Änderungen in Ihren AMS Accelerate-Konten verfolgen - AMS Accelerate-Benutzerhandbuch
Ihre Änderungsdatensätze anzeigenStandardabfragenDatensatzberechtigungen ändern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Änderungen in Ihren AMS Accelerate-Konten verfolgen

Wichtig

Der Change Record-Service ist seit dem 1. Juli 2025 veraltet.

Neue Konten können nicht in den Change Record-Service integriert werden.

Um CloudTrail Daten in Ihren AMS Accelerate-Konten abzufragen, können Sie diese Dienste verwenden:

  • Wählen Sie AWS CloudTrail unter Eventverlauf und filtern Sie Ereignisse mithilfe von Lookup-Attributen. Sie können den Zeitbereichsfilter verwenden und wählen, ob der Ereignisverlauf nach der s3.amazon.aws.com angegebenen Ereignisquelle gefiltert werden soll, oder ob der Ereignisverlauf nach dem Benutzernamen gefiltert werden soll. Weitere Informationen finden Sie unter Arbeiten mit dem CloudTrail Ereignisverlauf.

  • Verwenden Sie AWS CloudTrail Lake, um Daten mithilfe von Abfragen zu sammeln. AWS CloudTrail Wählen Sie in Lake und dann Query aus. Sie können Ihre eigenen Abfragen erstellen, den Abfragegenerator verwenden oder Beispielabfragen verwenden, um ereignisbasierte Daten zu sammeln. Sie können beispielsweise fragen, wer in der vergangenen Woche eine EC2 Amazon-Instance gelöscht hat. Weitere Informationen finden Sie unter Einen Data Lake aus einer AWS CloudTrail Quelle und CloudTrailLake Abfragen erstellen.

  • Erstellen Sie eine Amazon Athena Athena-Tabelle in AWS CloudTrail und legen Sie den Speicherort als den Amazon S3 S3-Bucket fest, der Ihrem Trail zugeordnet ist. Vergewissern Sie sich, dass die Heimatregion für Ihren Trail und Ihren Amazon S3 S3-Bucket identisch ist. Verwenden Sie in Amazon Athena den Abfrage-Editor, um die Standardabfragen auszuführen, die Accelerate für die Verwendung mit der Athena-Konsole bereitstellt. Weitere Informationen zum Erstellen einer Athena-Tabelle zum Abfragen von Logs finden Sie unter CloudTrail Logs abfragen AWS CloudTrail.

AWS Managed Services hilft Ihnen dabei, Änderungen nachzuverfolgen, die vom AMS Accelerate Operations Team und AMS Accelerate Automation vorgenommen wurden, indem es eine abfragbare Schnittstelle über die Amazon Athena (Athena) -Konsole und das AMS Accelerate-Protokollmanagement bereitstellt.

Athena ist ein interaktiver Abfrageservice, mit dem Sie Daten in Amazon S3 mithilfe der standardmäßigen Structured Query Language (SQL) analysieren können (siehe SQL-Referenz für Amazon Athena). Athena ist Serverless, weshalb auch keine Infrastruktur eingerichtet oder verwaltet werden muss – und Sie zahlen nur für tatsächlich ausgeführte Abfragen. AMS Accelerate erstellt Athena-Tabellen mit täglichen Partitionen über CloudTrail Logs und stellt Abfragen in Ihrer primären AWS Region und innerhalb der ams-change-recordArbeitsgruppe bereit. Sie können eine der Standardabfragen wählen und sie nach Bedarf ausführen. Weitere Informationen zu Athena-Arbeitsgruppen finden Sie unter So funktionieren Arbeitsgruppen.

Anmerkung

Nur Accelerate kann CloudTrail Ereignisse für Ihr Accelerate-Konto mit Athena abfragen, wenn Accelerate in Ihren CloudTrail Organization-Trail integriert ist, es sei denn, Ihr Organisationsadministrator hat während des Onboardings eine IAM-Rolle für die Nutzung von Athena zur Abfrage und Analyse von CloudTrail Ereignissen in Ihrem Konto bereitgestellt.

Mithilfe von Change Record können Sie ganz einfach Fragen wie die folgenden beantworten:

  • Wer (AMS Accelerate Systems oder AMS Accelerate Operators) hat auf Ihr Konto zugegriffen

  • Welche Änderungen wurden von AMS Accelerate an Ihrem Konto vorgenommen

  • Wann hat AMS Accelerate Änderungen an Ihrem Konto vorgenommen

  • Wo können Sie die an Ihrem Konto vorgenommenen Änderungen einsehen

  • Warum musste AMS Accelerate die Änderungen an Ihrem Konto vornehmen

  • So ändern Sie Abfragen, um Antworten auf all diese Fragen zu erhalten, auch für Änderungen, die nicht von AMS stammen

Ihre Änderungsdatensätze anzeigen

Um Athena-Abfragen zu verwenden, melden Sie sich bei der AWS Management Console an und navigieren Sie zur Athena-Konsole in Ihrer primären AWS Region.

Anmerkung

Wenn Sie während der Ausführung eines der Schritte die Seite Erste Schritte von Amazon Athena sehen, klicken Sie auf Erste Schritte. Dies kann Ihnen auch dann angezeigt werden, wenn Ihre Change Record-Infrastruktur bereits vorhanden ist.

