CloudTrail registrazione per le app web Transfer Family - AWS Transfer Family
Abilitazione degli eventi relativi ai dati di Amazon S3Esempi di log di autenticazioneVisualizzazione delle voci di registro

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

CloudTrail registrazione per le app web Transfer Family

CloudTrail è un file Servizio AWS che crea un registro delle azioni intraprese all'interno del tuo Account AWS. Monitora e registra continuamente le operazioni API per attività come AWS Command Line Interface accessi, comandi e operazioni alla console. SDK/API Ciò consente di tenere un registro di chi ha intrapreso quali azioni, quando e da dove. CloudTrail facilita il controllo, la gestione degli accessi e la conformità normativa fornendo una cronologia di tutte le attività nell' AWS ambiente.

Per le app web Transfer Family, puoi tenere traccia sia degli eventi di autenticazione che delle operazioni di accesso ai dati eseguite dai tuoi utenti. Per abilitare la registrazione completa, devi:

  1. CloudTrail Configurare per registrare gli eventi di gestione per il monitoraggio delle attività di autenticazione.

  2. Abilita gli eventi sui dati di Amazon S3 per tenere traccia delle operazioni sui file eseguite tramite la tua app web.

Consulta anche

Abilitazione degli eventi relativi ai dati di Amazon S3

Per tenere traccia delle operazioni sui file eseguite tramite le app web Transfer Family sui tuoi bucket Amazon S3, devi abilitare gli eventi relativi ai dati per tali bucket. Gli eventi relativi ai dati forniscono attività API a livello di oggetto e sono particolarmente utili per tenere traccia dei caricamenti, dei download e di altre operazioni eseguite dagli utenti delle app Web.

Per abilitare gli eventi dati Amazon S3 per la tua app web Transfer Family:

  1. Apri la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/.

  2. Nel riquadro di navigazione, scegli Percorsi, quindi seleziona un percorso esistente o creane uno nuovo.

  3. In Selettori di eventi avanzati, scegli Modifica.

  4. Scegli Aggiungi selettore di eventi avanzato.

  5. Per il primo selettore di campo:

    • Imposta campo su eventCategory

    • Imposta operatore su Uguale

    • Imposta valore su Data

  6. Scegli Aggiungi campo e per il secondo selettore di campo:

    • Imposta campo su resources.type

    • Imposta operatore su Uguale

    • Imposta valore su AWS::S3::Object

  7. (Facoltativo) Per registrare gli eventi solo per bucket specifici, scegli Aggiungi campo e aggiungi:

    • Imposta campo su resources.ARN

    • Imposta operatore con cui iniziare

    • Imposta valore su arn:aws:s3:::your-bucket-name/

  8. Scegli Save changes (Salva modifiche).

In alternativa, puoi utilizzare la configurazione degli eventi relativi ai dati precedenti:

  1. In Data events, scegli Modifica.

  2. Per Tipo di evento Data, seleziona Bucket S3 e Object Events.

  3. Scegli i bucket Amazon S3 per cui registrare gli eventi relativi ai dati. Puoi selezionare Tutti i bucket S3 attuali e futuri o specificare singoli bucket.

  4. Scegli se registrare gli eventi di lettura, gli eventi di scrittura o entrambi.

  5. Scegli Save changes (Salva modifiche).

Dopo aver abilitato gli eventi relativi ai dati, puoi accedere a questi log nel bucket Amazon S3 configurato per. CloudTrail I log includono dettagli come l'utente che ha eseguito l'azione, il timestamp dell'azione, l'oggetto specifico interessato e il onBehalfOf campo che aiuta a tracciare le azioni eseguite tramite le userId app web Transfer Family.

Individuazione e visualizzazione dei registri

Esistono diversi modi per trovare e visualizzare CloudTrail i registri della tua app web Transfer Family:

Utilizzo della console CloudTrail

Il modo più veloce per visualizzare gli eventi recenti:

  1. Apri la CloudTrail console all'indirizzo https://console.aws.amazon.com/cloudtrail/.

  2. Scegli Cronologia eventi.

  3. Filtra gli eventi per:

    • Fonte dell'evento: signin.amazonaws.com per gli eventi delle app Web

    • Fonte dell'evento: s3.amazonaws.com per le operazioni sui file

  4. Fai clic su un evento per visualizzare informazioni dettagliate.

Accesso ai log in Amazon S3

Per accedere ai file di log completi archiviati in Amazon S3:

  1. Identifica il CloudTrail bucket Amazon S3 del tuo percorso:

    aws cloudtrail describe-trails --query 'trailList[*].[Name,S3BucketName]' --output table

