Registro de llamadas a la API de AWS IoT Greengrass V2 con AWS CloudTrail - AWS IoT Greengrass
AWS IoT Greengrass V2Información de en CloudTrailEventos de datos de AWS IoT Greengrass en CloudTrailEventos de administración de AWS IoT Greengrass en CloudTrailDescripción de las entradas de los archivos de registro de AWS IoT Greengrass V2

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Registro de llamadas a la API de AWS IoT Greengrass V2 con AWS CloudTrail

AWS IoT Greengrass V2 se integra con AWS CloudTrail, un servicio que proporciona un registro de las acciones hechas por un usuario, un rol o un servicio de AWS en AWS IoT Greengrass Version 2. CloudTrail captura todas las llamadas a la API de AWS IoT Greengrass como eventos. Las llamadas capturadas incluyen las llamadas realizadas desde la consola de AWS IoT Greengrass y las llamadas de código a las operaciones de la API de AWS IoT Greengrass.

Si crea un registro de seguimiento, puede habilitar la entrega continua de eventos de CloudTrail a un bucket de S3, incluidos los eventos para AWS IoT Greengrass. Si no configura un registro de seguimiento, puede ver los eventos más recientes en la consola de CloudTrail en el Historial de eventos. Mediante la información recopilada por CloudTrail, puede determinar la solicitud que se realizó a AWS IoT Greengrass, la dirección IP desde la que se realizó, quién la realizó y cuándo, etc.

Para obtener más información acerca de CloudTrail, consulte la Guía del usuario de AWS CloudTrail.

AWS IoT Greengrass V2Información de en CloudTrail

CloudTrail se habilita en su Cuenta de AWS cuando se crea la cuenta. Cuando se produce actividad en AWS IoT Greengrass, dicha actividad se registra en un evento de CloudTrail junto con otros eventos de servicio de AWS en el Historial de eventos. Puede ver, buscar y descargar eventos recientes en su Cuenta de AWS. Para obtener más información, consulte Ver eventos con el historial de eventos de CloudTrail.

Para mantener un registro continuo de eventos en la Cuenta de AWS, incluidos los eventos de AWS IoT Greengrass, cree un registro de seguimiento. Un registro de seguimiento permite a CloudTrail que pueda enviar archivos de registro a un bucket de S3. De forma predeterminada, cuando se crea un registro de seguimiento en la consola, el registro de seguimiento se aplica a todas las Región de AWS. El registro de seguimiento registra los eventos de todas las regiones de la partición de AWS y envía los archivos de registro al bucket de S3 especificado. También es posible configurar otros servicios de AWS para analizar en profundidad y actuar en función de los datos de eventos recopilados en los registros de CloudTrail. Para más información, consulte los siguientes temas:

Todas las acciones de AWS IoT Greengrass V2 las registra CloudTrail y se documentan en la Referencia de la API de AWS IoT Greengrass V2. Por ejemplo, las llamadas a las acciones CreateComponentVersion, CreateDeployment y CancelDeployment generan entradas en los archivos de registros de CloudTrail.

Cada entrada de registro o evento contiene información sobre quién generó la solicitud. La información de identidad del usuario lo ayuda a determinar lo siguiente:

  • Si la solicitud se realizó con credenciales de usuario de AWS Identity and Access Management (IAM) o credenciales de usuario raíz.

  • Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.

  • Si la solicitud la realizó otro servicio de AWS.

Para más información, consulte Elemento userIdentity de CloudTrail.

Eventos de datos de AWS IoT Greengrass en CloudTrail

Los eventos de datos proporcionan información sobre las operaciones de recursos realizadas en un recurso o dentro de un recurso (por ejemplo, obtener la versión de un componente o configurar una implementación). Se denominan también operaciones del plano de datos. Los eventos de datos suelen ser actividades de gran volumen. De forma predeterminada, CloudTrail no registra eventos de datos. El Historial de eventos de CloudTrail no registra los eventos de datos.

Se aplican cargos adicionales a los eventos de datos. Para obtener más información sobre los precios de CloudTrail, consulte Precios de AWS CloudTrail.