  1. Wählen Sie im oberen Navigationsbereich der Athena-Konsole Workgroup aus.

  2. Wählen Sie die ams-change-recordArbeitsgruppe aus und klicken Sie dann auf Arbeitsgruppe wechseln.

  3. Wählen Sie ams-change-record-databaseaus dem Kombinationsfeld Datenbank aus. Das ams-change-record-databasebeinhaltet die ams-change-record-tableTabelle.

  4. Wählen Sie im oberen Navigationsbereich die Option Gespeicherte Abfragen aus.

  5. Das Fenster Gespeicherte Abfragen zeigt eine Liste von Abfragen, die AMS Accelerate bereitstellt und die Sie ausführen können. Wählen Sie die Abfrage, die Sie ausführen möchten, aus der Liste der gespeicherten Abfragen aus. Zum Beispiel die Abfrage ams_session_accesses_v1.

    Die vollständige Liste der voreingestellten AMS Accelerate-Abfragen finden Sie unter. Standardabfragen

  6. Passen Sie den Datetime-Filter im Abfrage-Editor-Feld nach Bedarf an. Standardmäßig überprüft die Abfrage nur Änderungen vom letzten Tag.

  7. Wählen Sie Abfrage ausführen.

Standardabfragen

AMS Accelerate bietet mehrere Standardabfragen, die Sie in der Athena-Konsole verwenden können. Die Standardabfragen sind in den folgenden Tabellen aufgeführt.

Anmerkung

  • Alle Abfragen akzeptieren den Datums-/Uhrzeitbereich als optionalen Filter. Alle Abfragen werden standardmäßig über die letzten 24 Stunden ausgeführt. Informationen zu den erwarteten Eingaben finden Sie im folgenden Unterabschnitt:. Ändern des Datetime-Filters in Abfragen

  • Parametereingaben, die Sie ändern können oder müssen, werden in der Abfrage wie <PARAMETER_NAME> eckige Klammern angezeigt. Ersetzen Sie den Platzhalter und die eckigen Klammern durch Ihren Parameterwert.

  • Alle Filter sind optional. In den Abfragen werden einige optionale Filter mit einem doppelten Gedankenstrich (--) am Anfang der Zeile auskommentiert. Alle Abfragen werden ohne sie mit Standardparametern ausgeführt. Wenn Sie Parameterwerte für diese optionalen Filter angeben möchten, entfernen Sie den doppelten Gedankenstrich (--) am Anfang der Zeile und ersetzen Sie den Parameter wie gewünscht.

  • Alle Abfragen geben zurück IAM PincipalId und IAM SessionId in den Ausgaben

  • Die berechneten Kosten für die Ausführung einer Abfrage hängen davon ab, wie viele CloudTrail Protokolle für das Konto generiert werden. Verwenden Sie zur Berechnung der Kosten den AWS Athena Pricing Calculator.

Vorgefertigte Abfragen
Zweck/Beschreibung Eingaben Ausgaben

Name der Abfrage: ams_access_session_query_v1

Verfolgung von AMS Accelerate-Zugriffssitzungen

Stellt Informationen zu einer bestimmten AMS Accelerate-Zugriffssitzung bereit. Die Abfrage akzeptiert die IAM-Prinzipal-ID als optionalen Filter und gibt die Uhrzeit des Ereignisses, die Geschäftsanforderungen für den Zugriff auf das Konto, den Anforderer usw. zurück.

Sie können nach einer bestimmten IAM-Prinzipal-ID filtern, indem Sie die Zeile auskommentieren und den Platzhalter IAM PrincipalId im Abfrage-Editor durch eine bestimmte ID ersetzen.

Sie können auch Sitzungen auflisten, bei denen es sich nicht um AMS-Zugriffe handelt, indem Sie die Useragent-Filterzeile in der WHERE-Klausel der Abfrage entfernen.

(Optional)IAM PrincipalId: Die IAM-Prinzipal-ID der Ressource, auf die zugegriffen werden soll. Das Format istUNIQUE_IDENTIFIER:RESOURCE_NAME. Einzelheiten finden Sie unter eindeutige Identifikatoren. Sie können die Abfrage auch ohne diesen Filter ausführen, um den genauen IAM zu ermitteln, mit PrincipalId dem Sie filtern möchten.

  • EventTime: Uhrzeit des Zugriffs

  • EventName: AWS-Ereignisname (AssumeRole)

  • EventRegion: AWS-Region, die die Anfrage erhält

  • EventId: CloudTrail Ereignis-ID

  • BusinessNeed Typ: Art des geschäftlichen Grundes für den Zugriff auf das Konto. Zulässige Werte sind: SupportCase, OpsItem, Issue, Text.

  • BusinessNeed: Unternehmen müssen auf das Konto zugreifen. Zum Beispiel Support Case ID, Ops-Item ID usw.

  • Anforderer: Bediener-ID, die auf das Konto zugreift, oder Automatisierungssystem, das auf das Konto zugreift.

  • RequestAccessType: Typ des Anforderers (System, OpsAPI OpsConsole, Unset)

Name der Abfrage: ams_events_query_v1

Verfolgen Sie alle Mutationsaktionen, die von AMS Accelerate durchgeführt wurden

Gibt alle Schreibaktionen zurück, die auf dem Konto mithilfe dieses AMS Accelerate-Rollenfilters ausgeführt wurden.

Sie können auch Mutationsaktionen nachverfolgen, die von Nicht-AMS-Rollen ausgeführt wurden, indem Sie die Filterzeilen useridentity.arn aus der WHERE-Klausel der Abfrage entfernen.