  2. Accedi ai file di registro in Amazon S3:

    aws s3 ls s3://your-cloudtrail-bucket/AWSLogs/account-id/CloudTrail/region/YYYY/MM/DD/

  3. Scarica e cerca nei file di registro l'ID della tua app web:

    aws s3 cp s3://your-cloudtrail-bucket/AWSLogs/account-id/CloudTrail/region/YYYY/MM/DD/ . --recursive
gunzip *.json.gz
grep -l "webapp-1a2b3c4d5e6f7g8h9" *.json

Utilizzo AWS CLI per cercare eventi

Cerca eventi specifici delle app Web utilizzando AWS CLI:

aws logs filter-log-events \
  --log-group-name /aws/cloudtrail/your-trail-name \
  --filter-pattern "webapp-1a2b3c4d5e6f7g8h9" \
  --start-time $(date -d "1 day ago" +%s)000

Oppure cerca eventi di autenticazione:

aws logs filter-log-events \
  --log-group-name /aws/cloudtrail/your-trail-name \
  --filter-pattern "UserAuthentication" \
  --start-time $(date -d "1 day ago" +%s)000

Esempi di log di autenticazione

CloudTrail registra gli eventi di autenticazione per le app web Transfer Family, che possono aiutarti a tenere traccia dei tentativi di accesso riusciti e falliti. Questi registri sono particolarmente utili per il monitoraggio della sicurezza e la conformità.

Esempio di immissione di registro per la verifica delle credenziali

L'esempio seguente mostra una voce di CloudTrail registro per un evento di verifica delle credenziali che si verifica durante il processo di autenticazione.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "Unknown",
        "principalId": "123456789012",
        "arn": "",
        "accountId": "123456789012",
        "accessKeyId": "",
        "userName": "demo-user-2",
        "onBehalfOf": {
            "userId": "f12bb510-a011-702f-10dd-5607e2776dbc",
            "identityStoreArn": "arn:aws:identitystore::123456789012:identitystore/d-9a670c546e"
        },
        "credentialId": "58138a11-87e5-401d-8f0b-7161c9389112"
    },
    "eventTime": "2025-08-08T15:29:30Z",
    "eventSource": "signin.amazonaws.com",
    "eventName": "CredentialVerification",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "192.0.2.224",
    "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/138.0.0.0 Safari/537.36",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "AuthWorkflowID": "f304a48b-7b6d-41c8-b136-4f49c91c1f31",
        "CredentialType": "PASSWORD"
    },
    "requestID": "ff936828-4a81-453c-802d-81368b6bca1a",
    "eventID": "70cb7008-493d-42c2-a9eb-38bf168af6a8",
    "readOnly": false,
    "eventType": "AWS ServiceEvent",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "serviceEventDetails": {
        "CredentialVerification": "Success"
    },
    "eventCategory": "Management"
}

Questo evento fornisce ulteriori dettagli sulla fase di verifica delle credenziali nel processo di autenticazione, mostrando l'ID specifico della credenziale e l'ID del flusso di lavoro di autenticazione utilizzati.

Esempio di immissione di registro per l'autenticazione dell'accesso

L'esempio seguente mostra una voce di CloudTrail registro relativa a un evento di autenticazione utente riuscito durante l'accesso all'app Web utilizzando IAM Identity Center.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "Unknown",
        "principalId": "123456789012",
        "arn": "",
        "accountId": "123456789012",
        "accessKeyId": "",
        "userName": "demo-user-2",
        "onBehalfOf": {
            "userId": "f12bb510-a011-702f-10dd-5607e2776dbc",
            "identityStoreArn": "arn:aws:identitystore::123456789012:identitystore/d-9a670c546e"
        },
        "credentialId": "b41f0a02-1635-4d07-a414-aecf9e14b906"
    },
    "eventTime": "2025-08-07T14:09:07Z",
    "eventSource": "signin.amazonaws.com",
    "eventName": "UserAuthentication",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "192.0.2.14",
    "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/138.0.0.0 Safari/537.36",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "AuthWorkflowID": "7a4ef12c-7c4b-4bc3-b5bd-c2469afcc795",
        "LoginTo": "https://example.awsapps.com/start/",
        "CredentialType": "PASSWORD"
    },
    "requestID": "fc91bcf0-ac53-4454-a1a0-fb911eacc095",
    "eventID": "18522007-1e60-4a71-b2b5-150baf504ab3",
    "readOnly": false,
    "eventType": "AWS ServiceEvent",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "serviceEventDetails": {
        "UserAuthentication": "Success"
    },
    "eventCategory": "Management"
}

In questo esempio, nota i seguenti campi importanti:

  • eventSource: Mostra «signin.amazonaws.com», a indicare che si tratta di un evento di autenticazione IAM Identity Center.

