Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mencatat panggilan Amazon EFS API dengan AWS CloudTrail
Amazon EFS terintegrasi dengan AWS CloudTrail, layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau AWS layanan di Amazon EFS. CloudTrail menangkap semua panggilan API untuk Amazon EFS sebagai peristiwa, termasuk panggilan dari konsol Amazon EFS dan dari panggilan kode ke operasi Amazon EFS API.
Jika Anda membuat jejak, Anda dapat mengaktifkan pengiriman CloudTrail acara secara berkelanjutan ke bucket Amazon S3, termasuk acara untuk Amazon EFS. Jika Anda tidak mengonfigurasi jejak, Anda masih dapat melihat peristiwa terbaru di CloudTrail konsol dalam **Riwayat acara**. Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuat ke Amazon EFS, alamat IP dari mana permintaan dibuat, siapa yang membuat permintaan, kapan dibuat, dan detail tambahan.
Untuk informasi lebih lanjut, lihat [Apa itu AWS CloudTrail?](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/) dalam *AWS CloudTrail User Guide*.
## Informasi Amazon EFS di CloudTrail
CloudTrail diaktifkan pada Akun AWS saat Anda membuat akun. Ketika aktivitas terjadi di Amazon EFS, aktivitas tersebut direkam dalam suatu CloudTrail peristiwa bersama dengan peristiwa AWS layanan lainnya dalam **riwayat Acara**. Anda dapat melihat, mencari, dan mengunduh acara terbaru di situs Anda Akun AWS. Untuk informasi selengkapnya, lihat [Bekerja dengan riwayat CloudTrail acara](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Untuk catatan acara yang sedang berlangsung di Anda Akun AWS, termasuk acara untuk Amazon EFS, buat jejak. Jejak memungkinkan CloudTrail untuk mengirimkan file log ke bucket Amazon S3. Secara default, saat Anda membuat jejak di konsol, jejak berlaku untuk semua Wilayah AWS s. Trail mencatat peristiwa dari semua Wilayah AWS AWS partisi dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Selain itu, Anda dapat mengonfigurasi AWS layanan lain untuk menganalisis lebih lanjut dan menindaklanjuti data peristiwa yang dikumpulkan dalam CloudTrail log. Untuk informasi selengkapnya, lihat topik berikut di *Panduan Pengguna AWS CloudTrail *:
+ [Membuat jejak untuk AWS akun Anda](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [AWS integrasi layanan dengan log CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Mengonfigurasi notifikasi Amazon SNS untuk CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Menerima file CloudTrail log dari beberapa Wilayah](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) dan [Menerima file CloudTrail log dari beberapa akun](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Semua Amazon EFS [Amazon EFS API](api-reference.md) dicatat oleh CloudTrail. Misalnya, panggilan ke`CreateFileSystem`, `CreateMountTarget` dan `CreateTags` operasi menghasilkan entri dalam file CloudTrail log.
Setiap entri peristiwa atau log berisi informasi tentang entitas yang membuat permintaan tersebut. Informasi identitas membantu Anda menentukan hal berikut ini:
+ Apakah permintaan dibuat dengan pengguna root atau kredensyal pengguna AWS Identity and Access Management (IAM).
+ Apakah permintaan tersebut dibuat dengan kredensial keamanan sementara untuk satu peran atau pengguna gabungan.
+ Apakah permintaan itu dibuat oleh AWS layanan lain.
Untuk informasi selengkapnya, lihat [elemen CloudTrail UserIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html) di *AWS CloudTrail Panduan Pengguna*.
## Memahami entri file log Amazon EFS
*Trail* adalah konfigurasi yang memungkinkan pengiriman peristiwa sebagai file log ke bucket Amazon S3 yang Anda tentukan. CloudTrail file log berisi satu atau lebih entri log. *Peristiwa* mewakili permintaan tunggal dari sumber manapun dan mencakup informasi tentang tindakan yang diminta, tanggal dan waktu tindakan, parameter permintaan, dan sebagainya. CloudTrail file log bukanlah jejak tumpukan yang diurutkan dari panggilan API publik, jadi file tersebut tidak muncul dalam urutan tertentu.
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `CreateTags` operasi ketika tag untuk sistem file dibuat dari konsol.