 (Optional)

Nur Datums-/Uhrzeitbereich. Siehe Ändern des Datetime-Filters in Abfragen.

  • AccountId: AWS-Konto-ID

  • RoleArn: RoleArn für den Anforderer

  • EventTime: Zeitpunkt der Erlangung des Zugriffs

  • EventName: AWS-Ereignisname (AssumeRole)

  • EventRegion: AWS-Region, die die Anfrage erhält

  • EventId: CloudTrail Ereignis-ID

  • RequestParameters : Anforderungsparameter für die Anfrage

  • ResponseElements: Antwortelemente für die Antwort.

  • UserAgent: CloudTrail AWS-Benutzeragent

Name der Abfrage: ams_instance_access_sessions_query_v1

Verfolgen Sie Instanzzugriffe mit AMS Accelerate

Gibt eine Liste der AMS Accelerate-Instance-Zugriffe zurück. Jeder Datensatz enthält die Ereigniszeit, die Region des Ereignisses, die Instanz-ID, die IAM-Prinzipal-ID, die IAM-Sitzungs-ID und die SSM-Sitzungs-ID. Sie können die IAM-Prinzipal-ID verwenden, um mithilfe der ams_access_sessions_query_v1 Athena-Abfrage weitere Informationen zu den geschäftlichen Anforderungen für den Zugriff auf die Instance zu erhalten. Sie können die SSM-Sitzungs-ID verwenden, um weitere Informationen zur Instanzzugriffssitzung zu erhalten, einschließlich der Start- und Endzeit der Sitzung, Protokolldetails und der Verwendung der AWS Session Manager-Konsole in der Region der Instanz. AWS

Benutzer können auch Instanzzugriffe auflisten, die nicht von AMS stammen, indem sie die Zeile für den Benutzeridentitätsfilter in der WHERE-Klausel der Abfrage entfernen.

Nur datetime range. Siehe Ändern des Datetime-Filters in Abfragen.

  • InstanceId: Instanz-ID

  • SSMSession ID: SSM-Sitzungs-ID

  • RoleArn: RoleArn für den Anforderer

  • EventTime: Zeitpunkt der Erlangung des Zugriffs

  • EventName: AWS-Ereignisname (AssumeRole)

  • EventRegion: AWS-Region, die die Anfrage erhält

  • EventId: CloudTrail Ereignis-ID

Name der Abfrage: ams_privilege_escalation_events_query_v1

Verfolgen Sie Genehmigungsereignisse (Eskalation) für AMS- und Nicht-AMS-Benutzer

Stellt eine Liste von Ereignissen bereit, die direkt oder potenziell zu einer Rechteeskalation führen können. Die Abfrage akzeptiert ActionedBy als optionalen Filter und gibt EventName, EventId EventTime, usw. zurück. Alle mit dem Ereignis verknüpften Felder werden ebenfalls zurückgegeben. Felder sind leer, wenn sie für dieses Ereignis nicht relevant sind. Der ActionedBy Filter ist standardmäßig deaktiviert. Um ihn zu aktivieren, entfernen Sie „--“ aus dieser Zeile.

Standardmäßig ist der ActionedBy Filter deaktiviert (er zeigt Ereignisse zur Rechteeskalation von allen Benutzern an). Um Ereignisse für einen bestimmten Benutzer oder eine bestimmte Rolle anzuzeigen, entfernen Sie den doppelten Gedankenstrich (--) aus der Zeile des Benutzeridentitätsfilters in der WHERE-Klausel und ersetzen Sie den Platzhalter ACTIONEDBY_PUT_USER_NAME_HERE durch einen IAM-Benutzer- oder Rollennamen. Sie können die Abfrage auch ohne den Filter ausführen, um genau den Benutzer zu ermitteln, nach dem Sie filtern möchten.

(Optional)ACTIONEDBY_PUT_USER_NAME: Benutzername für den ActionedBy-Benutzer. Dabei kann es sich um einen IAM-Benutzer oder -Rolle handeln. Zum Beispiel. ams-access-admin

(Fakultativ)datetime range. Siehe Ändern des Datetime-Filters in Abfragen.

  • AccountId: Konto-ID

  • ActionedBy: ActionedBy Nutzername

  • EventTime: Uhrzeit des Zugriffs

  • EventName: AWS-Ereignisname (AssumeRole).

  • EventRegion: AWS-Region, die die Anfrage erhält

  • EventId: CloudTrail Ereignis-ID

Name der Abfrage: ams_resource_events_query_v1

Verfolgen Sie Schreibereignisse für bestimmte Ressourcen (AMS oder Nicht-AMS)

Stellt eine Liste der Ereignisse bereit, die auf einer bestimmten Ressource ausgeführt wurden. Die Abfrage akzeptiert die Ressourcen-ID als Teil der Filter (ersetzen Sie den Platzhalter RESOURCE_INFO in der WHERE-Klausel der Abfrage) und gibt alle Schreibaktionen zurück, die für diese Ressource ausgeführt wurden.

(Erforderlich)RESOURCE_INFO: Die Ressourcen-ID kann eine ID für jede AWS-Ressource im Konto sein. Verwechseln Sie dies nicht mit einer Ressource ARNs. Zum Beispiel eine Instanz-ID für eine EC2 Instanz, ein Tabellenname für eine DynamoDB-Tabelle, logGroupName für ein CloudWatch Protokoll usw.

