AWS CloudTrail iniciar sesión para AWS Transfer Family - AWS Transfer Family
Habilitar el CloudTrail registroEjemplo de entrada de registro para crear un servidorRegistros de acceso a datos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS CloudTrail iniciar sesión para AWS Transfer Family

AWS Transfer Family se integra tanto con Amazon AWS CloudTrail como con Amazon CloudWatch. CloudTrail y CloudWatch sirven para propósitos diferentes pero complementarios.

  • Este tema trata sobre la integración con CloudTrail un AWS servicio que crea un registro de las acciones realizadas en su interior Cuenta de AWS. Supervisa y registra continuamente las operaciones de la API para actividades como los inicios de sesión en la consola, AWS Command Line Interface los comandos y SDK/API las operaciones. Esto te permite llevar un registro de quién realizó qué acción, cuándo y desde dónde. CloudTrail contribuye a la auditoría, la gestión del acceso y el cumplimiento de las normas, ya que proporciona un historial de todas las actividades de su AWS entorno. Para obtener más información, consulte la Guía AWS CloudTrail del usuario.

  • CloudWatch Registro de Amazon para AWS Transfer Family servidorescubre la integración con CloudWatch un servicio de supervisión de AWS recursos y aplicaciones. Recopila métricas y registros para proporcionar visibilidad sobre la utilización de los recursos, el rendimiento de las aplicaciones y el estado general del sistema. CloudWatch ayuda con las tareas operativas, como la resolución de problemas, la configuración de alarmas y el escalado automático. Para obtener más información, consulta la Guía del CloudWatch usuario de Amazon.

Un rastro es una configuración que permite la entrega de eventos como archivos de registro a un bucket de Amazon S3 que usted especifique. CloudTrail Los archivos de registro contienen una o más entradas de registro. Un evento representa una solicitud única de cualquier fuente e incluye información sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud, etc. CloudTrail Los archivos de registro no son un registro ordenado de las operaciones de la API pública, por lo que no aparecen en ningún orden específico.

Para tener un registro continuo de los eventos de tu AWS cuenta, incluidos los eventos de tu cuenta AWS Transfer Family, crea un registro. Un rastro permite CloudTrail entregar archivos de registro a un bucket de Amazon S3. De manera predeterminada, cuando se crea un registro de seguimiento en la consola, el registro de seguimiento se aplica a todas las regiones de AWS . La ruta registra los eventos de todas las regiones de la AWS partición y envía los archivos de registro al bucket de Amazon S3 que especifique. Además, puede configurar otros AWS servicios para analizar más a fondo los datos de eventos recopilados en los CloudTrail registros y actuar en función de ellos. Para más información, consulte los siguientes temas:

Todas AWS Transfer Family las acciones se registran CloudTrail y se documentan en ActionsAPI reference. Por ejemplo, las llamadas ListUsers y StopServer las acciones generan entradas en los archivos de CloudTrail registro. CreateServer

Cada entrada de registro o evento contiene información sobre quién generó la solicitud. La información de identidad del usuario le ayuda a determinar lo siguiente:

  • Si la solicitud se realizó con credenciales de AWS Identity and Access Management usuario o raíz.

  • Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.

  • Si la solicitud la realizó otro AWS servicio.

Para obtener más información, consulte el elemento userIdentity de CloudTrail .

Si crea una ruta, puede habilitar la entrega continua de CloudTrail eventos a un bucket de Amazon S3, incluidos los eventos para AWS Transfer Family. Si no configura una ruta, podrá ver los eventos más recientes en la CloudTrail consola, en el historial de eventos.

Con la información recopilada por usted CloudTrail, puede determinar el destinatario de la solicitud AWS Transfer Family, la dirección IP desde la que se realizó la solicitud, quién la realizó, cuándo se realizó y detalles adicionales.

Para obtener más información CloudTrail, consulte la Guía AWS CloudTrail del usuario.