```
{
"eventVersion": "1.06",
"userIdentity": {
"type": "Root",
"principalId": "111122223333",
"arn": "arn:aws:iam::111122223333:root",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2017-03-01T18:02:37Z"
}
}
},
"eventTime": "2017-03-01T19:25:47Z",
"eventSource": "elasticfilesystem.amazonaws.com",
"eventName": "CreateTags",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "console.amazonaws.com",
"requestParameters": {
"fileSystemId": "fs-00112233",
"tags": [{
"key": "TagName",
"value": "AnotherNewTag"
}
]
},
"responseElements": null,
"requestID": "dEXAMPLE-feb4-11e6-85f0-736EXAMPLE75",
"eventID": "eEXAMPLE-2d32-4619-bd00-657EXAMPLEe4",
"eventType": "AwsApiCall",
"apiVersion": "2015-02-01",
"recipientAccountId": "111122223333"
}
```
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `DeleteTags` tindakan ketika tag untuk sistem file dihapus dari konsol.
```
{
"eventVersion": "1.06",
"userIdentity": {
"type": "Root",
"principalId": "111122223333",
"arn": "arn:aws:iam::111122223333:root",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2017-03-01T18:02:37Z"
}
}
},
"eventTime": "2017-03-01T19:25:47Z",
"eventSource": "elasticfilesystem.amazonaws.com",
"eventName": "DeleteTags",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0",
"userAgent": "console.amazonaws.com",
"requestParameters": {
"fileSystemId": "fs-00112233",
"tagKeys": []
},
"responseElements": null,
"requestID": "dEXAMPLE-feb4-11e6-85f0-736EXAMPLE75",
"eventID": "eEXAMPLE-2d32-4619-bd00-657EXAMPLEe4",
"eventType": "AwsApiCall",
"apiVersion": "2015-02-01",
"recipientAccountId": "111122223333"
}
```
### Entri log untuk peran terkait layanan EFS
Peran terkait layanan Amazon EFS membuat panggilan API ke sumber daya. AWS Anda akan melihat entri CloudTrail log dengan panggilan `username: AWSServiceRoleForAmazonElasticFileSystem` yang dilakukan oleh peran terkait layanan EFS. Untuk informasi selengkapnya tentang EFS dan peran terkait layanan, lihat. [Menggunakan peran terkait layanan untuk Amazon EFS](using-service-linked-roles.md)
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `CreateServiceLinkedRole` tindakan saat Amazon EFS membuat peran AWSService RoleForAmazonElasticFileSystem terkait layanan.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "111122223333",
"arn": "arn:aws:iam::111122223333:user/user1",
"accountId": "111122223333",
"accessKeyId": "A111122223333",
"userName": "user1",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-10-23T22:45:41Z"
}
},
"invokedBy": "elasticfilesystem.amazonaws.com”
},
"eventTime": "2019-10-23T22:45:41Z",
"eventSource": "iam.amazonaws.com",
"eventName": "CreateServiceLinkedRole",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.2.0",
"userAgent": "user_agent",
"requestParameters": {
"aWSServiceName": "elasticfilesystem.amazonaws.com”
},
"responseElements": {
"role": {
"assumeRolePolicyDocument": "111122223333-10-111122223333Statement111122223333Action111122223333AssumeRole111122223333Effect%22%3A%20%22Allow%22%2C%20%22Principal%22%3A%20%7B%22Service%22%3A%20%5B%22 elasticfilesystem.amazonaws.com%22%5D%7D%7D%5D%7D",
"arn": "arn:aws:iam::111122223333:role/aws-service-role/elasticfilesystem.amazonaws.com/AWSServiceRoleForAmazonElasticFileSystem",
"roleId": "111122223333",
"createDate": "Oct 23, 2019 10:45:41 PM",
"roleName": "AWSServiceRoleForAmazonElasticFileSystem",
"path": "/aws-service-role/elasticfilesystem.amazonaws.com/“
}
},
"requestID": "11111111-2222-3333-4444-abcdef123456",
"eventID": "11111111-2222-3333-4444-abcdef123456",
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `CreateNetworkInterface` tindakan yang dibuat oleh peran `AWSServiceRoleForAmazonElasticFileSystem` terkait layanan, yang dicatat dalam. `sessionContext`
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:sts::0123456789ab:assumed-role/AWSServiceRoleForAmazonElasticFileSystem/0123456789ab",
"accountId": "0123456789ab",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::0123456789ab:role/aws-service-role/elasticfilesystem.amazonaws.com/AWSServiceRoleForAmazonElasticFileSystem",
"accountId": "0123456789ab",
"userName": "AWSServiceRoleForAmazonElasticFileSystem"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-10-23T22:50:05Z"