(Optional). datetime range Siehe Ändern des Datetime-Filters in Abfragen.

  • AccountId: Konto-ID

  • ActionedBy: ActionedBy Nutzername

  • EventTime: Uhrzeit des Zugriffs

  • EventName: AWS-Ereignisname (AssumeRole).

  • EventRegion: AWS-Region, die die Anfrage erhält

  • EventId: CloudTrail Ereignis-ID

Name der Abfrage: ams_session_events_query_v1

Verfolgen Sie Schreibaktionen, die von AMS Accelerate während einer bestimmten Sitzung ausgeführt wurden

Stellt eine Liste der Ereignisse bereit, die in einer bestimmten Sitzung ausgeführt wurden. Die Abfrage akzeptiert die IAM-Prinzipal-ID als Teil der Filter (ersetzen Sie den Platzhalter PRINCIPAL_ID in der WHERE-Klausel der Abfrage) und gibt alle Schreibaktionen zurück, die für diese Ressource ausgeführt wurden.

(Erforderlich)PRINCIPAL_ID: Prinzipal-ID für die Sitzung. Das Format istUNIQUE_IDENTIFIER:RESOURCE_NAME. Einzelheiten finden Sie unter eindeutige Identifikatoren. Sie können die Abfrage „ams_session_ids_by_requester_v1" ausführen, um eine Liste der IAM-Principale für einen Anforderer abzurufen. IDs Sie können die Abfrage auch ohne diesen Filter ausführen, um den genauen IAM zu ermitteln, mit dem Sie filtern möchten. PrincipalId

(Optional). datetime range Siehe Ändern des Datetime-Filters in Abfragen.

  • AccountId: Konto-ID

  • ActionedBy: ActionedBy Nutzername

  • EventTime: Uhrzeit des Zugriffs

  • EventName: AWS-Ereignisname (AssumeRole)

  • EventRegion: AWS-Region, die die Anfrage erhält

  • EventId: CloudTrail Ereignis-ID

Name der Abfrage: ams_session_ids_by_requester_v1

Verfolgen Sie IAM Principal/Session IDs für einen bestimmten Anforderer.

Die Abfrage akzeptiert den Begriff „Anforderer“ (ersetzen Sie den Platzhalter Requester in der WHERE-Klausel der Abfrage) und gibt alle IAM-Prinzipal-IDs dieses Anforderers im angegebenen Zeitraum zurück.

(Erforderlich)Requester: Operator-ID, die auf das Konto zugreift (z. B.: Alias eines Operators), oder Automatisierungssystem, das auf das Konto zugreift (z. B.: OsConfiguration, AlarmManager usw.).

(Fakultativ). datetime range Siehe Ändern des Datetime-Filters in Abfragen.

  • IAM PrincipalId — IAM-Prinzipal-ID der Sitzung. Das Format istUNIQUE_IDENTIFIER:. RESOURCE_NAME Einzelheiten finden Sie unter eindeutige Identifikatoren. Sie können die Abfrage auch ohne diesen Filter ausführen, um den genauen IAM zu ermitteln, mit dem PrincipalId Sie filtern möchten.

  • IAM SessionId — IAM-Sitzungs-ID für die Zugriffssitzung

  • EventTime: Uhrzeit des Zugriffs

Ändern des Datetime-Filters in Abfragen

Alle Abfragen akzeptieren den Datums-/Uhrzeitbereich als optionalen Filter. Alle Abfragen werden standardmäßig am letzten Tag ausgeführt.

Das für das Datetime-Feld verwendete Format ist yyyy/MM/dd (zum Beispiel: 2021/01/01). Denken Sie daran, dass nur das Datum und nicht der gesamte Zeitstempel gespeichert wird. Verwenden Sie für den gesamten Zeitstempel das Feld eventime, das den Zeitstempel im ISO 8601-Format yyyy-MM-dd T HH:mm:ss Z speichert (zum Beispiel: 2021-01-01T 23:59:59 Z). Da die Tabelle jedoch nach dem Datetime-Feld partitioniert ist, müssen Sie sowohl den Datetime- als auch den Eventtime-Filter an die Abfrage übergeben. Sehen Sie sich die folgenden Beispiele an.

Anmerkung

Alle akzeptierten Möglichkeiten zur Änderung des Bereichs finden Sie in der neuesten Presto-Funktionsdokumentation, die auf der Athena-Engine-Version basiert, die derzeit für die Datums- und Uhrzeitfunktionen und -Operatoren verwendet wird. Dort finden Sie alle akzeptierten Möglichkeiten, den Bereich zu ändern.

Datumsebene: Letzter Tag oder letzte 24 Stunden (Standard) Beispiel: Wenn CURRENT_DATE='2021/01/01' ist, subtrahiert der Filter einen Tag vom aktuellen Datum und formatiert es als Datetime > '2020/12/31'

datetime > date_format(date_add('day', - 1, CURRENT_DATE), '%Y/%m/%d')

Datumsebene: Beispiel für die letzten 2 Monate:

datetime > date_format(date_add('month', - 2, CURRENT_DATE), '%Y/%m/%d')

Datumsebene: Beispiel zwischen 2 Daten:

datetime > '2021/01/01'
      AND
      datetime < '2021/01/10'

Zeitstempelebene: Beispiel für die letzten 12 Stunden:

