Mencatat panggilan API Macie dengan AWS CloudTrail - Amazon Macie
Acara manajemen Macie di CloudTrailContoh peristiwa Macie di CloudTrail

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mencatat panggilan API Macie dengan AWS CloudTrail

Amazon Macie terintegrasi dengan AWS CloudTrail, yang merupakan layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau. Layanan AWS CloudTrailmenangkap semua panggilan API untuk Macie sebagai peristiwa manajemen. Panggilan yang diambil termasuk panggilan dari konsol Amazon Macie dan panggilan terprogram ke operasi Amazon Macie API. Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuat untuk Macie, alamat IP dari mana permintaan itu dibuat, kapan dibuat, dan detail tambahan.

Setiap entri peristiwa atau log berisi informasi tentang entitas yang membuat permintaan tersebut. Informasi identitas membantu Anda menentukan berikut hal ini:

  • Baik permintaan tersebut dibuat dengan kredensial pengguna root atau pengguna.

  • Apakah permintaan itu dibuat atas nama AWS IAM Identity Center pengguna.

  • Apakah permintaan tersebut dibuat dengan kredensial keamanan sementara untuk satu peran atau pengguna gabungan.

  • Apakah permintaan tersebut dibuat oleh Layanan AWS lain.

CloudTrail aktif di akun Anda Akun AWS saat Anda membuat akun, dan Anda secara otomatis memiliki akses ke riwayat CloudTrail Acara. Riwayat CloudTrail Acara menyediakan catatan yang dapat dilihat, dapat dicari, dapat diunduh, dan tidak dapat diubah dari 90 hari terakhir dari peristiwa manajemen yang direkam dalam file. Wilayah AWS Untuk informasi selengkapnya, lihat Bekerja dengan riwayat CloudTrail peristiwa di Panduan AWS CloudTrail Pengguna. Tidak ada CloudTrail biaya untuk melihat riwayat Acara.

Untuk catatan acara yang sedang berlangsung Akun AWS selama 90 hari terakhir, buat jejak atau penyimpanan data acara CloudTrail Danau.

CloudTrail jalan setapak

Jejak memungkinkan CloudTrail untuk mengirimkan file log ke bucket Amazon S3. Semua jalur yang dibuat menggunakan AWS Management Console Multi-region. Anda dapat membuat jalur Single-region atau Multi-region dengan menggunakan. AWS CLI Membuat jejak Multi-wilayah disarankan karena Anda menangkap aktivitas Wilayah AWS di semua akun Anda. Jika Anda membuat jejak wilayah Tunggal, Anda hanya dapat melihat peristiwa yang dicatat di jejak. Wilayah AWS Untuk informasi selengkapnya tentang jejak, lihat Membuat jejak untuk Anda Akun AWS dan Membuat jejak untuk organisasi di Panduan AWS CloudTrail Pengguna.

Anda dapat mengirimkan satu salinan acara manajemen yang sedang berlangsung ke bucket Amazon S3 Anda tanpa biaya CloudTrail dengan membuat jejak, namun, ada biaya penyimpanan Amazon S3. Untuk informasi selengkapnya tentang CloudTrail harga, lihat AWS CloudTrail Harga. Untuk informasi tentang harga Amazon S3, lihat Harga Amazon S3.

CloudTrail Menyimpan data acara danau

CloudTrail Lake memungkinkan Anda menjalankan kueri berbasis SQL pada acara Anda. CloudTrail Lake mengonversi peristiwa yang ada dalam format JSON berbasis baris ke format Apache ORC. ORC adalah format penyimpanan kolumnar yang dioptimalkan untuk pengambilan data dengan cepat. Peristiwa digabungkan ke dalam penyimpanan data peristiwa, yang merupakan kumpulan peristiwa yang tidak dapat diubah berdasarkan kriteria yang Anda pilih dengan menerapkan pemilih acara tingkat lanjut. Pemilih yang Anda terapkan untuk penyimpanan data peristiwa akan mengontrol peristiwa yang akan dipersistensi dan tersedia bagi Anda untuk dikueri. Untuk informasi lebih lanjut tentang CloudTrail Danau, lihat Bekerja dengan AWS CloudTrail Danau di Panduan AWS CloudTrail Pengguna.

