Journalisation des appels d'API AWS Systems Manager avec AWS CloudTrail - AWS Systems Manager
Événements de données de Systems Manager dans CloudTrailÉvénements de gestion de Systems Manager dans CloudTrailExemples d’événements Systems Manager

AWS Systems ManagerChange Managern'est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez AWS Systems ManagerChange Managerla section Modification de la disponibilité.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Journalisation des appels d'API AWS Systems Manager avec AWS CloudTrail

AWS Systems Manager est intégré avec AWS CloudTrail, un service qui fournit un registre des actions prises par un utilisateur, un rôle ou un Service AWS. CloudTrail capture les appels d'API vers Systems Manager en tant qu'événements. Les appels capturés incluent des appels de la console Systems Manager et les appels de code vers les opérations d'API Systems Manager. À l’aide des informations collectées par CloudTrail, vous pouvez déterminer la demande qui a été faite à Systems Manager, l’adresse IP à partir de laquelle la demande a été faite, le moment où elle a été faite, ainsi que des détails supplémentaires.

Chaque événement ou entrée de journal contient des informations sur la personne ayant initié la demande. Les informations relatives à l’identité permettent de déterminer :

  • Si la demande a été effectuée avec des informations d’identification d’utilisateur root ou d’utilisateur root.

  • Si la demande a été faite au nom d'un utilisateur du centre d'identité IAM.

  • Si la demande a été effectuée avec les informations d’identification de sécurité temporaires d’un rôle ou d’un utilisateur fédéré.

  • Si la requête a été effectuée par un autre Service AWS.

CloudTrail est actif dans votre Compte AWS lorsque vous créez le compte et vous avez automatiquement accès à l'historique des événements CloudTrail. L'historique des événements de CloudTrail permet de visualiser, de rechercher, de télécharger et d'enregistrer de façon immuable les événements de gestion enregistrés au cours des 90 derniers jours dans un Région AWS. Pour plus d'informations, consultez Travailler avec l'historique des événements CloudTrail dans le AWS CloudTrailGuide de l'utilisateur. La consultation de l’historique des événements ne génère aucuns frais CloudTrail.

Pour un enregistrement permanent des événements dans vos Compte AWS 90 derniers jours, créez un historique ou un stockage de données d'événements CloudTrail Lake.

Journaux de suivi CloudTrail

Un journal de suivi permet à CloudTrail de livrer des fichiers journaux à compartiment Amazon S3. Tous les journaux de suivi créés à l'aide de la AWS Management Console sont multi-régions. Vous ne pouvez créer un journal de suivi en une ou plusieurs régions à l'aide de l'AWS CLI. La création d'un journal de suivi multi-régions est recommandée, car vous pouvez journaliser l'activité dans toutes Régions AWS dans votre compte. Si vous créez un journal de suivi pour une seule région, il convient de n'afficher que les événements enregistrés dans le journal de suivi pour une seule région Région AWS. Pour plus d'informations sur les journaux de suivi, consultez Créez un journal de suivi dans vos Compte AWS et Création d'un journal de suivi pour une organisation dans le AWS CloudTrail Guide de l'utilisateur.

Vous pouvez diffuser une copie de vos événements de gestion en cours à votre compartiment Amazon S3 sans frais depuis CloudTrail en créant un suivi. Toutefois, des frais de stockage Amazon S3 sont facturés. Pour en savoir plus sur la tarification CloudTrail, consultez Tarification d’AWS CloudTrail. Pour obtenir des informations sur la tarification Amazon S3, consultez Tarification Amazon S3.

Magasins de données d'événements CloudTrail Lake

CloudTrail Lake vous permet d’exécuter des requêtes basées sur SQL sur vos événements. CloudTrail Lake convertit les événements existants au format JSON basé sur des lignes au format Apache ORC. ORC est un format de stockage en colonnes qui est optimisé pour une récupération rapide des données. Les événements sont agrégés dans des magasins de données d’événement. Ceux-ci constituent des collections immuables d’événements basées sur des critères que vous sélectionnez en appliquant des sélecteurs d’événements avancés. Les sélecteurs que vous appliquez à un magasin de données d'événement contrôlent quels événements persistent et peuvent être interrogés. Pour plus d'informations sur CloudTrail Lake, consultez Utilisation de AWS CloudTrail Lake dans le AWS CloudTrail Guide de l'utilisateur.