Partitionieren Sie die Daten, die bis zum letzten Tag gescannt wurden, und filtern Sie dann alle Ereignisse der letzten 12 Stunden

datetime > date_format(date_add('day', - 1, CURRENT_DATE), '%Y/%m/%d')
      AND
      eventtime > date_format(date_add('hour', - 12, CURRENT_TIMESTAMP), '%Y-%m-%dT%H:%i:%sZ')

Zeitstempelebene: Beispiel zwischen zwei Zeitstempeln:

Holen Sie sich Ereignisse zwischen dem 1. Januar 2021, 12:00 Uhr und dem 10. Januar 2021, 15:00 Uhr.

datetime > '2021/01/01' AND datetime < '2021/01/10'
      AND
      eventtime > '2021-01-01T12:00:00Z' AND eventtime < '2021-01-10T15:00:00Z'

Beispiele für Standardabfragen

Name: ams_access_session_query_v1

Description: >-
   The query provides more information on specific AMS access session.
   The query accepts IAM Principal Id as an optional filter and returns event time, business need for accessing the account, requester, ... etc.
   By default; the query filter last day events only, the user can change the datetime filter to search for more wide time range.
   By default; the IAM PrincipalId filter is disabled. To enable it, remove "-- " from that line.

AthenaQueryString: |-
   /*
     The query provides list of AMS access sessions during specific time range.
     The query accepts IAM Principal Id as an optional filter and returns event time, business need for accessing the account, requester, ... etc.

     By default, the query filters the last day's events only; you can change the "datetime" filter to search for a wider time range.

     By default; the IAM Principal ID filter is disabled (it shows access sessions for all IAM principals).
     If you want to only show access sessions for a particular IAM principal ID, remove the double-dash (--) from
     the "IAM Principal ID" filter line in the WHERE clause of the query, and replace the placeholder "<IAM PrincipalId>" with the specific ID that you want.
     You can run the query without the filter to determine the exact IAM PrincipalId you want to filter with.

     By default; the query only shows AMS access sessions. If you also want to show non-AMS access sessions,
     remove the "useragent" filter in the WHERE clause of the query.

     For expected inputs and scenarios, refer to AMS Documentation -> Tracking changes in your AMS Accelerate accounts -> Default Queries
   */

   SELECT
      json_extract_scalar(responseelements, '$.assumedRoleUser.assumedRoleId') AS "IAM PrincipalId",
      json_extract_scalar(responseelements, '$.credentials.accessKeyId') AS "IAM SessionId",
      eventtime AS "EventTime",
      eventname AS "EventName",
      awsregion AS "EventRegion",
      eventid AS "EventId",
      json_extract_scalar(requestparameters, '$.tags[0].value') AS "BusinessNeed",
      json_extract_scalar(requestparameters, '$.tags[1].value') AS "BusinessNeedType",
      json_extract_scalar(requestparameters, '$.tags[2].value') AS "Requester",
      json_extract_scalar(requestparameters, '$.tags[3].value') AS "AccessRequestType"
   FROM
       "{DATABASE NAME HERE}".{TABLENAME HERE} <- This should auto-populate
   WHERE
      datetime > date_format(date_add('day', - 1, CURRENT_DATE), '%Y/%m/%d')
      AND eventname = 'AssumeRole'
      AND useragent = 'access.managedservices.amazonaws.com'
      -- AND  json_extract_scalar(responseelements, '$.assumedRoleUser.assumedRoleId') = '<IAM PrincipalId>'
   ORDER BY eventtime

InsightsQueryString: |-
   # The query provides list of AMS access sessions during specific time range.
   # The query accepts IAM Principal Id as an optional filter and returns event time, business need for accessing the account, requester, ... etc.
   #
   # By default; the IAM Principal ID filter is disabled (it shows access sessions for all IAM principals).
   # If you want to only show access sessions for a particular IAM principal ID, remove the # (#) from
   # the "IAM Principal ID" filter of the query, and replace the placeholder "<IAM PrincipalId>" with the specific ID that you want.
   # You can run the query without the filter to determine the exact IAM PrincipalId you want to filter with.
   #
   # By default; the query only shows AMS access sessions. If you also want to show non-AMS access sessions,
   # remove the "useragent" filter from the query.
   #
   # For expected inputs and scenarios, refer to AMS Documentation -> Tracking changes in your AMS Accelerate accounts -> Default Queries

   filter eventName="AssumeRole" AND userAgent="access.managedservices.amazonaws.com"
   # | filter responseElements.assumedRoleUser.assumedRoleId= "<IAM PrincipalId>"
   | sort eventTime desc
   | fields
      responseElements.assumedRoleUser.assumedRoleId as IAMPrincipalId,
      responseElements.credentials.accessKeyId as IAMSessionId,
      eventTime as EventTime,
      eventName as EventName,
      awsRegion as EventRegion,
      eventID as EventId,
      requestParameters.tags.0.value as BusinessNeed,
      requestParameters.tags.1.value as BusinessNeedType,
      requestParameters.tags.2.value as Requester,
      requestParameters.tags.3.value as AccessRequestType


ams_events_query_v1.yaml
/*
  The query provides list of events to track write actions for all AMS changes.
  The query returns all write actions done on the account using that AMS role filter.

  By default, the query filters the last day's events only; you can change the "datetime" filter to search for a wider time range.

  You can also track mutating actions done by non-AMS roles by removing the "useridentity.arn" filter lines from the WHERE clause of the query.