}
},
"invokedBy": "AWS Internal"
},
"eventTime": "20You 19-10-23T22:50:05Z",
"eventSource": "ec2.amazonaws.com",
"eventName": "CreateNetworkInterface",
"awsRegion": "us-east-1",
"sourceIPAddress": "elasticfilesystem.amazonaws.com”,
"userAgent": "elasticfilesystem.amazonaws.com",
"requestParameters": {
"subnetId": "subnet-71e2f83a",
"description": "EFS mount target for fs-1234567 (fsmt-1234567)",
"groupSet": {},
"privateIpAddressesSet": {}
},
"responseElements": {
"requestId": "0708e4ad-03f6-4802-b4ce-4ba987d94b8d",
"networkInterface": {
"networkInterfaceId": "eni-0123456789abcdef0",
"subnetId": "subnet-12345678",
"vpcId": "vpc-01234567",
"availabilityZone": "us-east-1b",
"description": "EFS mount target for fs-1234567 (fsmt-1234567)",
"ownerId": "666051418590",
"requesterId": "0123456789ab",
"requesterManaged": true,
"status": "pending",
"macAddress": "00:bb:ee:ff:aa:cc",
"privateIpAddress": "192.0.2.0",
"privateDnsName": "ip-192-0-2-0.ec2.internal",
"sourceDestCheck": true,
"groupSet": {
"items": [
{
"groupId": "sg-c16d65b6",
"groupName": "default"
}
]
},
"privateIpAddressesSet": {
"item": [
{
"privateIpAddress": "192.0.2.0",
"primary": true
}
]
},
"tagSet": {}
}
},
"requestID": "11112222-3333-4444-5555-666666777777",
"eventID": "aaaabbbb-1111-2222-3333-444444555555",
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
### Entri log untuk otentikasi EFS
Otorisasi Amazon EFS untuk pancaran dan acara `NewClientConnection` klien NFS. `UpdateClientConnection` CloudTrail Sebuah `NewClientConnection` peristiwa dipancarkan ketika koneksi diotorisasi segera setelah koneksi awal, dan segera setelah koneksi ulang. An `UpdateClientConnection` dipancarkan ketika koneksi diotorisasi ulang dan daftar tindakan yang diizinkan telah berubah. Acara ini juga dipancarkan ketika daftar baru tindakan yang diizinkan tidak disertakan. `ClientMount` Untuk informasi selengkapnya tentang otorisasi EFS, lihat[Menggunakan IAM untuk mengontrol akses ke sistem file](iam-access-control-nfs-efs.md).
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan suatu `NewClientConnection` peristiwa.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:sts::0123456789ab:assumed-role/abcdef0123456789",
"accountId": "0123456789ab",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE ",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::0123456789ab:role/us-east-2",
"accountId": "0123456789ab",
"userName": "username"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2019-12-23T17:50:16Z"
},
"ec2RoleDelivery": "1.0"
}
},
"eventTime": "2019-12-23T18:02:12Z",
"eventSource": "elasticfilesystem.amazonaws.com",
"eventName": "NewClientConnection",
"awsRegion": "us-east-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "elasticfilesystem",
"requestParameters": null,
"responseElements": null,
"eventID": "27859ac9-053c-4112-aee3-f3429719d460",
"readOnly": true,
"resources": [
{
"accountId": "0123456789ab",
"type": "AWS::EFS::FileSystem",
"ARN": "arn:aws:elasticfilesystem:us-east-2:0123456789ab:file-system/fs-01234567"
},
{
"accountId": "0123456789ab",
"type": "AWS::EFS::AccessPoint",
"ARN": "arn:aws:elasticfilesystem:us-east-2:0123456789ab:access-point/fsap-0123456789abcdef0"
}
],
"eventType": "AwsServiceEvent",
"recipientAccountId": "0123456789ab",
"serviceEventDetails": {
"permissions": {
"ClientRootAccess": true,
"ClientMount": true,
"ClientWrite": true
},
"sourceIpAddress": "10.7.3.72"
}
}
```
## Entri file log Amazon EFS untuk sistem encrypted-at-rest file
Amazon EFS memberi Anda opsi untuk menggunakan enkripsi saat istirahat, enkripsi dalam perjalanan, atau keduanya, untuk sistem file Anda. Untuk informasi selengkapnya, lihat [Enkripsi data di Amazon EFS](encryption.md).
Amazon EFS mengirimkan [konteks Enkripsi](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#encrypt_context) saat membuat permintaan AWS KMS API untuk menghasilkan kunci data dan mendekripsi data Amazon EFS. ID sistem file adalah konteks enkripsi untuk semua sistem file yang dienkripsi saat istirahat. Di `requestParameters` bidang entri CloudTrail log, konteks enkripsi terlihat mirip dengan yang berikut ini.
```
"EncryptionContextEquals": {}
"aws:elasticfilesystem:filesystem:id" : "fs-4EXAMPLE"
```