Puede registrar eventos de datos para el tipo de recurso de AWS IoT Greengrass mediante la consola de CloudTrail, la AWS CLI o las operaciones de la API de CloudTrail. En la tabla de esta sección se muestran los tipos de recursos disponibles para AWS IoT Greengrass.

  • Para registrar eventos de datos mediante la consola de CloudTrail, cree un almacén de datos de evento o seguimiento para registrar eventos de datos, o actualice un banco de datos de evento o seguimiento existentes para registrar eventos de datos.

    1. Para registrar eventos de datos, elija Eventos de datos.

    2. En la lista Tipo de evento de datos, elija el tipo de recurso en el que desea registrar los eventos de datos.

    3. Elija la plantilla de selector de registro que desea usar. Puede registrar todos los eventos de datos del tipo de recurso, registre todos los eventos readOnly, registre todos los eventos writeOnly o cree una plantilla de selector de registro personalizada para filtrar por los campos readOnly, eventName y resources.ARN.

  • Para registrar los eventos de datos mediante AWS CLI, configure el parámetro --advanced-event-selectors para que el campo eventCategory sea igual a Data y el campo resources.type sea igual al valor del tipo de recurso (consulte la tabla). Puede agregar condiciones para filtrar los valores de los campos readOnly, eventName y resources.ARN.

En la tabla siguiente se enumeran los tipos de recursos de AWS IoT Greengrass. La columna Tipo de evento de datos (consola) muestra el valor que se debe elegir en la lista de tipos de eventos de datos de la consola de CloudTrail. La columna resources.type value muestra el valor de resources.type, que especificaría al configurar los selectores de eventos avanzados mediante la AWS CLI o las API de CloudTrail. La columna API de datos registradas en CloudTrail muestra las llamadas a la API registradas en CloudTrail para el tipo de recurso.

Tipo de evento de datos (consola) resources.type value API de datos registradas en CloudTrail
Certificado IoT AWS::IoT::Certificate

  • VerifyClientDeviceIdentity

  • VerifyClientDeviceIoTCertificateAssociation
Versión del componente IoT Greengrass AWS::GreengrassV2::ComponentVersion
Implementación de IoT Greengrass AWS::GreengrassV2::Deployment

  • GetDeploymentConfiguration
Objeto de IoT AWS::IoT::Thing

  • ListThingGroupsForCoreDevices

  • PutCertificateAuthorities

  • VerifyClientDeviceIoTCertificateAssociation

Puede configurar selectores de eventos avanzados para filtrar según los campos eventName, readOnly y resources.ARN y así registrar solo los eventos que son importantes para usted.

Agregue un filtro en eventName para incluir o excluir API de datos específicas.

Para obtener más información acerca de estos campos, consulte AdvancedFieldSelector.

En los siguientes ejemplos, se muestra cómo configurar selectores avanzados con la AWS CLI. Sustituya TrailName y region con su propia información.

ejemplo — Registro de eventos de datos para objetos de IoT
aws cloudtrail put-event-selectors --trail-name TrailName --region region \
--advanced-event-selectors \
‘[
    {
            “Name”: “Log all thing data events”,
            “FieldSelectors”: [
                { “Field”: “eventCategory”, “Equals”: [“Data”] },
                { “Field”: “resources.type”, “Equals”: [“AWS::IoT::Thing”] }
            ]
        }
]’
ejemplo — Filtro de una API de un objeto de IoT específica
aws cloudtrail put-event-selectors --trail-name TrailName --region region \
--advanced-event-selectors \
‘[
    {
            “Name”: “Log IoT Greengrass PutCertificateAuthorities API calls”,
            “FieldSelectors”: [
                { “Field”: “eventCategory”, “Equals”: [“Data”] },
                { “Field”: “resources.type”, “Equals”: [“AWS::IoT::Thing”] },
                { “Field”: “eventName”, “Equals”: [“PutCertificateAuthorities”] }
            ]
    }
]’
ejemplo — Registro de todos los eventos de datos de Greengrass
aws cloudtrail put-event-selectors --trail-name TrailName --region region \
--advanced-event-selectors \
‘[
    {
        “Name”: “Log all certificate data events”,
        “FieldSelectors”: [
            {
                “Field”: “eventCategory”,
                “Equals”: [
                    “Data”
                ]
            },
            {
                “Field”: “resources.type”,
                “Equals”: [
                    “AWS::IoT::Certificate”
                ]
            }
        ]
    },
    {
        “Name”: “Log all component version data events”,
        “FieldSelectors”: [
            {
                “Field”: “eventCategory”,
                “Equals”: [
                    “Data”
                ]
            },
            {
                “Field”: “resources.type”,
                “Equals”: [
                    “AWS::GreengrassV2::ComponentVersion”
                ]
            }
        ]
    },
    {
        “Name”: “Log all deployment version”,
        “FieldSelectors”: [
            {
                “Field”: “eventCategory”,
                “Equals”: [
                    “Data”
                ]
            },
            {
                “Field”: “resources.type”,
                “Equals”: [
                    “AWS::GreengrassV2::Deployment”
                ]
            }
        ]
    },
    {
        “Name”: “Log all thing data events”,
        “FieldSelectors”: [
            {
                “Field”: “eventCategory”,
                “Equals”: [
                    “Data”
                ]
            },
            {
                “Field”: “resources.type”,
                “Equals”: [
                    “AWS::IoT::Thing”
                ]
            }
        ]
    }
]’