CloudTrail Penyimpanan data acara danau dan kueri menimbulkan biaya. Saat membuat penyimpanan data peristiwa, Anda memilih opsi harga yang ingin Anda gunakan untuk penyimpanan data peristiwa tersebut. Opsi harga menentukan biaya untuk menyerap dan menyimpan peristiwa, serta periode retensi default dan maksimum untuk penyimpanan data peristiwa. Untuk informasi selengkapnya tentang CloudTrail harga, lihat AWS CloudTrail Harga.

Acara manajemen Macie di AWS CloudTrail

Acara manajemen memberikan informasi tentang operasi manajemen yang dilakukan pada sumber daya di Anda Akun AWS. Ini juga dikenal sebagai operasi bidang kontrol. Secara default, CloudTrail mencatat peristiwa manajemen.

Amazon Macie mencatat semua operasi pesawat kontrol Macie sebagai peristiwa manajemen di. CloudTrail Misalnya, panggilan keListFindings,DescribeBuckets, dan CreateClassificationJob operasi menghasilkan peristiwa manajemen di CloudTrail. Setiap acara mencakup eventSource bidang. Bidang ini menunjukkan Layanan AWS bahwa permintaan dibuat untuk. Untuk acara Macie, nilai untuk bidang ini adalah:macie2.amazonaws.com.

Untuk daftar operasi bidang kontrol yang dicatat oleh Macie CloudTrail, lihat Operasi di Referensi API Amazon Macie.

Contoh peristiwa Macie di AWS CloudTrail

Peristiwa mewakili permintaan tunggal dari sumber manapun dan mencakup informasi tentang operasi API yang diminta, tanggal dan waktu operasi, parameter permintaan, dan sebagainya. CloudTrail file log bukanlah jejak tumpukan yang diurutkan dari panggilan API publik, sehingga peristiwa tidak muncul dalam urutan tertentu.

Contoh berikut menunjukkan CloudTrail peristiwa yang menunjukkan operasi Amazon Macie. Untuk detail tentang informasi yang mungkin berisi suatu peristiwa, lihat CloudTrailmerekam konten di Panduan AWS CloudTrail Pengguna.

Contoh: Daftar temuan

Contoh berikut menunjukkan CloudTrail acara untuk operasi Amazon Macie ListFindings. Dalam contoh ini, pengguna AWS Identity and Access Management (IAM) (Mary_Major) menggunakan konsol Amazon Macie untuk mengambil subset informasi tentang temuan kebijakan saat ini untuk akun mereka.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "123456789012",
        "arn": "arn:aws:iam::123456789012:user/Mary_Major",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "Mary_Major",
        "sessionContext":{
            "attributes": {
                "creationdate": "2024-11-14T15:49:57Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2024-11-14T16:09:56Z",
    "eventSource": "macie2.amazonaws.com",
    "eventName": "ListFindings",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "198.51.100.1",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36",
    "requestParameters": {
        "sortCriteria": {
            "attributeName": "updatedAt",
            "orderBy": "DESC"
        },
        "findingCriteria": {
            "criterion": {
                "archived": {
                    "eq": [
                        "false"
                    ]
                },
                "category": {
                    "eq": [
                        "POLICY"
                    ]
                }
            }
        },
        "maxResults": 25,
        "nextToken": ""
    },
    "responseElements": null,
    "requestID": "d58af6be-1115-4a41-91f8-ace03example",
    "eventID": "ad97fac5-f7cf-4ff9-9cf2-d0676example",
    "readOnly": true,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}