  For expected inputs and scenarios, refer to AMS Documentation -> Tracking changes in your AMS Accelerate accounts -> Default Queries
*/

SELECT
   useridentity.principalId AS "IAM PrincipalId",
   useridentity.accesskeyid AS "IAM SessionId",
   useridentity.accountid AS "AccountId",
   useridentity.arn AS "RoleArn",
   eventid AS "EventId",
   eventname AS "EventName",
   awsregion AS "EventRegion",
   eventsource AS "EventService",
   eventtime AS "EventTime",
   requestparameters As "RequestParameters",
   responseelements AS "ResponseElements",
   useragent AS "UserAgent"
FROM
   "{DATABASE NAME HERE}".{TABLENAME HERE} <- This should auto-populate
WHERE
   readonly <> 'true'
   AND
   (
      LOWER(useridentity.arn) LIKE '%/ams%'
      OR LOWER(useridentity.arn) LIKE '%/customer_ssm_automation_role%'
   )
ORDER BY eventtime
ams_instance_access_sessions_query_v1
/*
  The query provides list of AMS Instance accesses during specific time range.

  The query returns the list of AMS instance accesses; every record includes the event time, the event AWS Region, the instance ID, the IAM session ID, and the SSM session ID.
  You can use the IAM Principal ID to get more details on the business need for accessing the instance by using ams_access_session_query_v1 athena query.
  You can use the SSM session ID to get more details on the instance access session, including the start and end time of the session and log details, using the AWS Session Manager Console in the instance's AWS Region.

  You can also list non-AMS instance accesses by removing the "useridentity" filter line in the WHERE clause of the query.

  By default, the query filters the last day's events only; you can change the "datetime" filter to search for a wider time range.

  For expected inputs and scenarios, refer to AMS Documentation -> Tracking changes in your AMS Accelerate accounts -> Default Queries
*/

SELECT
   useridentity.principalId AS "IAM PrincipalId",
   useridentity.accesskeyid AS "IAM SessionId",
   json_extract_scalar(requestparameters, '$.target') AS "InstanceId",
   json_extract_scalar(responseelements, '$.sessionId') AS "SSM SessionId",
   eventname AS "EventName",
   awsregion AS "EventRegion",
   eventid AS "EventId",
   eventsource AS "EventService",
   eventtime AS "EventTime" 
FROM
   "{DATABASE NAME HERE}".{TABLENAME HERE} <- This should auto-populate
WHERE
   useridentity.sessionContext.sessionIssuer.arn like '%/ams_%' 
   AND eventname = 'StartSession' 
ORDER BY eventtime
ams_privilege_escalation_events_query_v1.yaml
/*
  The query provides list of events that can directly or potentially lead to a privilege escalation.

  The query accepts ActionedBy as an optional filter and returns EventName, EventId, EventTime, ... etc.
  All fields associated with the event are also returned. Some fields are blank if not applicable for that event.
  You can use the IAM Session ID to get more details about events happened in that session by using ams_session_events_query_v1 query.

  By default, the query filters the last day's events only; you can change the "datetime" filter to search for a wider time range.

  By default, the ActionedBy filter is disabled (it shows privilege escalation events from all users).
  To show events for a particular user or role, remove the double-dash (--) from the useridentity filter line in the WHERE clause of the query
  and replace the placeholder "<ACTIONEDBY_PUT_USER_NAME_HERE>" with an IAM user or role name.
  You can run the query without the filter to determine the exact user you want to filter with.

  For expected inputs and scenarios, refer to AMS Documentation -> Tracking changes in your AMS Accelerate accounts -> Default Queries
*/

SELECT
   useridentity.principalId AS "IAM PrincipalId",
   useridentity.accesskeyid AS "IAM SessionId",
   useridentity.accountid AS "AccountId",
   reverse(split_part(reverse(useridentity.arn), ':', 1)) AS "ActionedBy",
   eventname AS "EventName",
   awsregion AS "EventRegion",
   eventid AS "EventId",
   eventtime AS "EventTime",
   json_extract_scalar(requestparameters, '$.userName') AS "UserName",
   json_extract_scalar(requestparameters, '$.roleName') AS "RoleName",
   json_extract_scalar(requestparameters, '$.groupName') AS "GroupName",
   json_extract_scalar(requestparameters, '$.policyArn') AS "PolicyArn",
   json_extract_scalar(requestparameters, '$.policyName') AS "PolicyName",
   json_extract_scalar(requestparameters, '$.permissionsBoundary') AS "PermissionsBoundary",
   json_extract_scalar(requestparameters, '$.instanceProfileName') AS "InstanceProfileName",
   json_extract_scalar(requestparameters, '$.openIDConnectProviderArn') AS "OpenIDConnectProviderArn",
   json_extract_scalar(requestparameters, '$.serialNumber') AS "SerialNumber",
   json_extract_scalar(requestparameters, '$.serverCertificateName') AS "ServerCertificateName",
   json_extract_scalar(requestparameters, '$.accessKeyId') AS "AccessKeyId",
   json_extract_scalar(requestparameters, '$.certificateId') AS "CertificateId",
   json_extract_scalar(requestparameters, '$.newUserName') AS "NewUserName",
   json_extract_scalar(requestparameters, '$.newGroupName') AS "NewGroupName",
   json_extract_scalar(requestparameters, '$.newServerCertificateName') AS "NewServerCertificateName",
   json_extract_scalar(requestparameters, '$.name') AS "SAMLProviderName",
   json_extract_scalar(requestparameters, '$.sAMLProviderArn') AS "SAMLProviderArn",
   json_extract_scalar(requestparameters, '$.sSHPublicKeyId') AS "SSHPublicKeyId",
   json_extract_scalar(requestparameters, '$.virtualMFADeviceName') AS "VirtualMFADeviceName"
FROM
   "{DATABASE NAME HERE}".{TABLENAME HERE} <- This should auto-populate
WHERE
   (
     -- More event names can be found at https://docs.aws.amazon.com/IAM/latest/UserGuide/list_identityandaccessmanagement.html
     eventname LIKE 'Add%' OR
     eventname LIKE 'Attach%' OR
     eventname LIKE 'Delete%' AND eventname != 'DeleteAccountAlias' OR
     eventname LIKE 'Detach%' OR
     eventname LIKE 'Create%' AND eventname != 'CreateAccountAlias' OR
     eventname LIKE 'Put%' OR
     eventname LIKE 'Remove%' OR
     eventname LIKE 'Update%' OR
     eventname LIKE 'Upload%' OR
     eventname = 'DeactivateMFADevice' OR
     eventname = 'EnableMFADevice' OR
     eventname = 'ResetServiceSpecificCredential' OR
     eventname = 'SetDefaultPolicyVersion'
   )
   AND eventsource = 'iam.amazonaws.com'
ORDER BY eventtime
Name: ams_resource_events_query_v1

