AWS CloudTrail connexion pour AWS Transfer Family - AWS Transfer Family
Activer la CloudTrail journalisationExemple d'entrée de journal pour la création d'un serveurJournaux d'accès aux données

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS CloudTrail connexion pour AWS Transfer Family

AWS Transfer Family s'intègre aux deux AWS CloudTrail et à Amazon CloudWatch. CloudTrail et CloudWatch répondent à des objectifs différents mais complémentaires.

  • Cette rubrique traite de l'intégration avec CloudTrail un AWS service qui crée un enregistrement des actions entreprises au sein de votre Compte AWS. Il surveille et enregistre en permanence les opérations d'API pour des activités telles que les connexions à la console, AWS Command Line Interface les commandes et SDK/API les opérations. Cela vous permet de garder un journal indiquant qui a pris quelle action, quand et d'où. CloudTrail contribue à l'audit, à la gestion des accès et à la conformité réglementaire en fournissant un historique de toutes les activités de votre AWS environnement. Pour plus de détails, consultez le guide de AWS CloudTrail l'utilisateur.

  • Amazon CloudWatch Logging pour les AWS Transfer Family serveurscouvre l'intégration avec CloudWatch un service de surveillance des AWS ressources et des applications. Il collecte des métriques et des journaux pour fournir une visibilité sur l'utilisation des ressources, les performances des applications et l'état général du système. CloudWatch facilite les tâches opérationnelles telles que le dépannage des problèmes, le réglage des alarmes et le dimensionnement automatique. Pour plus de détails, consultez le guide de CloudWatch l'utilisateur Amazon.

Un suivi est une configuration qui permet de transmettre des événements sous forme de fichiers journaux à un compartiment Amazon S3 que vous spécifiez. CloudTrail les fichiers journaux contiennent une ou plusieurs entrées de journal. Un événement représente une demande unique provenant de n'importe quelle source et inclut des informations sur l'action demandée, la date et l'heure de l'action, les paramètres de la demande, etc. CloudTrail les fichiers journaux ne constituent pas une trace ordonnée des opérations de l'API publique. Ils n'apparaissent donc pas dans un ordre spécifique.

Pour un enregistrement continu des événements de votre AWS compte, y compris des événements pour AWS Transfer Family, créez un parcours. Un suivi permet CloudTrail de fournir des fichiers journaux à un compartiment Amazon S3. Par défaut, lorsque vous créez un journal de suivi dans la console, il s’applique à toutes les régions AWS . Le journal enregistre les événements de toutes les régions de la AWS partition et transmet les fichiers journaux au compartiment Amazon S3 que vous spécifiez. En outre, vous pouvez configurer d'autres AWS services pour analyser plus en détail les données d'événements collectées dans les CloudTrail journaux et agir en conséquence. Pour plus d’informations, consultez les ressources suivantes :

Toutes les AWS Transfer Family actions sont enregistrées CloudTrail et documentées dans le ActionsAPI reference. Par exemple, les appels au CreateServer ListUsers et les StopServer actions génèrent des entrées dans les fichiers CloudTrail journaux.

Chaque événement ou entrée de journal contient des informations sur la personne ayant initié la demande. Les informations relatives à l’identité permettent de déterminer les éléments suivants :

  • Si la demande a été faite avec les informations AWS Identity and Access Management d'identification root ou utilisateur.

  • Si la demande a été effectuée avec les informations d’identification de sécurité temporaires d’un rôle ou d’un utilisateur fédéré.

  • Si la demande a été faite par un autre AWS service.

Pour de plus amples informations, veuillez consulter l'élément userIdentity CloudTrail .

Si vous créez un suivi, vous pouvez activer la diffusion continue d' CloudTrail événements vers un compartiment Amazon S3, y compris les événements pour AWS Transfer Family. Si vous ne configurez pas de suivi, vous pouvez toujours consulter les événements les plus récents dans la CloudTrail console dans Historique des événements.

À l'aide des informations collectées par CloudTrail, vous pouvez déterminer la demande qui a été faite AWS Transfer Family, l'adresse IP à partir de laquelle la demande a été faite, qui a fait la demande, quand elle a été faite et des détails supplémentaires.

Pour en savoir plus CloudTrail, consultez le guide de AWS CloudTrail l'utilisateur.

