AWS CloudTrail registrazione per AWS Transfer Family - AWS Transfer Family
Abilitare la registrazione CloudTrail Esempio di registrazione per la creazione di un serverRegistri di accesso ai dati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS CloudTrail registrazione per AWS Transfer Family

AWS Transfer Family si integra sia AWS CloudTrail con Amazon che con Amazon CloudWatch. CloudTrail e CloudWatch servono a scopi diversi ma complementari.

  • Questo argomento tratta l'integrazione con CloudTrail , un AWS servizio che crea un registro delle azioni intraprese all'interno dell'utente Account AWS. Monitora e registra continuamente le operazioni delle API per attività come AWS Command Line Interface accessi, comandi e operazioni alla console. SDK/API Ciò consente di tenere un registro di chi ha intrapreso quali azioni, quando e da dove. CloudTrail facilita il controllo, la gestione degli accessi e la conformità normativa fornendo una cronologia di tutte le attività nell' AWS ambiente. Per i dettagli, consulta la Guida per l'AWS CloudTrail utente.

  • CloudWatch Registrazione Amazon per server AWS Transfer Familycopre l'integrazione con CloudWatch, un servizio di monitoraggio di AWS risorse e applicazioni. Raccoglie metriche e log per fornire visibilità sull'utilizzo delle risorse, sulle prestazioni delle applicazioni e sullo stato generale del sistema. CloudWatch aiuta con attività operative come la risoluzione dei problemi, l'impostazione di allarmi e la scalabilità automatica. Per i dettagli, consulta la Amazon CloudWatch User Guide.

Un trail è una configurazione che consente la distribuzione di eventi come file di log in un bucket Amazon S3 specificato dall'utente. CloudTrail i file di registro contengono una o più voci di registro. Un evento rappresenta una singola richiesta proveniente da qualsiasi fonte e include informazioni sull'azione richiesta, la data e l'ora dell'azione, i parametri della richiesta e così via. CloudTrail i file di registro non sono una traccia stack ordinata delle operazioni API pubbliche, quindi non vengono visualizzati in un ordine specifico.

Per una registrazione continua degli eventi nel tuo AWS account, inclusi gli eventi di AWS Transfer Family, crea un percorso. Un trail consente di CloudTrail inviare file di log a un bucket Amazon S3. Per impostazione predefinita, quando si crea un trail nella console, il trail sarà valido in tutte le Regioni AWS . Il trail registra gli eventi di tutte le regioni della AWS partizione e consegna i file di log al bucket Amazon S3 specificato. Inoltre, puoi configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei log. CloudTrail Per ulteriori informazioni, consulta gli argomenti seguenti:

Tutte AWS Transfer Family le azioni vengono registrate CloudTrail e documentate in. ActionsAPI reference Ad esempio, le chiamate a ListUsers e CreateServer le StopServer azioni generano voci nei file di CloudTrail registro.

Ogni evento o voce di log contiene informazioni sull'utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:

  • Se la richiesta è stata effettuata con credenziali root o AWS Identity and Access Management utente.

  • Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.

  • Se la richiesta è stata effettuata da un altro AWS servizio.

Per ulteriori informazioni, consulta Elemento CloudTrail userIdentity.

Se crei un trail, puoi abilitare la distribuzione continua di CloudTrail eventi a un bucket Amazon S3, inclusi gli eventi per. AWS Transfer Family Se non configuri un percorso, puoi comunque visualizzare gli eventi più recenti nella CloudTrail console nella cronologia degli eventi.

Utilizzando le informazioni raccolte da CloudTrail, puoi determinare a quale richiesta è stata inviata AWS Transfer Family, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e dettagli aggiuntivi.

Per ulteriori informazioni CloudTrail, consulta la Guida AWS CloudTrail per l'utente.

Abilita la AWS CloudTrail registrazione

Puoi monitorare le operazioni AWS Transfer Family dell'API utilizzando AWS CloudTrail. Monitorando le operazioni delle API, è possibile ottenere utili informazioni operative e di sicurezza. Se hai abilitato la registrazione a livello di oggetto di Amazon S3, RoleSessionName è contenuta nel campo Requester come. [AWS:Role Unique Identifier]/username.sessionid@server-id Per ulteriori informazioni sugli identificatori univoci dei ruoli AWS Identity and Access Management (IAM), consulta Identificatori univoci nella Guida per l'utente.AWS Identity and Access Management

Importante

La lunghezza massima RoleSessionName è di 64 caratteri. Se RoleSessionName è più lungo, server-id viene troncato.