Habilite el AWS CloudTrail registro

Puede supervisar las operaciones AWS Transfer Family de la API mediante AWS CloudTrail. Al supervisar las operaciones de la API, puede obtener información útil sobre seguridad y operaciones. Si tiene activado el registro a nivel de objeto de Amazon S3, RoleSessionName aparecerá en el campo Requester (Solicitante) como [AWS:Role Unique Identifier]/username.sessionid@server-id. Para obtener más información sobre los identificadores únicos de rol AWS Identity and Access Management (IAM), consulte Identificadores únicos en la Guía del AWS Identity and Access Management usuario.

importante

La longitud máxima de RoleSessionName son 64 caracteres. Si el RoleSessionName es más largo, se trunca el server-id.

Habilitación de eventos de datos de Amazon S3

Para realizar un seguimiento de las operaciones de archivos realizadas AWS Transfer Family en sus buckets de Amazon S3, debe habilitar los eventos de datos para esos buckets. Los eventos de datos proporcionan actividad de API a nivel de objeto y son particularmente útiles para rastrear las cargas y descargas de archivos y otras operaciones realizadas por los usuarios. AWS Transfer Family

Para habilitar los eventos de datos de Amazon S3 en su AWS Transfer Family servidor:

  1. Abra la CloudTrail consola en https://console.aws.amazon.com/cloudtrail/.

  2. En el panel de navegación, elija Rutas y, a continuación, seleccione una ruta existente o cree una nueva.

  3. En Eventos de datos, selecciona Editar.

  4. Para el tipo de evento de datos, selecciona S3.

  5. Elija los buckets de Amazon S3 para registrar los eventos de datos. Puede registrar los eventos de datos de todos los buckets o especificar buckets individuales.

  6. Elija si desea registrar los eventos de lectura, los eventos de escritura o ambos.

  7. Seleccione Save changes (Guardar cambios).

Tras habilitar los eventos de datos, puede acceder a estos registros en el bucket de Amazon S3 configurado para su CloudTrail ruta. Los registros incluyen detalles como el usuario que realizó la acción, la marca temporal de la acción, el objeto específico afectado y el onBehalfOf campo que ayuda a rastrear userId las acciones realizadas. AWS Transfer Family

Ejemplo de entrada de registro para crear un servidor

El siguiente ejemplo muestra una entrada de CloudTrail registro (en formato JSON) que muestra la CreateServer acción.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AAAA4FFF5HHHHH6NNWWWW:user1",
        "arn": "arn:aws:sts::123456789102:assumed-role/Admin/user1",
        "accountId": "123456789102",
        "accessKeyId": "AAAA52C2WWWWWW3BB4Z",
        "sessionContext": {
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2018-12-18T20:03:57Z"
            },
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AAAA4FFF5HHHHH6NNWWWW",
                "arn": "arn:aws:iam::123456789102:role/Admin",
                "accountId": "123456789102",
                "userName": "Admin"
            }
        }
    },
    "eventTime": "2024-02-05T19:18:53Z",
    "eventSource": "transfer.amazonaws.com",
    "eventName": "CreateServer",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "11.22.1.2",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36",
    "requestParameters": {
        "domain": "S3",
        "hostKey": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "protocols": [
            "SFTP"
        ],
        "protocolDetails": {
            "passiveIp": "AUTO",
            "tlsSessionResumptionMode": "ENFORCED",
            "setStatOption": "DEFAULT"
        },
        "securityPolicyName": "TransferSecurityPolicy-2020-06",
        "s3StorageOptions": {
            "directoryListingOptimization": "ENABLED"
        }
    },
    "responseElements": {
        "serverId": "s-1234abcd5678efghi"
    },
    "requestID": "6fe7e9b1-72fc-45b0-a7f9-5840268aeadf",
    "eventID": "4781364f-7c1e-464e-9598-52d06aa9e63a",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789102",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.3",
        "cipherSuite": "TLS_AES_128_GCM_SHA256",
        "clientProvidedHostHeader": "transfer.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true"
}

Ejemplos de registros de acceso a datos

Cuando habilita los eventos de datos de Amazon S3 para su CloudTrail ruta, puede realizar un seguimiento de las operaciones de archivos realizadas a través de ellos AWS Transfer Family. Estos registros le ayudan a controlar quién accedió a qué datos, cuándo y cómo.