Activer la AWS CloudTrail journalisation

Vous pouvez surveiller les opérations AWS Transfer Family d'API à l'aide de AWS CloudTrail. En surveillant les opérations des API, vous pouvez obtenir des informations opérationnelles et de sécurité utiles. Si la journalisation au niveau des objets Amazon S3 est activée, elle RoleSessionName est contenue dans le champ Demandeur sous [AWS:Role Unique Identifier]/username.sessionid@server-id la forme. Pour plus d'informations sur les identifiants uniques de rôle AWS Identity and Access Management (IAM), consultez la section Identifiants uniques dans le guide de l'AWS Identity and Access Management utilisateur.

Important

La longueur maximale du RoleSessionName est de 64 caractères. S'il RoleSessionName est plus long, il est server-id tronqué.

Activation des événements de données Amazon S3

Pour suivre les opérations de fichiers effectuées AWS Transfer Family sur vos compartiments Amazon S3, vous devez activer les événements de données pour ces compartiments. Les événements de données fournissent une activité d'API au niveau de l'objet et sont particulièrement utiles pour suivre les chargements de fichiers, les téléchargements et les autres opérations effectuées par les utilisateurs. AWS Transfer Family

Pour activer les événements de données Amazon S3 pour votre AWS Transfer Family serveur :

  1. Ouvrez la CloudTrail console à l'adresse https://console.aws.amazon.com/cloudtrail/.

  2. Dans le volet de navigation, choisissez Sentiers, puis sélectionnez un parcours existant ou créez-en un nouveau.

  3. Sous Événements liés aux données, sélectionnez Modifier.

  4. Pour le type d'événement Data, sélectionnez S3.

  5. Choisissez les compartiments Amazon S3 pour lesquels enregistrer les événements de données. Vous pouvez enregistrer les événements de données pour tous les compartiments ou spécifier des compartiments individuels.

  6. Choisissez de consigner les événements de lecture, d'écriture ou les deux.

  7. Sélectionnez Enregistrer les modifications.

Après avoir activé les événements de données, vous pouvez accéder à ces journaux dans le compartiment Amazon S3 configuré pour votre CloudTrail parcours. Les journaux incluent des informations telles que l'utilisateur qui a effectué l'action, l'horodatage de l'action, l'objet spécifique concerné et le onBehalfOf champ qui permet de suivre userId les actions effectuées. AWS Transfer Family

Exemple d'entrée de journal pour la création d'un serveur

L'exemple suivant montre une entrée de CloudTrail journal (au format JSON) qui illustre l'CreateServeraction.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AAAA4FFF5HHHHH6NNWWWW:user1",
        "arn": "arn:aws:sts::123456789102:assumed-role/Admin/user1",
        "accountId": "123456789102",
        "accessKeyId": "AAAA52C2WWWWWW3BB4Z",
        "sessionContext": {
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2018-12-18T20:03:57Z"
            },
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AAAA4FFF5HHHHH6NNWWWW",
                "arn": "arn:aws:iam::123456789102:role/Admin",
                "accountId": "123456789102",
                "userName": "Admin"
            }
        }
    },
    "eventTime": "2024-02-05T19:18:53Z",
    "eventSource": "transfer.amazonaws.com",
    "eventName": "CreateServer",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "11.22.1.2",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36",
    "requestParameters": {
        "domain": "S3",
        "hostKey": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "protocols": [
            "SFTP"
        ],
        "protocolDetails": {
            "passiveIp": "AUTO",
            "tlsSessionResumptionMode": "ENFORCED",
            "setStatOption": "DEFAULT"
        },
        "securityPolicyName": "TransferSecurityPolicy-2020-06",
        "s3StorageOptions": {
            "directoryListingOptimization": "ENABLED"
        }
    },
    "responseElements": {
        "serverId": "s-1234abcd5678efghi"
    },
    "requestID": "6fe7e9b1-72fc-45b0-a7f9-5840268aeadf",
    "eventID": "4781364f-7c1e-464e-9598-52d06aa9e63a",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789102",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.3",
        "cipherSuite": "TLS_AES_128_GCM_SHA256",
        "clientProvidedHostHeader": "transfer.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true"
}

Exemples de journaux d'accès aux données

Lorsque vous activez les événements de données Amazon S3 pour votre suivi CloudTrail , vous pouvez suivre les opérations sur les fichiers effectuées via AWS Transfer Family. Ces journaux vous aident à contrôler qui a accédé à quelles données, quand et comment.