Description: >-
   The query provides list of events done on specific resource.
   The query accepts resource id as part of the filters, and return all write actions done on that resource.
   By default; the query list the accesses for last day, the user can change the time range by changing the datetime filter.

AthenaQueryString: |-
   /*
     The query provides list of events done on specific resource.

     The query accepts the resource ID as part of the filters (replace the placeholder "<RESOURCE_INFO>" in the WHERE clause of the query),
     and returns all write actions done on that resource. The resource ID can be an ID for any AWS resource in the account.
     Example: An instance ID for an EC2 instance, table name for a DynamoDB table, logGroupName for a CloudWatch Log, etc.

     By default, the query filters the last day's events only; you can change the "datetime" filter to search for a wider time range.

     For expected inputs and scenarios, refer to AMS Documentation -> Tracking changes in your AMS Accelerate accounts -> Default Queries
   */

   SELECT
      useridentity.principalId AS "IAM PrincipalId",
      useridentity.accesskeyid AS "IAM SessionId",
      useridentity.accountid AS "AccountId",
      reverse(split_part(reverse(useridentity.arn), ':', 1)) AS "ActionedBy",
      eventname AS "EventName",
      awsregion AS "EventRegion",
      eventid AS "EventId",
      eventsource AS "EventService",
      eventtime AS "EventTime" 
   FROM
       "{DATABASE NAME HERE}".{TABLENAME HERE} <- This should auto-populate
   WHERE
      datetime > date_format(date_add('day', - 1, CURRENT_DATE), '%Y/%m/%d')
      AND readonly <> 'true'
      AND 
      (
         requestparameters LIKE '%<RESOURCE_INFO>%' 
         OR responseelements LIKE '%<RESOURCE_INFO>%'
      )
   ORDER BY eventtime

InsightsQueryString: |-
   # The query provides list of events done on specific resource.
   #
   # The query accepts the resource ID as part of the filters (replace the placeholder "<RESOURCE_INFO>" in the filter of the query),
   # and returns all write actions done on that resource. The resource ID can be an ID for any AWS resource in the account.
   # Example: An instance ID for an EC2 instance, table name for a DynamoDB table, logGroupName for a CloudWatch Log, etc.
   #
   # For expected inputs and scenarios, refer to AMS Documentation -> Tracking changes in your AMS Accelerate accounts -> Default Queries

   filter readOnly=0
   | parse @message '"requestParameters":{*}' as RequestParameters
   | parse @message '"responseElements":{*}' as ResponseElements
   # | filter RequestParameters like "RESOURCE_INFO" or ResponseElements like "<RESOURCE_INFO>"
   | fields
      userIdentity.principalId as IAMPrincipalId,
      userIdentity.accessKeyId as IAMSessionId,
      userIdentity.accountId as AccountId,
      userIdentity.arn as ActionedBy,
      eventName as EventName,
      awsRegion as EventRegion,
      eventID as EventId,
      eventSource as EventService,
      eventTime as EventTime
   | display IAMPrincipalId, IAMSessionId, AccountId, ActionedBy, EventName, EventRegion, EventId, EventService, EventTime
   | sort eventTime desc
Name: ams_session_events_query_v1

Description: >-
   The query provides list of events done on specific session.
   The query accepts IAM Principal Id as part of the filters, and return all write actions done on that resource.
   By default; the query list the accesses for last day, the user can change the time range by changing the datetime filter.

AthenaQueryString: |-
   /*
     The query provides a list of events executed on a specific session.

     The query accepts the IAM principal ID as part of the filters (replace the placeholder "<PRINCIPAL_ID>" in the WHERE clause of the query),
     and returns all write actions done on that resource.

     By default, the query filters the last day's events only; you can change the "datetime" filter to search for a wider time range.