Ejemplo de entrada de registro para un acceso correcto a los datos

En el siguiente ejemplo, se muestra una entrada de CloudTrail registro para una operación de descarga de archivos correcta AWS Transfer Family.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAEXAMPLEID:TransferSessionUser",
        "arn": "arn:aws:sts::123456789012:assumed-role/TransferS3AccessRole/TransferSessionUser",
        "accountId": "123456789012",
        "accessKeyId": "ASIAEXAMPLEKEY",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAEXAMPLEID",
                "arn": "arn:aws:iam::123456789012:role/TransferS3AccessRole",
                "accountId": "123456789012",
                "userName": "TransferS3AccessRole"
            },
            "attributes": {
                "creationDate": "2025-07-15T16:12:05Z",
                "mfaAuthenticated": "true"
            }
        },
        "invokedBy": "transfer.amazonaws.com"
    },
    "eventTime": "2025-07-15T16:15:22Z",
    "eventSource": "s3.amazonaws.com",
    "eventName": "GetObject",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "transfer.amazonaws.com",
    "userAgent": "transfer.amazonaws.com",
    "requestParameters": {
        "bucketName": "my-transfer-bucket",
        "key": "users/john.doe/reports/quarterly-report-2025-Q2.pdf",
        "Host": "my-transfer-bucket.s3.amazonaws.com",
        "x-amz-request-payer": "requester"
    },
    "responseElements": null,
    "additionalEventData": {
        "SignatureVersion": "SigV4",
        "CipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "bytesTransferredIn": 0,
        "bytesTransferredOut": 2458732,
        "x-amz-id-2": "EXAMPLE123456789+abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ="
    },
    "requestID": "EXAMPLE123456789",
    "eventID": "example12-3456-7890-abcd-ef1234567890",
    "readOnly": true,
    "resources": [
        {
            "type": "AWS::S3::Object",
            "ARN": "arn:aws:s3:::my-transfer-bucket/users/john.doe/reports/quarterly-report-2025-Q2.pdf"
        },
        {
            "accountId": "123456789012",
            "type": "AWS::S3::Bucket",
            "ARN": "arn:aws:s3:::my-transfer-bucket"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "123456789012",
    "eventCategory": "Data",
    "requestParameters": {
        "x-amz-onBehalfOf": "john.doe.sessionid@s-abcd1234efgh5678"
    }
}

En este ejemplo, anote los siguientes campos importantes:

  • eventName: Indica la operación de API de S3 que se realizó (GetObject para la descarga de un archivo).

  • requestParameters.bucketNameyrequestParameters.key: Muestra a qué objeto de S3 se ha accedido.

  • additionalEventData.bytesTransferredOut: Muestra el tamaño del archivo descargado en bytes.

  • requestParameters.x-amz-onBehalfOf: Contiene el AWS Transfer Family nombre de usuario y el ID de sesión, lo que le permite rastrear qué AWS Transfer Family usuario realizó la acción.

El x-amz-onBehalfOf campo es especialmente importante, ya que vincula la llamada a la API de S3 con el AWS Transfer Family usuario específico que inició la acción. Este campo sigue el formatousername.sessionid@server-id, donde:

  • usernamees el AWS Transfer Family nombre de usuario.

  • sessionides un identificador único de la sesión del usuario.

  • server-ides el ID del AWS Transfer Family servidor.

Operaciones comunes de acceso a datos

Al supervisar el acceso a los datos AWS Transfer Family, normalmente verá las siguientes operaciones de la API de S3 en sus CloudTrail registros:

Operaciones de S3 comunes en AWS Transfer Family los registros
Funcionamiento de la API de S3 Acción de AWS Transfer Family Descripción
GetObject Descarga de archivos El usuario ha descargado un archivo del servidor
PutObject Cargar archivo El usuario ha subido un archivo al servidor
DeleteObject Eliminación de archivos El usuario ha eliminado un archivo del servidor
ListObjects o ListObjects V2 Listado de directorios Archivos listados por el usuario en un directorio
CopyObject Copia de archivos El usuario copió un archivo en el servidor

Al supervisar estas operaciones en sus CloudTrail registros, puede realizar un seguimiento de todas las actividades de los archivos que se realizan en el AWS Transfer Family servidor, lo que le ayuda a cumplir los requisitos de conformidad y a detectar el acceso no autorizado.