Abilitazione degli eventi relativi ai dati di Amazon S3

Per tenere traccia delle operazioni sui file eseguite AWS Transfer Family sui bucket Amazon S3, è necessario abilitare gli eventi relativi ai dati per tali bucket. Gli eventi relativi ai dati forniscono attività API a livello di oggetto e sono particolarmente utili per tenere traccia dei caricamenti, dei download e di altre operazioni eseguite dagli utenti. AWS Transfer Family

Per abilitare gli eventi relativi ai dati di Amazon S3 per il tuo AWS Transfer Family server:

  1. Apri la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/.

  2. Nel riquadro di navigazione, scegli Percorsi, quindi seleziona un percorso esistente o creane uno nuovo.

  3. In Data events, scegli Modifica.

  4. Per Tipo di evento Data, seleziona S3.

  5. Scegli i bucket Amazon S3 per cui registrare gli eventi relativi ai dati. Puoi registrare gli eventi relativi ai dati per tutti i bucket o specificare singoli bucket.

  6. Scegli se registrare gli eventi di lettura, gli eventi di scrittura o entrambi.

  7. Scegli Save changes (Salva modifiche).

Dopo aver abilitato gli eventi relativi ai dati, puoi accedere a questi log nel bucket Amazon S3 configurato per il tuo trail. CloudTrail I log includono dettagli come l'utente che ha eseguito l'azione, il timestamp dell'azione, l'oggetto specifico interessato e il onBehalfOf campo che consente di tracciare le azioni eseguite. userId AWS Transfer Family

Esempio di registrazione per la creazione di un server

L'esempio seguente mostra una voce di CloudTrail registro (in formato JSON) che illustra l'CreateServerazione.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AAAA4FFF5HHHHH6NNWWWW:user1",
        "arn": "arn:aws:sts::123456789102:assumed-role/Admin/user1",
        "accountId": "123456789102",
        "accessKeyId": "AAAA52C2WWWWWW3BB4Z",
        "sessionContext": {
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2018-12-18T20:03:57Z"
            },
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AAAA4FFF5HHHHH6NNWWWW",
                "arn": "arn:aws:iam::123456789102:role/Admin",
                "accountId": "123456789102",
                "userName": "Admin"
            }
        }
    },
    "eventTime": "2024-02-05T19:18:53Z",
    "eventSource": "transfer.amazonaws.com",
    "eventName": "CreateServer",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "11.22.1.2",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36",
    "requestParameters": {
        "domain": "S3",
        "hostKey": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "protocols": [
            "SFTP"
        ],
        "protocolDetails": {
            "passiveIp": "AUTO",
            "tlsSessionResumptionMode": "ENFORCED",
            "setStatOption": "DEFAULT"
        },
        "securityPolicyName": "TransferSecurityPolicy-2020-06",
        "s3StorageOptions": {
            "directoryListingOptimization": "ENABLED"
        }
    },
    "responseElements": {
        "serverId": "s-1234abcd5678efghi"
    },
    "requestID": "6fe7e9b1-72fc-45b0-a7f9-5840268aeadf",
    "eventID": "4781364f-7c1e-464e-9598-52d06aa9e63a",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789102",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.3",
        "cipherSuite": "TLS_AES_128_GCM_SHA256",
        "clientProvidedHostHeader": "transfer.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true"
}

Esempi di log di accesso ai dati

Quando abiliti gli eventi di dati di Amazon S3 per il tuo CloudTrail percorso, puoi tenere traccia delle operazioni sui file eseguite tramite. AWS Transfer Family Questi log ti aiutano a monitorare chi ha avuto accesso a quali dati, quando e come.