  • userIdentity.onBehalfOf: contiene l'ID utente e l'ARN dell'archivio di identità per l'utente dell'app Web.

  • additionalEventData.LoginTo: mostra l'URL dell'applicazione IAM Identity Center a cui si accede.

  • additionalEventData.CredentialType: Indica il metodo di autenticazione utilizzato (PASSWORD).

  • serviceEventDetails: mostra il risultato dell'autenticazione (operazione riuscita).

Esempio di registrazione per ListCallerAccessGrants

L'esempio seguente mostra una voce di CloudTrail registro per un ListCallerAccessGrants evento, che si verifica quando l'app web Transfer Family richiede le concessioni di accesso disponibili per un utente.

{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAEXAMPLEID:aws-transfer",
        "arn": "arn:aws:sts::123456789012:assumed-role/AWS TransferWebAppIdentityBearer-us-east-2/aws-transfer",
        "accountId": "123456789012",
        "accessKeyId": "ASIAEXAMPLEKEY",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAEXAMPLEID",
                "arn": "arn:aws:iam::123456789012:role/service-role/AWS TransferWebAppIdentityBearer-us-east-2",
                "accountId": "123456789012",
                "userName": "AWS TransferWebAppIdentityBearer-us-east-2"
            },
            "attributes": {
                "creationDate": "2025-08-08T15:29:34Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "transfer.amazonaws.com",
        "onBehalfOf": {
            "userId": "f12bb510-a011-702f-10dd-5607e2776dbc",
            "identityStoreArn": "arn:aws:identitystore::123456789012:identitystore/d-9a670c546e"
        }
    },
    "eventTime": "2025-08-08T15:29:35Z",
    "eventSource": "s3.amazonaws.com",
    "eventName": "ListCallerAccessGrants",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "transfer.amazonaws.com",
    "userAgent": "transfer.amazonaws.com",
    "requestParameters": {
        "Host": "123456789012.s3-control.dualstack.us-east-2.amazonaws.com",
        "allowedByApplication": "true",
        "maxResults": "100"
    },
    "responseElements": null,
    "additionalEventData": {
        "SignatureVersion": "SigV4",
        "CipherSuite": "TLS_AES_128_GCM_SHA256",
        "bytesTransferredIn": 0,
        "AuthenticationMethod": "AuthHeader",
        "x-amz-id-2": "1g34AaAELn/fntxwrifVsr41VDl8dp5ygWFasHJFNVq5FDCWYfX0ye7s4tWHEJC8ppI5lLePYLIcw3iTXAgn5Q==",
        "bytesTransferredOut": 462
    },
    "requestID": "48485MTZEDWT0ANT",
    "eventID": "3de5dd60-b7cf-474c-a1ab-631467c1a5c3",
    "readOnly": true,
    "resources": [
        {
            "accountId": "123456789012",
            "type": "AWS:S3::AccessGrantsInstance",
            "ARN": "arn:aws:s3:us-east-2:123456789012:access-grants/default"
        }
    ],
    "eventType": "AWS ApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}

In questo esempio, nota i seguenti campi importanti:

  • eventName: Indica che si tratta di un ListCallerAccessGrants evento che interroga le concessioni di accesso S3 disponibili.

  • requestParameters.allowedByApplication: indica che la query è filtrata in base alle concessioni consentite dall'applicazione.

  • requestParameters.maxResults: mostra il numero massimo di concessioni da restituire nella risposta.

  • userIdentity.onBehalfOf: collega la richiesta all'utente specifico dell'app Web.

Questo evento aiuta a tenere traccia di quando l'app web Transfer Family chiede a quali risorse S3 ha accesso un utente, fornendo visibilità sulle operazioni di rilevamento delle concessioni di accesso.

Esempio di immissione nel registro di un evento GetDataAccess

L'esempio seguente mostra una voce di CloudTrail registro per un GetDataAccess evento, che si verifica quando l'app web Transfer Family richiede le autorizzazioni di accesso per le risorse S3 per conto di un utente.

