "df39ea1d-cd4e-4130-8cd5-cd33cexample",
"readOnly": false,
"resources": [{
"accountId": "123456789012",
"type": "AWS::Macie::ClassificationJob",
"ARN": "arn:aws:macie2:us-east-2:123456789012:classification-job/f252cbe854ae0a1a47d8304f4example"
}],
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"serviceEventDetails": {
"macieStatus": "DISABLED",
"classificationJobStatus": "CANCELLED"
},
"eventCategory": "Management"
}
```