Contoh: Mengambil sampel data sensitif untuk temuan

Contoh ini menunjukkan CloudTrail peristiwa untuk mengambil dan mengungkapkan sampel data sensitif yang dilaporkan Amazon Macie dalam sebuah temuan. Dalam contoh ini, pengguna IAM (JohnDoe) menggunakan konsol Amazon Macie untuk mengambil dan mengungkapkan sampel data sensitif. Akun pengguna dikonfigurasi untuk mengambil peran IAM (MacieReveal) untuk mengambil dan mengungkapkan sampel data sensitif dari objek Amazon Simple Storage Service (Amazon S3) yang terpengaruh.

Peristiwa berikut menunjukkan detail tentang permintaan pengguna untuk mengambil dan mengungkapkan sampel data sensitif dengan menggunakan operasi Amazon GetSensitiveDataOccurrencesMacie.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "UU4MH7OYK5ZCOAEXAMPLE:JohnDoe",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/JohnDoe",
        "accountId": "111122223333",
        "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "UU4MH7OYK5ZCOAEXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/Admin",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2024-12-12T14:40:23Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2024-12-12T17:04:47Z",
    "eventSource": "macie2.amazonaws.com",
    "eventName": "GetSensitiveDataOccurrences",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "198.51.100.252",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36",
    "requestParameters": {
        "findingId": "3ad9d8cd61c5c390bede45cd2example"
    },
    "responseElements": null,
    "requestID": "c30cb760-5102-47e7-88d8-ff2e8example",
    "eventID": "baf52d92-f9c3-431a-bfe8-71c81example",
    "readOnly": true,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Acara berikutnya menunjukkan rincian tentang Macie kemudian mengasumsikan peran IAM yang ditentukan (MacieReveal) dengan menggunakan operasi AWS Security Token Service (AWS STS). AssumeRole

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "reveal-samples.macie.amazonaws.com"
    },
    "eventTime": "2024-12-12T17:04:47Z",
    "eventSource": "sts.amazonaws.com",
    "eventName": "AssumeRole",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "reveal-samples.macie.amazonaws.com",
    "userAgent": "reveal-samples.macie.amazonaws.com",
    "requestParameters": {
        "roleArn": "arn:aws:iam::111122223333:role/MacieReveal",
        "roleSessionName": "RevealCrossAccount"
    },
    "responseElements": {
        "credentials": {
            "accessKeyId": "AKIAI44QH8DHBEXAMPLE",
            "sessionToken": "XXYYaz...
EXAMPLE_SESSION_TOKEN
XXyYaZAz",
            "expiration": "Dec 12, 2024, 6:04:47 PM"
        },
        "assumedRoleUser": {
            "assumedRoleId": "AROAXOTKAROCSNEXAMPLE:RevealCrossAccount",
            "arn": "arn:aws:sts::111122223333:assumed-role/MacieReveal/RevealCrossAccount"
        }
    },
    "requestID": "d905cea8-2dcb-44c1-948e-19419example",
    "eventID": "74ee4d0c-932d-3332-87aa-8bcf3example",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::IAM::Role",
            "ARN": "arn:aws:iam::111122223333:role/MacieReveal"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Contoh: Menghapus undangan keanggotaan

Contoh berikut menunjukkan CloudTrail acara untuk operasi Amazon Macie DeleteInvitations. Dalam contoh ini, Macie mencatat peristiwa di akun administrator Macie yang didelegasikan untuk organisasi ketika anggota memisahkan akun mereka dari akun administrator dan menghapus undangan administrator untuk bergabung dengan organisasi. Dalam contoh, ID akun untuk administrator Akun AWS adalah777788889999. ID akun untuk akun anggota adalah111122223333.