Le stockage des données d'événements CloudTrail Lake et les requêtes entraînent des coûts. Lorsque vous créez un magasin de données d'événement, vous pouvez choisir l'option de tarification que vous souhaitez utiliser pour le magasin de données d'événements. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que les périodes de conservation par défaut et maximale pour le magasin de données d’événement. Pour en savoir plus sur la tarification CloudTrail, consultez Tarification d’AWS CloudTrail.

Événements de données de Systems Manager dans CloudTrail

Les événements de données fournissent des informations sur les opérations effectuées sur ou dans une ressource (par exemple, la création ou l’ouverture d’un canal de contrôle). Ils sont également connus sous le nom d'opérations de plans de données. Les événements de données sont souvent des activités dont le volume est élevé. Par défaut, CloudTrail ne journalise pas les événements de données. L’historique des événements CloudTrail n’enregistre pas les événements de données.

Des frais supplémentaires s’appliquent pour les événements de données. Pour en savoir plus sur la tarification CloudTrail, consultez Tarification d’AWS CloudTrail.

Vous pouvez journaliser les événements de données pour les types de ressources Systems Manager à l’aide de la console CloudTrail, de l’AWS CLI, ou des opérations d’API CloudTrail. Pour plus d’informations sur la façon de journaliser les événements de données, consultez Journalisation des événements de données avec la AWS Management Console et Journalisation des événements de données avec l’AWS Command Line Interface dans le Guide de l’utilisateur AWS CloudTrail.

Le tableau suivant répertorie les types de ressources Systems Manager pour lesquels vous pouvez journaliser les événements de données. La colonne Type d’événement de données (console) indique la valeur à choisir dans la liste Type d’événement de données de la console CloudTrail. La colonne resources.type value indique la valeur de resources.type, que vous devez spécifier lors de la configuration des sélecteurs d’événements avancés à l’aide de l’AWS CLI ou des API CloudTrail. La colonne API de données journalisées dans CloudTrail indique les appels d’API journalisés dans CloudTrail pour le type de ressource.

Type d’événement de données (console) valeur resources.type API de données journalisées dans CloudTrail
Systems Manager AWS::SSMMessages::ControlChannel

  • CreateControlChannel

  • OpenControlChannel

Pour plus d’informations sur ces opérations, consultez Actions définies par Amazon Message Gateway Service dans la Référence d’autorisation de service.
Nœud géré par Systems Manager AWS::SSM::ManagedNode

  • RequestManagedInstanceRoleToken – Cet événement est généré lorsque l’agent AWS Systems Manager (SSM Agent) exécuté sur un nœud géré par Systems Manager demande des informations d’identification au service d’informations d’identification de Systems Manager.

Pour plus d’informations sur le fonctionnement de RequestManagedInstanceRoleToken, consultez Validation des machines activées par un système hybride à l'aide d'une empreinte matérielle

Vous pouvez configurer des sélecteurs d’événements avancés pour filtrer les champs eventName, readOnly et resources.ARN afin de ne journaliser que les événements importants pour vous. Pour plus d’informations sur ces champs, consultez AdvancedFieldSelector dans la Référence de l’API AWS CloudTrail.

Événements de gestion de Systems Manager dans CloudTrail

Les événements de gestion fournissent des informations sur les opérations de gestion exécutées sur les ressources de votre Compte AWS. Ils sont également connus sous le nom d'opérations de plans de contrôle. Par défaut, CloudTrail journalise les événements de gestion.