Exemple d'entrée de journal pour un accès aux données réussi

L'exemple suivant montre une entrée de CloudTrail journal indiquant une opération de téléchargement de fichier réussie via AWS Transfer Family.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAEXAMPLEID:TransferSessionUser",
        "arn": "arn:aws:sts::123456789012:assumed-role/TransferS3AccessRole/TransferSessionUser",
        "accountId": "123456789012",
        "accessKeyId": "ASIAEXAMPLEKEY",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAEXAMPLEID",
                "arn": "arn:aws:iam::123456789012:role/TransferS3AccessRole",
                "accountId": "123456789012",
                "userName": "TransferS3AccessRole"
            },
            "attributes": {
                "creationDate": "2025-07-15T16:12:05Z",
                "mfaAuthenticated": "true"
            }
        },
        "invokedBy": "transfer.amazonaws.com"
    },
    "eventTime": "2025-07-15T16:15:22Z",
    "eventSource": "s3.amazonaws.com",
    "eventName": "GetObject",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "transfer.amazonaws.com",
    "userAgent": "transfer.amazonaws.com",
    "requestParameters": {
        "bucketName": "my-transfer-bucket",
        "key": "users/john.doe/reports/quarterly-report-2025-Q2.pdf",
        "Host": "my-transfer-bucket.s3.amazonaws.com",
        "x-amz-request-payer": "requester"
    },
    "responseElements": null,
    "additionalEventData": {
        "SignatureVersion": "SigV4",
        "CipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "bytesTransferredIn": 0,
        "bytesTransferredOut": 2458732,
        "x-amz-id-2": "EXAMPLE123456789+abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ="
    },
    "requestID": "EXAMPLE123456789",
    "eventID": "example12-3456-7890-abcd-ef1234567890",
    "readOnly": true,
    "resources": [
        {
            "type": "AWS::S3::Object",
            "ARN": "arn:aws:s3:::my-transfer-bucket/users/john.doe/reports/quarterly-report-2025-Q2.pdf"
        },
        {
            "accountId": "123456789012",
            "type": "AWS::S3::Bucket",
            "ARN": "arn:aws:s3:::my-transfer-bucket"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "123456789012",
    "eventCategory": "Data",
    "requestParameters": {
        "x-amz-onBehalfOf": "john.doe.sessionid@s-abcd1234efgh5678"
    }
}

Dans cet exemple, notez les champs importants suivants :

  • eventName: indique l'opération d'API S3 qui a été effectuée (GetObject pour le téléchargement d'un fichier).

  • requestParameters.bucketNameet requestParameters.key : indique quel objet S3 a été consulté.

  • additionalEventData.bytesTransferredOut: indique la taille du fichier téléchargé en octets.

  • requestParameters.x-amz-onBehalfOf: contient le AWS Transfer Family nom d'utilisateur et l'identifiant de session, vous permettant de savoir quel AWS Transfer Family utilisateur a effectué l'action.

Ce x-amz-onBehalfOf champ est particulièrement important car il relie l'appel de l'API S3 à l' AWS Transfer Family utilisateur spécifique qui a initié l'action. Ce champ suit le format username.sessionid@server-id suivant :

  • usernameest le AWS Transfer Family nom d'utilisateur.

  • sessionidest un identifiant unique pour la session de l'utilisateur.

  • server-idest l'ID du AWS Transfer Family serveur.

Opérations communes d'accès aux données

Lorsque vous surveillez l'accès aux données via AWS Transfer Family, vous verrez généralement les opérations d'API S3 suivantes dans vos CloudTrail journaux :

Opérations S3 courantes dans les AWS Transfer Family journaux
Fonctionnement de l'API S3 AWS Transfer Family Action Description
GetObject Téléchargement du fichier L'utilisateur a téléchargé un fichier depuis le serveur
PutObject Chargement d'un fichier L'utilisateur a chargé un fichier sur le serveur
DeleteObject Suppression de fichiers L'utilisateur a supprimé un fichier du serveur
ListObjects ou ListObjects V2 Liste du répertoire Fichiers listés par l'utilisateur dans un répertoire
CopyObject Copie de fichier L'utilisateur a copié un fichier sur le serveur

En surveillant ces opérations dans vos CloudTrail journaux, vous pouvez suivre toutes les activités relatives aux fichiers effectuées via votre AWS Transfer Family serveur, ce qui vous aide à respecter les exigences de conformité et à détecter les accès non autorisés.