{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSAccount",
        "accountId": "111122223333",
        "invokedBy": "macie2.amazonaws.com"
    },
    "eventTime": "2025-09-20T18:44:58Z",
    "eventSource": "macie2.amazonaws.com",
    "eventName": "MacieMemberUpdated",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "macie2.amazonaws.com",
    "userAgent": "macie2.amazonaws.com",
    "requestParameters": null,
    "responseElements": null,
    "eventID": "2f08152c-66b9-35f8-8a10-6fe1bexample",
    "readOnly": false,
    "resources": [{
        "accountId": "777788889999",
        "type": "AWS::Macie::Member",
        "ARN": "arn:aws:macie2:us-east-2:777788889999:member/111122223333"
    }],
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "recipientAccountId": "777788889999",
    "sharedEventID": "2bff2ad0-f233-48c6-8720-ca9dbexample",
    "serviceEventDetails": {
        "memberAccount": "111122223333",
        "memberResourceStatus": "DELETED",
        "apiOperation": "DeleteInvitations"
    },
    "eventCategory": "Management"
}

Contoh: Menonaktifkan Macie

Contoh ini menunjukkan CloudTrail peristiwa untuk menonaktifkan Amazon Macie untuk file. Akun AWS Dalam contoh ini, pengguna IAM (JohnDoe) menonaktifkan Macie untuk akun mereka. Macie kemudian membatalkan dan menghapus semua pekerjaan penemuan data sensitif untuk akun tersebut, selain menghapus sumber daya dan data Macie lainnya untuk akun tersebut.

Peristiwa berikut menunjukkan detail tentang permintaan pengguna untuk menonaktifkan Macie untuk akun mereka dengan menggunakan operasi Amazon DisableMacieMacie.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAXYKJR2G5JXEXAMPLE:JohnDoe",
        "arn": "arn:aws:sts::123456789012:assumed-role/Admin/JohnDoe",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAXYKJR2G5JXEXAMPLE",
                "arn": "arn:aws:iam::123456789012:role/Admin",
                "accountId": "123456789012",
                "userName": "Admin"
            },
            "attributes": {
                "creationDate": "2025-09-18T21:54:42Z",
                "mfaAuthenticated": "true"
            }
        }
    },
    "eventTime": "2025-09-18T21:57:06Z",
    "eventSource": "macie2.amazonaws.com",
    "eventName": "DisableMacie",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "198.51.100.1",
    "userAgent": "aws-cli/2.17.9 md/awscrt#0.20.11 ua/2.0 os/macos#24.4.0 md/arch#x86_64 lang/python#3.11.8 md/pyimpl#CPython cfg/retry-mode#standard md/installer#exe md/prompt#off md/command#macie2.disable-macie",
    "requestParameters": null,
    "responseElements": null,
    "requestID": "941d1d6c-c1b2-4db5-845f-1250cexample",
    "eventID": "06554dba-417b-4a65-90b8-4e5d5example",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}

Acara berikutnya menunjukkan detail tentang Macie kemudian membatalkan dan menghapus salah satu pekerjaan penemuan data sensitif untuk akun tersebut.

{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "Root",
        "accountId": "123456789012",
        "invokedBy": "macie2.amazonaws.com"
    },
    "eventTime": "2025-09-18T21:57:18Z",
    "eventSource": "macie2.amazonaws.com",
    "eventName": "MacieClassificationJobCancelled",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "macie2.amazonaws.com",
    "userAgent": "macie2.amazonaws.com",
    "requestParameters": null,
    "responseElements": null,
    "eventID": "df39ea1d-cd4e-4130-8cd5-cd33cexample",
    "readOnly": false,
    "resources": [{
        "accountId": "123456789012",
        "type": "AWS::Macie::ClassificationJob",
        "ARN": "arn:aws:macie2:us-east-2:123456789012:classification-job/f252cbe854ae0a1a47d8304f4example"
    }],
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "serviceEventDetails": {
        "macieStatus": "DISABLED",
        "classificationJobStatus": "CANCELLED"
    },
    "eventCategory": "Management"
}