Systems Manager journalise toutes les opérations du plan de contrôle dans CloudTrail en tant qu’événements de gestion. Les opérations d’API de Systems Manager sont documentées dans la Référence de l’API AWS Systems Manager. À titre d'exemple, les appels vers les actions CreateMaintenanceWindows, PutInventory, SendCommand et StartSession génèrent des entrées dans les fichiers journaux CloudTrail. Pour obtenir un exemple de configuration de CloudTrail visant à surveiller un appel d'API Systems Manager, consultez Surveillance de l'activité de session avec Amazon EventBridge (console).

Exemples d’événements Systems Manager

Une entrée de journal représente une demande individuelle à partir d’une source quelconque et comprend des informations sur l’opération d’API demandée, y compris la date et l’heure de l’opération, les paramètres de la demande, etc. Les fichiers journaux CloudTrail ne constituent pas une série ordonnée retraçant les appels d’API publics. Les événements ne suivent aucun ordre précis.

Exemples d’événements de gestion

Exemple 1 : DeleteDocument

L’exemple suivant présente un événement CloudTrail qui illustre l’opération DeleteDocument sur un document nommé example-Document dans la région USA Est (Ohio) (us-east-2).

{
    "eventVersion": "1.04",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AKIAI44QH8DHBEXAMPLE:203.0.113.11",
        "arn": "arn:aws:sts::123456789012:assumed-role/example-role/203.0.113.11",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2018-03-06T20:19:16Z"
            },
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AKIAI44QH8DHBEXAMPLE",
                "arn": "arn:aws:iam::123456789012:role/example-role",
                "accountId": "123456789012",
                "userName": "example-role"
            }
        }
    },
    "eventTime": "2018-03-06T20:30:12Z",
    "eventSource": "ssm.amazonaws.com",
    "eventName": "DeleteDocument",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "203.0.113.11",
    "userAgent": "example-user-agent-string",
    "requestParameters": {
        "name": "example-Document"
    },
    "responseElements": null,
    "requestID": "86168559-75e9-11e4-8cf8-75d18EXAMPLE",
    "eventID": "832b82d5-d474-44e8-a51d-093ccEXAMPLE",
    "resources": [
        {
            "ARN": "arn:aws:ssm:us-east-2:123456789012:document/example-Document",
            "accountId": "123456789012"
        }
    ],
    "eventType": "AwsApiCall",
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}
Exemple 2 : StartConnection

L’exemple suivant illustre un événement CloudTrail pour un utilisateur qui démarre une connexion RDP à l’aide d’Fleet Manager dans la Région USA Est (Ohio) (us-east-2). L'action API sous-jacente est StartConnection.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AKIAI44QH8DHBEXAMPLE",
        "arn": "arn:aws:sts::123456789012:assumed-role/exampleRole",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AKIAI44QH8DHBEXAMPLE",
                "arn": "arn:aws:sts::123456789012:assumed-role/exampleRole",
                "accountId": "123456789012",
                "userName": "exampleRole"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2021-12-13T14:57:05Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2021-12-13T16:50:41Z",
    "eventSource": "ssm-guiconnect.amazonaws.com",
    "eventName": "StartConnection",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "34.230.45.60",
    "userAgent": "example-user-agent-string",
    "requestParameters": {
        "AuthType": "Credentials",
        "Protocol": "RDP",
        "ConnectionType": "SessionManager",
        "InstanceId": "i-02573cafcfEXAMPLE"
    },
    "responseElements": {
        "ConnectionArn": "arn:aws:ssm-guiconnect:us-east-2:123456789012:connection/fcb810cd-241f-4aae-9ee4-02d59EXAMPLE",
        "ConnectionKey": "71f9629f-0f9a-4b35-92f2-2d253EXAMPLE",
        "ClientToken": "49af0f92-d637-4d47-9c54-ea51aEXAMPLE",
        "requestId": "d466710f-2adf-4e87-9464-055b2EXAMPLE"
    },
    "requestID": "d466710f-2adf-4e87-9464-055b2EXAMPLE",
    "eventID": "fc514f57-ba19-4e8b-9079-c2913EXAMPLE",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}

Exemples d’événements de données

Exemple 1 : CreateControlChannel

L’exemple suivant montre un événement CloudTrail qui illustre l’opération CreateControlChannel.