{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROASEQRAEABP7ADWEZA5:aws-transfer",
        "arn": "arn:aws:sts::123456789012:assumed-role/AWSTransferWebAppIdentityBearer-ap-southeast-1/aws-transfer",
        "accountId": "123456789012",
        "accessKeyId": "ASIAEXAMPLEKEY",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROASEQRAEABP7ADWEZA5",
                "arn": "arn:aws:iam::123456789012:role/service-role/AWSTransferWebAppIdentityBearer-ap-southeast-1",
                "accountId": "123456789012",
                "userName": "AWSTransferWebAppIdentityBearer-ap-southeast-1"
            },
            "attributes": {
                "creationDate": "2025-05-08T16:09:05Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "transfer.amazonaws.com",
        "onBehalfOf": {
            "identityStoreArn": "arn:aws:identitystore::123456789012:identitystore/d-9667b0da7a",
            "userId": "191a35ec-10a1-70c1-e4ab-e2802411e13e"
        }
    },
    "eventTime": "2025-05-08T16:10:25Z",
    "eventSource": "s3.amazonaws.com",
    "eventName": "GetDataAccess",
    "awsRegion": "ap-southeast-1",
    "sourceIPAddress": "transfer.amazonaws.com",
    "userAgent": "transfer.amazonaws.com",
    "requestParameters": {
        "Host": "123456789012.s3-control.dualstack.ap-southeast-1.amazonaws.com",
        "durationSeconds": 900,
        "permission": "READWRITE",
        "target": "s3://amzn-s3-demo-bucket/users/john.doe/documents/*"
    },
    "responseElements": null,
    "additionalEventData": {
        "AuthenticationMethod": "AuthHeader",
        "CipherSuite": "TLS_AES_128_GCM_SHA256",
        "SignatureVersion": "SigV4",
        "bytesTransferredIn": 0,
        "bytesTransferredOut": 2244,
        "x-amz-id-2": "8ce8sZOgNwsaj9w1mzagyA+csONjYl8FgEw4FGpE8DARi90aNC0RFWlTYNEn7ChqE9RCJrTzMvS+ru7Vz2xXHrkQt/1uQ9exZTZdlhX+/fM="
    },
    "requestID": "BXGSKKQXCWS5RAHB",
    "eventID": "c11db1d1-dfb8-431e-8625-48eba2ebadfe",
    "readOnly": true,
    "resources": [
        {
            "type": "AWS:S3::AccessGrantsInstance",
            "ARN": "arn:aws:s3:ap-southeast-1:123456789012:access-grants/default",
            "accountId": "123456789012"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}

In questo esempio, prendi nota dei seguenti campi importanti:

  • eventName: Indica che si tratta di un GetDataAccess evento che si verifica quando Transfer Family richiede le autorizzazioni di accesso per le risorse S3.

  • userIdentity.onBehalfOf: contiene l'ARN e l'ID utente dell'archivio di identità, che collegano la richiesta di accesso all'utente specifico dell'app Web.

  • requestParameters.target: mostra il modello di percorso S3 per il quale è stato richiesto l'accesso.

  • requestParameters.permission: indica il tipo di accesso richiesto (READWRITE, READ o WRITE).

  • requestParameters.durationSeconds: mostra per quanto tempo è valido il permesso di accesso (in genere 900 secondi/15 minuti).

  • sourceIPAddresseuserAgent: entrambi mostrano «transfer.amazonaws.com», a indicare che si tratta di una richiesta di servizio interna.

GetDataAccess gli eventi sono particolarmente utili per tracciare quando agli utenti dell'app web Transfer Family viene concesso l'accesso a risorse S3 specifiche, aiutandoti a monitorare i modelli di accesso e a garantire l'autorizzazione corretta.

Visualizzazione delle voci di CloudTrail registro

Esistono diversi modi per visualizzare e analizzare le voci di CloudTrail registro per la tua app web Transfer Family:

Utilizzo della CloudTrail console

La CloudTrail console offre un'interfaccia intuitiva per la visualizzazione e il filtraggio delle voci di registro:

  1. Apri la CloudTrail console all'indirizzo. https://console.aws.amazon.com/cloudtrail/

  2. Nel riquadro di navigazione scegliere Event history (Cronologia eventi).

  3. Usa le opzioni di filtro per restringere gli eventi:

    • Imposta l'origine dell'evento transfer.amazonaws.com su per visualizzare solo gli eventi Transfer Family.

    • Filtra per nome dell'evento per vedere operazioni specifiche comeUserAuthentication.

    • Usa Time Range per concentrarti sugli eventi in un periodo specifico.

  4. Fai clic su un evento per visualizzarne le informazioni dettagliate.

Accesso ai log in Amazon S3

Se hai configurato un CloudTrail percorso per inviare i log a un bucket Amazon S3, puoi accedere direttamente ai file di log non elaborati:

  1. Apri la console Amazon S3 all'indirizzo. https://console.aws.amazon.com/s3/

  2. Accedi al bucket e al prefisso in cui sono archiviati i CloudTrail log.

  3. I log sono organizzati per anno, mese, giorno e regione. Accedere alla directory appropriata.

  4. Scarica e apri i file di registro, che sono in formato JSON.