     For expected inputs and scenarios, refer to AMS Documentation -> Tracking changes in your AMS Accelerate accounts -> Default Queries
   */

   SELECT
      useridentity.principalId AS "IAM PrincipalId",
      useridentity.accesskeyid AS "IAM SessionId",
      useridentity.accountid AS "AccountId",
      reverse(split_part(reverse(useridentity.arn), ':', 1)) AS "ActionedBy",
      eventname AS "EventName",
      awsregion AS "EventRegion",
      eventsource AS "EventService",
      eventtime AS "EventTime",
      requestparameters As "RequestParameters",
      responseelements AS "ResponseElements",
      useragent AS "UserAgent"
   FROM
       "{DATABASE NAME HERE}".{TABLENAME HERE} <- This should auto-populate   WHERE
      useridentity.principalid = '<PRINCIPAL_ID>'
      AND datetime > date_format(date_add('day', - 1, CURRENT_DATE), '%Y/%m/%d')
      AND readonly <> 'true'
   ORDER BY eventtime

InsightsQueryString: |-
   # The query provides a list of events executed on a specific session.
   #
   # The query accepts the IAM principal ID as part of the filters (replace the placeholder "<PRINCIPAL_ID>" in the filter of the query),
   # and returns all write actions done on that resource.
   #
   # For expected inputs and scenarios, refer to AMS Documentation -> Tracking changes in your AMS Accelerate accounts -> Default Queries

   filter readOnly=0 AND userIdentity.principalId = "<IAM Principal>"
   | sort eventTime desc
   | fields
      userIdentity.accessKeyId as IAMSessionId,
      userIdentity.principalId as IAMPrincipalId,
      userIdentity.accountId as AccountId,
      userIdentity.arn as ActionedBy,
      eventName as EventName,
      awsRegion as EventRegion,
      eventSource as EventService,
      eventTime as EventTime,
      userAgent as UserAgent
   | parse @message '"requestParameters":{*}' as RequestParameters
   | parse @message '"responseElements":{*}' as ResponseElements
Name: ams_session_ids_by_requester_v1

Description: >-
   The query provides list of IAM Principal/Session Ids for specific requester.
   The query accepts requester and return all IAM Principal/Session Ids by that requester during specific time range.
   By default; the query list the accesses for last day, the user can change the time range by changing the datetime filter.

AthenaQueryString: |-
   /*
     The query provides list of IAM Principal IDs for a specific requester.

     The query accepts the requester (replace placeholder "<Requester>" in the WHERE clause of the query),
     and returns all IAM Principal IDs by that requester during a specific time range.

     By default, the query filters the last day's events only; you can change the "datetime" filter to search for a wider time range.

     For expected inputs and scenarios, refer to AMS Documentation -> Tracking changes in your AMS Accelerate accounts -> Default Queries
   */

   SELECT
      json_extract_scalar(responseelements, '$.assumedRoleUser.assumedRoleId') AS "IAM PrincipalId",
      json_extract_scalar(responseelements, '$.credentials.accessKeyId') AS "IAM SessionIId",
      eventtime AS "EventTime"
   FROM
       "{DATABASE NAME HERE}".{TABLENAME HERE} <- This should auto-populate
   WHERE
      datetime > date_format(date_add('day', - 1, CURRENT_DATE), '%Y/%m/%d') 
      AND json_extract_scalar(requestparameters, '$.tags[2].value') = '<Requester>'
   ORDER BY eventtime

InsightsQueryString: |-
   # The query provides list of IAM Principal IDs for a specific requester.
   #
   # The query accepts the requester (replace placeholder "<Requester>" in the filter of the query),
   # and returns all IAM Principal IDs by that requester during a specific time range.
   #
   # For expected inputs and scenarios, refer to AMS Documentation -> Tracking changes in your AMS Accelerate accounts -> Default Queries
   filter eventName="AssumeRole" AND requestParameters.tags.2.value="<Requester>"
   | sort eventTime desc
   | fields
      responseElements.assumedRoleUser.assumedRoleId as IAMPrincipalId,
      responseElements.credentials.accessKeyId as IAMSessionId,
      eventTime as EventTime

Datensatzberechtigungen ändern

Die folgenden Berechtigungen sind erforderlich, um Abfragen zum Ändern von Datensätzen auszuführen:

  • Athena

    • Athene: GetWorkGroup

    • Athene: StartQueryExecution

    • Athene: ListDataCatalogs

    • Athene: GetQueryExecution

    • Athene: GetQueryResults

    • Athene: BatchGetNamedQuery

    • Athene: ListWorkGroups

    • Athene: UpdateWorkGroup

    • Athene: GetNamedQuery

    • Athene: ListQueryExecutions

    • Athene: ListNamedQueries

  • AWS KMS

    • kms:Decrypt

    • AWS KMS Schlüssel-ID von AMSCloud TrailLogManagement oder Ihre AWS KMS Schlüssel-ID (en), wenn Accelerate Ihren Amazon S3 S3-Bucket-Datenspeicher für CloudTrail Trail-Ereignisse mit SSE-KMS-Verschlüsselung verwendet.

  • AWS Glue

    • Klebstoff: GetDatabase

    • kleben: GetTables

    • kleben: GetDatabases

    • kleben: GetTable

  • Amazon S3 S3-Lesezugriff

    • Amazon S3 CloudTrail S3-Bucket-Datenspeicher: ams-a AccountId -cloudtrail- oder Ihr Amazon S3 S3-Bucket-Nameprimary region, CloudTrail Trail-Ereignisse Amazon S3 S3-Bucket-Datenspeicher.

  • Amazon S3 S3-Schreibzugriff

    • Ergebnisse der Athena-Ereignisabfrage Amazon S3 S3-Bucket: AccountId ams-a athena-results- primary region