Journalisation des appels d’API Amazon API Gateway à l’aide d’AWS CloudTrail - Amazon API Gateway
Événements de gestion API Gateway dans CloudTrailExemple d’événement API Gateway

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Journalisation des appels d’API Amazon API Gateway à l’aide d’AWS CloudTrail

Amazon API Gateway est intégré avec AWS CloudTrail, un service qui fournit un enregistrement des actions prises par un utilisateur, un rôle ou un service Service AWS. CloudTrail capture les appels d’API REST du service API Gateway en tant qu’événements. Les appels capturés incluent les appels de la console API Gateway et les appels de code adressés aux API du service API Gateway. Grâce aux informations collectées par CloudTrail, vous pouvez déterminer la demande qui a été envoyée à API Gateway, l’adresse IP et la date de son envoi, ainsi que d’autres informations.

Note

TestInvokeAuthorizer et TestInvokeMethod ne sont pas journalisés dans CloudTrail.

Chaque événement ou entrée de journal contient des informations sur la personne ayant initié la demande. Les informations relatives à l’identité permettent de déterminer :

  • Si la demande a été effectuée avec des informations d’identification d’utilisateur root ou d’utilisateur root.

  • Si la demande a été faite au nom d'un utilisateur du centre d'identité IAM.

  • Si la demande a été effectuée avec les informations d’identification de sécurité temporaires d’un rôle ou d’un utilisateur fédéré.

  • Si la requête a été effectuée par un autre Service AWS.

CloudTrail est actif dans votre Compte AWS lorsque vous créez le compte et vous avez automatiquement accès à l'historique des événements CloudTrail. L'historique des événements de CloudTrail permet de visualiser, de rechercher, de télécharger et d'enregistrer de façon immuable les événements de gestion enregistrés au cours des 90 derniers jours dans un Région AWS. Pour plus d'informations, consultez Travailler avec l'historique des événements CloudTrail dans le AWS CloudTrailGuide de l'utilisateur. La consultation de l’historique des événements ne génère aucuns frais CloudTrail.

Pour un enregistrement permanent des événements dans vos Compte AWS 90 derniers jours, créez un historique ou un stockage de données d'événements CloudTrail Lake.

Journaux de suivi CloudTrail

Un journal de suivi permet à CloudTrail de livrer des fichiers journaux à compartiment Amazon S3. Tous les journaux de suivi créés à l'aide de la AWS Management Console sont multi-régions. Vous ne pouvez créer un journal de suivi en une ou plusieurs régions à l'aide de l'AWS CLI. La création d'un journal de suivi multi-régions est recommandée, car vous pouvez journaliser l'activité dans toutes Régions AWS dans votre compte. Si vous créez un journal de suivi pour une seule région, il convient de n'afficher que les événements enregistrés dans le journal de suivi pour une seule région Région AWS. Pour plus d'informations sur les journaux de suivi, consultez Créez un journal de suivi dans vos Compte AWS et Création d'un journal de suivi pour une organisation dans le AWS CloudTrail Guide de l'utilisateur.

Vous pouvez diffuser une copie de vos événements de gestion en cours à votre compartiment Amazon S3 sans frais depuis CloudTrail en créant un suivi. Toutefois, des frais de stockage Amazon S3 sont facturés. Pour en savoir plus sur la tarification CloudTrail, consultez Tarification d’AWS CloudTrail. Pour obtenir des informations sur la tarification Amazon S3, consultez Tarification Amazon S3.

Magasins de données d’événement CloudTrail Lake

CloudTrail Lake vous permet d’exécuter des requêtes basées sur SQL sur vos événements. CloudTrail Lake convertit les événements existants au format JSON basé sur des lignes au format Apache ORC. ORC est un format de stockage en colonnes qui est optimisé pour une récupération rapide des données. Les événements sont agrégés dans des magasins de données d’événement. Ceux-ci constituent des collections immuables d’événements basées sur des critères que vous sélectionnez en appliquant des sélecteurs d’événements avancés. Les sélecteurs que vous appliquez à un magasin de données d’événement contrôlent les événements qui persistent et que vous pouvez interroger. Pour plus d'informations sur CloudTrail Lake, consultez Utilisation de AWS CloudTrail Lake dans le AWS CloudTrail Guide de l'utilisateur.

Le stockage des données d'événements CloudTrail Lake et les requêtes entraînent des coûts. Lorsque vous créez un magasin de données d’événement, vous choisissez l’option de tarification que vous voulez utiliser pour le magasin de données d’événement. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que les périodes de conservation par défaut et maximale pour le magasin de données d’événement. Pour en savoir plus sur la tarification CloudTrail, consultez Tarification d’AWS CloudTrail.

Événements de gestion API Gateway dans CloudTrail

Les événements de gestion fournissent des informations sur les opérations de gestion exécutées sur des ressources de votre Compte AWS. Ils sont également connus sous le nom opérations de plan de contrôle. Par défaut, CloudTrail journalise les événements de gestion.

Amazon API Gateway journalise toutes les actions d’API Gateway en tant qu’événements de gestion, à l’exception de TestInvokeAuthorizer et TestInvokeMethod. Pour obtenir la liste des actions Amazon API Gateway qu’API Gateway journalise dans CloudTrail, consultez Amazon API Gateway API Reference.

Exemple d’événement API Gateway

Un événement représente une demande d’une source quelconque et comprend des informations sur l’opération d’API demandée, y compris la date et l’heure de l’opération, les paramètres de la demande, etc. Les fichiers journaux CloudTrail ne constituent pas une série ordonnée des appels d’API publics. Les événements ne suivent aucun ordre précis.

L’exemple suivant montre un événement CloudTrail qui illustre l’action GetResource API Gateway :

{
    Records: [
        {
            eventVersion: "1.03",
            userIdentity: {
                type: "Root",
                principalId: "AKIAI44QH8DHBEXAMPLE",
                arn: "arn:aws:iam::123456789012:root",
                accountId: "123456789012",
                accessKeyId: "AKIAIOSFODNN7EXAMPLE",
                sessionContext: {
                    attributes: {
                        mfaAuthenticated: "false",
                        creationDate: "2015-06-16T23:37:58Z"
                    }
                }
            },
            eventTime: "2015-06-17T00:47:28Z",
            eventSource: "apigateway.amazonaws.com",
            eventName: "GetResource",
            awsRegion: "us-east-1",
            sourceIPAddress: "203.0.113.11",
            userAgent: "example-user-agent-string",
            requestParameters: {
                restApiId: "3rbEXAMPLE",
                resourceId: "5tfEXAMPLE",
                template: false
            },
            responseElements: null,
            requestID: "6d9c4bfc-148a-11e5-81b6-7577cEXAMPLE",
            eventID: "4d293154-a15b-4c33-9e0a-ff5eeEXAMPLE",
            readOnly: true,
            eventType: "AwsApiCall",
            recipientAccountId: "123456789012"
        },
        ... additional entries ...
    ]
}

Pour plus d’informations sur le contenu des enregistrements CloudTrail, consultez CloudTrail record contents dans le Guide de l’utilisateur AWS CloudTrail.