Registro em log de chamadas da API do Gerenciamento de Contas da AWS usando o AWS CloudTrail
As APIs do Gerenciamento de Contas da AWS são integradas ao AWS CloudTrail, serviço que fornece um registro das ações executadas por um usuário, por um perfil ou por um serviço da AWS que chama uma operação do Gerenciamento de Contas. O CloudTrail captura todas as chamadas de API do Gerenciamento de Contas como eventos. As chamadas capturadas incluem todas as chamadas para as operações do Gerenciamento de Contas. Se você criar uma trilha, poderá ativar a entrega contínua de eventos do CloudTrail para um bucket do Amazon S3, incluindo eventos para operações do Gerenciamento de Contas. Se você não configurar uma trilha, ainda poderá visualizar os eventos mais recentes no console do CloudTrail em Histórico de eventos. Usando as informações coletadas pelo CloudTrail, é possível determinar a solicitação que chamou a operação do Gerenciamento de Contas, o endereço IP usado para a solicitação, quem fez a solicitação, quando ela foi feita, além de detalhes adicionais.
Para saber mais sobre o CloudTrail, consulte o AWS CloudTrailGuia do usuário.
Informações sobre Gerenciamento de Contas no CloudTrail
O CloudTrail é ativado na Conta da AWS quando ela é criada. Quando ocorre uma atividade com uma operação do Gerenciamento de Contas, o CloudTrail registra esta atividade em um evento do CloudTrail com outros eventos de serviços da AWS no Histórico de eventos. Você pode visualizar, pesquisar e baixar eventos recentes em sua Conta da AWS. Para obter mais informações, consulte Visualizar eventos com o histórico de eventos do CloudTrail.
Para obter um registro de eventos em andamento na Conta da AWS, incluindo eventos de operações do Gerenciamento de Contas, crie uma trilha. Uma trilha permite que o CloudTrail entregue arquivos de log a um bucket do Amazon S3. Por padrão, quando você cria uma trilha no Console de gerenciamento da AWS, ela se aplica a todas as Regiões da AWS. A trilha registra logs de eventos de todas as Regiões na AWS divisória e entrega os arquivos do log para o bucket Amazon S3 especificado. É possível configurar outros serviços da AWS para analisar e atuar mais profundamente sobre os dados de eventos coletados nos logs do CloudTrail. Para obter mais informações, consulte:
O AWS CloudTrail registra todas as operações da API do Gerenciamento de Contas encontradas na seção Referência da API deste guia. Por exemplo, as chamadas para as operações CreateAccount, DeleteAlternateContact e PutAlternateContact geram entradas nos arquivos de log do CloudTrail.
Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar o seguinte:
-
Se a solicitação foi feita com credenciais de usuário raiz ou de usuário do AWS Identity and Access Management(IAM).
-
Se a solicitação tiver sido feita com credenciais de segurança temporárias de uma função do IAM ou de um usuário federado
-
Se a solicitação foi feita por outro serviço da AWS
Para obter mais informações, consulte Elemento userIdentity do CloudTrail.
Noções básicas das entradas de log do Gerenciamento de Contas
Uma trilha é uma configuração que permite a entrega de eventos como arquivos de log a um bucket Amazon S3 especificado. Os arquivos de log CloudTrail contêm uma ou mais entradas de log. Um evento representa uma única solicitação de qualquer origem e inclui informações sobre a operação solicitada, a data e a hora da operação, os parâmetros de solicitação etc. Os arquivos de log do CloudTrail não são um rastreamento de pilha ordenada de chamadas de API pública, portanto, não são exibidos em uma ordem específica.
Exemplo 1: o exemplo a seguir mostra uma entrada de log do CloudTrail para uma chamada para a operação GetAlternateContact para recuperar o contato alternativo OPERATIONS atual de uma conta. Os valores retornados pela operação não estão incluídos nas informações registradas.
exemplo Exemplo 1
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AROA1234567890EXAMPLE:AccountAPITests", "arn":"arn:aws:sts::123456789012:assumed-role/ServiceTestRole/AccountAPITests", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROA1234567890EXAMPLE", "arn": "arn:aws:iam::123456789012:role/ServiceTestRole", "accountId": "123456789012", "userName": "ServiceTestRole" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2021-04-30T19:25:53Z" } } }, "eventTime": "2021-04-30T19:26:15Z", "eventSource": "account.amazonaws.com", "eventName": "GetAlternateContact", "awsRegion": "us-east-1", "sourceIPAddress": "10.24.34.250", "userAgent": "Mozilla/5.0", "requestParameters": { "alternateContactType": "SECURITY" }, "responseElements": null, "requestID": "1a2b3c4d-5e6f-1234-abcd-111111111111", "eventID": "1a2b3c4d-5e6f-1234-abcd-222222222222", "readOnly": true, "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "123456789012" }
Exemplo 2: o exemplo a seguir mostra uma entrada de log do CloudTrail para uma chamada para a operação PutAlternateContact para adicionar um novo contato alternativo BILLING atual a uma conta.
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AROA1234567890EXAMPLE:AccountAPITests", "arn": "arn:aws:sts::123456789012:assumed-role/ServiceTestRole/AccountAPITests", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROA1234567890EXAMPLE", "arn": "arn:aws:iam::123456789012:role/ServiceTestRole", "accountId": "123456789012", "userName": "ServiceTestRole" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2021-04-30T18:33:00Z" } } }, "eventTime": "2021-04-30T18:33:08Z", "eventSource": "account.amazonaws.com", "eventName": "PutAlternateContact", "awsRegion": "us-east-1", "sourceIPAddress": "10.24.34.250", "userAgent": "Mozilla/5.0", "requestParameters": { "name": "*Alejandro Rosalez*", "emailAddress": "alrosalez@example.com", "title": "CFO", "alternateContactType": "BILLING" }, "responseElements": null, "requestID": "1a2b3c4d-5e6f-1234-abcd-333333333333", "eventID": "1a2b3c4d-5e6f-1234-abcd-444444444444", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "123456789012" }
Exemplo 3: o exemplo a seguir mostra uma entrada de log do CloudTrail para uma chamada para a operação DeleteAlternateContact para excluir o contato alternativo OPERATIONS atual.
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AROA1234567890EXAMPLE:AccountAPITests", "arn":"arn:aws:sts::123456789012:assumed-role/ServiceTestRole/AccountAPITests", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROA1234567890EXAMPLE", "arn": "arn:aws:iam::123456789012:role/ServiceTestRole", "accountId": "123456789012", "userName": "ServiceTestRole" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2021-04-30T18:33:00Z" } } }, "eventTime": "2021-04-30T18:33:16Z", "eventSource": "account.amazonaws.com", "eventName": "DeleteAlternateContact", "awsRegion": "us-east-1", "sourceIPAddress": "10.24.34.250", "userAgent": "Mozilla/5.0", "requestParameters": { "alternateContactType": "OPERATIONS" }, "responseElements": null, "requestID": "1a2b3c4d-5e6f-1234-abcd-555555555555", "eventID": "1a2b3c4d-5e6f-1234-abcd-666666666666", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "123456789012" }
