Crear una ruta en CloudTrail Acceder a los eventos con CloudTrail el historial de eventos Ejemplo de registro de seguimiento para CreateEnvironment Siguientes pasos

Acceder a los registros de auditoría en AWS CloudTrail

AWS CloudTrail está activado en su dispositivo Cuenta de AWS cuando lo crea. CloudTrail registra la actividad realizada por una entidad de IAM o un AWS servicio, como Amazon Managed Workflows for Apache Airflow, que se registra como CloudTrail un evento. Puede ver, buscar y descargar el historial de eventos de los últimos 90 días en la CloudTrail consola. CloudTrail captura todos los eventos de la consola de Amazon MWAA y todas las llamadas a Amazon MWAA. APIs No registra las acciones de solo lectura, como GetEnvironment, ni la acción PublishMetrics. En esta página se describe cómo CloudTrail monitorizar eventos para Amazon MWAA.

Contenido

Crear una ruta en CloudTrail

Debe crear un registro para acceder a un registro continuo de los eventos de su organización Cuenta de AWS, incluidos los eventos de Amazon MWAA. Un rastro permite CloudTrail entregar archivos de registro a un bucket de Amazon S3. Si no crea una ruta, podrá seguir accediendo al historial de eventos disponible en la CloudTrail consola. Por ejemplo, con la información recopilada por CloudTrail, puede determinar la solicitud que se realizó a Amazon MWAA, la dirección IP desde la que se realizó la solicitud, quién la hizo, cuándo se realizó y detalles adicionales. Para obtener más información, consulte cómo crear un registro para su Cuenta de AWS.

Acceder a los eventos con CloudTrail el historial de eventos

Puede solucionar los incidentes operativos y de seguridad de los últimos 90 días en la CloudTrail consola consultando el historial de eventos. Por ejemplo, puede acceder a los eventos relacionados con la creación, modificación o eliminación de recursos (como usuarios de IAM u otros AWS recursos) Cuenta de AWS en su territorio por región. Para obtener más información, consulta la sección Acceso a los eventos con CloudTrail el historial de eventos.

Abra la consola de CloudTrail.
Elija Historial de eventos.
Elija los eventos que desee consultar y, a continuación, seleccione Comparar detalles de los eventos.

Ejemplo de registro de seguimiento para `CreateEnvironment`

Un registro de seguimiento es una configuración que permite la entrega de eventos como archivos de registros en un bucket de Amazon S3 que especifique.

CloudTrail los archivos de registro contienen una o más entradas de registro. Un evento representa una solicitud única de cualquier fuente e incluye información sobre la acción solicitada, como la fecha y la hora de la acción, o los parámetros de la solicitud. CloudTrail Los archivos de registro no son un registro ordenado de las llamadas a las API públicas y no se muestran en ningún orden específico. El siguiente ejemplo muestra una entrada de registro para la acción CreateEnvironment que es denegada por falta de permisos. Los valores de AirflowConfigurationOptions se han ocultado por motivos de privacidad.


{
  "eventVersion": "1.05",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "00123456ABC7DEF8HIJK",
    "arn": "arn:aws:sts::012345678901:assumed-role/root/myuser",
    "accountId": "012345678901",
    "accessKeyId": "",
    "sessionContext": {
      "sessionIssuer": {
        "type": "Role",
        "principalId": "00123456ABC7DEF8HIJK",
        "arn": "arn:aws:iam::012345678901:role/user",
        "accountId": "012345678901",
        "userName": "user"
      },
      "webIdFederationData": {},
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2020-10-07T15:51:52Z"
      }
    }
  },
  "eventTime": "2020-10-07T15:52:58Z",
  "eventSource": "airflow.amazonaws.com",
  "eventName": "CreateEnvironment",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "205.251.233.178",
  "userAgent": "PostmanRuntime/7.26.5",
  "errorCode": "AccessDenied",
  "requestParameters": {
    "SourceBucketArn": "arn:aws:s3:::my-bucket",
    "ExecutionRoleArn": "arn:aws:iam::012345678901:role/AirflowTaskRole",
    "AirflowConfigurationOptions": "***",
    "DagS3Path": "sample_dag.py",
    "NetworkConfiguration": {
      "SecurityGroupIds": [
      "sg-01234567890123456"
      ],
      "SubnetIds": [
        "subnet-01234567890123456",
        "subnet-65432112345665431"
      ]
    },
    "Name": "test-cloudtrail"
  },
  "responseElements": {
    "message": "Access denied."
  },
  "requestID": "RequestID",
  "eventID": "EventID",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "recipientAccountId": "012345678901"
}

Siguientes pasos

Obtén información sobre cómo configurar otros AWS servicios para los datos de eventos recopilados en CloudTrail los registros de los servicios e integraciones CloudTrail compatibles.
Obtenga información sobre cómo recibir notificaciones cuando se CloudTrail publiquen nuevos archivos de registro en un bucket de Amazon S3 en Configuración de notificaciones de Amazon SNS para. CloudTrail

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Descripción general de

Visualización de registros de Airflow