Criando uma trilha em CloudTrail Acessando eventos com o histórico de CloudTrail eventos Exemplo de trilha para CreateEnvironment Próximas etapas

Acessando registros de auditoria em AWS CloudTrail

AWS CloudTrail é ativado no seu Conta da AWS quando você o cria. CloudTrail registra a atividade realizada por uma entidade ou AWS serviço do IAM, como Amazon Managed Workflows for Apache Airflow, que é registrada como um evento. CloudTrail Você pode visualizar, pesquisar e baixar os últimos 90 dias do histórico de eventos no CloudTrail console. CloudTrail captura todos os eventos no console do Amazon MWAA e todas as chamadas para o Amazon MWAA. APIs Ele não captura ações somente para leitura, como GetEnvironment, ou ação PublishMetrics. Esta página descreve como usar para monitorar eventos CloudTrail para o Amazon MWAA.

Sumário

Criando uma trilha em CloudTrail

Você precisa criar uma trilha para acessar um registro contínuo de eventos em sua empresa Conta da AWS, incluindo eventos para o Amazon MWAA. Uma trilha permite CloudTrail entregar arquivos de log para um bucket do Amazon S3. Se você não criar uma trilha, ainda poderá acessar o histórico de eventos disponível no CloudTrail console. Por exemplo, usando as informações coletadas por CloudTrail, você pode determinar a solicitação que foi feita à Amazon MWAA, o endereço IP a partir do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e detalhes adicionais. Para saber mais, consulte Criação de uma trilha para a Conta da AWS.

Acessando eventos com o histórico de CloudTrail eventos

Você pode solucionar incidentes operacionais e de segurança nos últimos 90 dias no CloudTrail console visualizando o histórico de eventos. Por exemplo, você pode acessar eventos relacionados à criação, modificação ou exclusão de recursos (como usuários do IAM ou outros AWS recursos) por região. Conta da AWS Para saber mais, consulte Acessando eventos com histórico de CloudTrail eventos.

Abra o console do CloudTrail.
Escolha Histórico de eventos.
Selecione os eventos que quer visualizar e, em seguida, escolha Comparar detalhes do evento.

Exemplo de trilha para `CreateEnvironment`

Uma trilha é uma configuração que permite a entrega de eventos como arquivos de log a um bucket do Amazon S3 especificado.

CloudTrail os arquivos de log contêm uma ou mais entradas de log. Um evento representa uma única solicitação de qualquer fonte e inclui informações sobre a ação solicitada, como data e hora da ação ou parâmetros da solicitação. CloudTrail os arquivos de log não são um rastreamento de pilha ordenado das chamadas públicas de API e não estão listados em nenhuma ordem específica. O exemplo a seguir é uma entrada de log para a ação CreateEnvironment, que foi negada devido à falta de permissões. Os valores em AirflowConfigurationOptions foram alterados para fins de privacidade.


{
  "eventVersion": "1.05",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "00123456ABC7DEF8HIJK",
    "arn": "arn:aws:sts::012345678901:assumed-role/root/myuser",
    "accountId": "012345678901",
    "accessKeyId": "",
    "sessionContext": {
      "sessionIssuer": {
        "type": "Role",
        "principalId": "00123456ABC7DEF8HIJK",
        "arn": "arn:aws:iam::012345678901:role/user",
        "accountId": "012345678901",
        "userName": "user"
      },
      "webIdFederationData": {},
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2020-10-07T15:51:52Z"
      }
    }
  },
  "eventTime": "2020-10-07T15:52:58Z",
  "eventSource": "airflow.amazonaws.com",
  "eventName": "CreateEnvironment",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "205.251.233.178",
  "userAgent": "PostmanRuntime/7.26.5",
  "errorCode": "AccessDenied",
  "requestParameters": {
    "SourceBucketArn": "arn:aws:s3:::my-bucket",
    "ExecutionRoleArn": "arn:aws:iam::012345678901:role/AirflowTaskRole",
    "AirflowConfigurationOptions": "***",
    "DagS3Path": "sample_dag.py",
    "NetworkConfiguration": {
      "SecurityGroupIds": [
      "sg-01234567890123456"
      ],
      "SubnetIds": [
        "subnet-01234567890123456",
        "subnet-65432112345665431"
      ]
    },
    "Name": "test-cloudtrail"
  },
  "responseElements": {
    "message": "Access denied."
  },
  "requestID": "RequestID",
  "eventID": "EventID",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "recipientAccountId": "012345678901"
}

Próximas etapas

Saiba como configurar outros AWS serviços para os dados de eventos coletados em CloudTrail registros em Serviços e integrações CloudTrail compatíveis.
Saiba como ser notificado ao CloudTrail publicar novos arquivos de log em um bucket do Amazon S3 em Configurar notificações do Amazon SNS para. CloudTrail

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Visão geral do

Como acessar logs do Airflow