{
  "eventVersion":"1.08",
  "userIdentity":{
    "type":"AssumedRole",
    "principalId":"AKIAI44QH8DHBEXAMPLE",
    "arn":"arn:aws:sts::123456789012:assumed-role/exampleRole",
    "accountId":"123456789012",
    "accessKeyId":"AKIAI44QH8DHBEXAMPLE",
    "sessionContext":{
      "sessionIssuer":{
        "type":"Role",
        "principalId":"AKIAI44QH8DHBEXAMPLE",
        "arn":"arn:aws:iam::123456789012:role/exampleRole",
        "accountId":"123456789012",
        "userName":"exampleRole"
      },
      "attributes":{
        "creationDate":"2023-05-04T23:14:50Z",
        "mfaAuthenticated":"false"
      }
    }
  },
  "eventTime":"2023-05-04T23:53:55Z",
  "eventSource":"ssm.amazonaws.com",
  "eventName":"CreateControlChannel",
  "awsRegion":"us-east-1",
  "sourceIPAddress":"192.0.2.0",
  "userAgent":"example-agent",
  "requestParameters":{
    "channelId":"44295c1f-49d2-48b6-b218-96823EXAMPLE",
    "messageSchemaVersion":"1.0",
    "requestId":"54993150-0e8f-4142-aa54-3438EXAMPLE",
    "userAgent":"example-agent"
  },
  "responseElements":{
    "messageSchemaVersion":"1.0",
    "tokenValue":"Value hidden due to security reasons.",
    "url":"example-url"
  },
  "requestID":"54993150-0e8f-4142-aa54-3438EXAMPLE",
  "eventID":"a48a28de-7996-4ca1-a3a0-a51fEXAMPLE",
  "readOnly":false,
  "resources":[
    {
      "accountId":"123456789012",
      "type":"AWS::SSMMessages::ControlChannel",
      "ARN":"arn:aws:ssmmessages:us-east-1:123456789012:control-channel/44295c1f-49d2-48b6-b218-96823EXAMPLE"
    }
  ],
  "eventType":"AwsApiCall",
  "managementEvent":false,
  "recipientAccountId":"123456789012",
  "eventCategory":"Data"
}
Exemple 2 : RequestManagedInstanceRoleToken

L’exemple suivant montre un événement CloudTrail qui illustre l’opération RequestManagedInstanceRoleToken.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "123456789012:aws:ec2-instance:i-02854e4bEXAMPLE",
        "arn": "arn:aws:sts::123456789012:assumed-role/aws:ec2-instance/i-02854e4bEXAMPLE",
        "accountId": "123456789012",
        "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "123456789012:aws:ec2-instance",
                "arn": "arn:aws:iam::123456789012:role/aws:ec2-instance",
                "accountId": "123456789012",
                "userName": "aws:ec2-instance"
            },
            "attributes": {
                "creationDate": "2023-08-27T03:34:46Z",
                "mfaAuthenticated": "false"
            },
            "ec2RoleDelivery": "2.0"
        }
    },
    "eventTime": "2023-08-27T03:37:15Z",
    "eventSource": "ssm.amazonaws.com",
    "eventName": "RequestManagedInstanceRoleToken",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.0.2.0",
    "userAgent": "Apache-HttpClient/UNAVAILABLE (Java/1.8.0_362)",
    "requestParameters": {
        "fingerprint": "i-02854e4bf85EXAMPLE"
    },
    "responseElements": null,
    "requestID": "2582cced-455b-4189-9b82-7b48EXAMPLE",
    "eventID": "7f200508-e547-4c27-982d-4da0EXAMLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "123456789012",
            "type": "AWS::SSM::ManagedNode",
            "ARN": "arn:aws:ec2:us-east-1:123456789012:instance/i-02854e4bEXAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "123456789012",
    "eventCategory": "Data"
}

Pour plus d’informations sur le contenu des enregistrements CloudTrail, consultez Contenu des enregistrements CloudTrail dans le Guide de l’utilisateur AWS CloudTrail.