Esempio di immissione del registro per un accesso corretto ai dati

L'esempio seguente mostra una voce di CloudTrail registro per un'operazione di download di file eseguita correttamente AWS Transfer Family.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAEXAMPLEID:TransferSessionUser",
        "arn": "arn:aws:sts::123456789012:assumed-role/TransferS3AccessRole/TransferSessionUser",
        "accountId": "123456789012",
        "accessKeyId": "ASIAEXAMPLEKEY",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAEXAMPLEID",
                "arn": "arn:aws:iam::123456789012:role/TransferS3AccessRole",
                "accountId": "123456789012",
                "userName": "TransferS3AccessRole"
            },
            "attributes": {
                "creationDate": "2025-07-15T16:12:05Z",
                "mfaAuthenticated": "true"
            }
        },
        "invokedBy": "transfer.amazonaws.com"
    },
    "eventTime": "2025-07-15T16:15:22Z",
    "eventSource": "s3.amazonaws.com",
    "eventName": "GetObject",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "transfer.amazonaws.com",
    "userAgent": "transfer.amazonaws.com",
    "requestParameters": {
        "bucketName": "my-transfer-bucket",
        "key": "users/john.doe/reports/quarterly-report-2025-Q2.pdf",
        "Host": "my-transfer-bucket.s3.amazonaws.com",
        "x-amz-request-payer": "requester"
    },
    "responseElements": null,
    "additionalEventData": {
        "SignatureVersion": "SigV4",
        "CipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "bytesTransferredIn": 0,
        "bytesTransferredOut": 2458732,
        "x-amz-id-2": "EXAMPLE123456789+abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ="
    },
    "requestID": "EXAMPLE123456789",
    "eventID": "example12-3456-7890-abcd-ef1234567890",
    "readOnly": true,
    "resources": [
        {
            "type": "AWS::S3::Object",
            "ARN": "arn:aws:s3:::my-transfer-bucket/users/john.doe/reports/quarterly-report-2025-Q2.pdf"
        },
        {
            "accountId": "123456789012",
            "type": "AWS::S3::Bucket",
            "ARN": "arn:aws:s3:::my-transfer-bucket"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "123456789012",
    "eventCategory": "Data",
    "requestParameters": {
        "x-amz-onBehalfOf": "john.doe.sessionid@s-abcd1234efgh5678"
    }
}

In questo esempio, prendete nota dei seguenti campi importanti:

  • eventName: Indica l'operazione API S3 che è stata eseguita (GetObject per il download di un file).

  • requestParameters.bucketNameerequestParameters.key: mostra a quale oggetto S3 è stato effettuato l'accesso.

  • additionalEventData.bytesTransferredOut: mostra la dimensione del file scaricato in byte.

  • requestParameters.x-amz-onBehalfOf: contiene il AWS Transfer Family nome utente e l'ID di sessione, che consentono di tracciare AWS Transfer Family l'utente che ha eseguito l'azione.

Il x-amz-onBehalfOf campo è particolarmente importante in quanto collega la chiamata API S3 all' AWS Transfer Family utente specifico che ha avviato l'azione. Questo campo segue il formatousername.sessionid@server-id, in cui:

  • usernameè il AWS Transfer Family nome utente.

  • sessionidè un identificatore univoco per la sessione dell'utente.

  • server-idè l'ID del AWS Transfer Family server.

Operazioni comuni di accesso ai dati

Quando monitori l'accesso ai dati tramite AWS Transfer Family, in genere vedrai le seguenti operazioni dell'API S3 nei tuoi CloudTrail log:

Operazioni S3 comuni nei log AWS Transfer Family
Funzionamento dell'API S3 AWS Transfer Family Azione Descrizione
GetObject Scaricamento del file L'utente ha scaricato un file dal server
PutObject Caricamento di un file L'utente ha caricato un file sul server
DeleteObject Eliminazione di file L'utente ha eliminato un file dal server
ListObjects o ListObjects V2 Elenco delle directory L'utente ha elencato i file in una directory
CopyObject Copia del file L'utente ha copiato un file all'interno del server

Monitorando queste operazioni nei CloudTrail registri, è possibile tenere traccia di tutte le attività relative ai file eseguite tramite il AWS Transfer Family server, in modo da soddisfare i requisiti di conformità e rilevare gli accessi non autorizzati.