Eventos de administración de AWS IoT Greengrass en CloudTrail

Los eventos de administración proporcionan información sobre las operaciones de administración que se realizan en los recursos de su cuenta de AWS. Se denominan también operaciones del plano de control. CloudTrail registra los eventos de administración de forma predeterminada.

AWS IoT Greengrass registra todas las operaciones del plano de control de AWS IoT Greengrass como eventos de administración. Para obtener una lista de las operaciones del plano de control de AWS IoT Greengrass que AWS IoT Greengrass registra en CloudTrail, consulte la referencia de la API de AWS IoT Greengrass, versión 2.

Descripción de las entradas de los archivos de registro de AWS IoT Greengrass V2

Un registro de seguimiento es una configuración que permite la entrega de eventos como archivos de log al bucket de S3 que se especifique. Los archivos de registro de CloudTrail contienen una o varias entradas de registro. Un evento representa una única solicitud desde cualquier origen. Incluye información sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud, etc. Los archivos de registro de CloudTrail no rastrean el orden en la pila de las llamadas públicas a la API, por lo que estas no aparecen en ningún orden específico.

En el siguiente ejemplo, se muestra una entrada de registro de CloudTrail que ilustra la acción CreateDeployment.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::123456789012:user/Administrator",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "Administrator"
    },
    "eventTime": "2021-01-06T02:38:05Z",
    "eventSource": "greengrass.amazonaws.com",
    "eventName": "CreateDeployment",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "203.0.113.0",
    "userAgent": "aws-cli/2.1.9 Python/3.7.9 Windows/10 exe/AMD64 prompt/off command/greengrassv2.create-deployment",
    "requestParameters": {
        "deploymentPolicies": {
            "failureHandlingPolicy": "DO_NOTHING",
            "componentUpdatePolicy": {
                "timeoutInSeconds": 60,
                "action": "NOTIFY_COMPONENTS"
            },
            "configurationValidationPolicy": {
                "timeoutInSeconds": 60
            }
        },
        "deploymentName": "Deployment for MyGreengrassCoreGroup",
        "components": {
            "aws.greengrass.Cli": {
                "componentVersion": "2.0.3"
            }
        },
        "iotJobConfiguration": {},
        "targetArn": "arn:aws:iot:us-west-2:123456789012:thinggroup/MyGreengrassCoreGroup"
    },
    "responseElements": {
        "iotJobArn": "arn:aws:iot:us-west-2:123456789012:job/fdfeba1d-ac6d-44ef-ab28-54f684ea578d",
        "iotJobId": "fdfeba1d-ac6d-44ef-ab28-54f684ea578d",
        "deploymentId": "4196dddc-0a21-4c54-a985-66a525f6946e"
    },
    "requestID": "311b9529-4aad-42ac-8408-c06c6fec79a9",
    "eventID": "c0f3aa2c-af22-48c1-8161-bad4a2ab1841",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "123456789012"
}