Criando uma trilha em CloudTrail Acessando eventos com o histórico de CloudTrail eventos Exemplo de trilha para CreateEnvironment Próximas etapas

Acessando registros de auditoria em AWS CloudTrail

AWS CloudTrail é ativado no seu Conta da AWS quando você o cria. CloudTrail registra a atividade realizada por uma entidade ou AWS serviço do IAM, como Amazon Managed Workflows for Apache Airflow, que é registrada como um evento. CloudTrail Você pode visualizar, pesquisar e baixar os últimos 90 dias do histórico de eventos no CloudTrail console. CloudTrail captura todos os eventos no console do Amazon MWAA e todas as chamadas para o Amazon MWAA. APIs Ele não captura ações somente para leitura, como GetEnvironment, ou ação PublishMetrics. Esta página descreve como usar para monitorar eventos CloudTrail para o Amazon MWAA.

Sumário

Criando uma trilha em CloudTrail

Você precisa criar uma trilha para acessar um registro contínuo de eventos em sua empresa Conta da AWS, incluindo eventos para o Amazon MWAA. Uma trilha permite CloudTrail entregar arquivos de log para um bucket do Amazon S3. Se você não criar uma trilha, ainda poderá acessar o histórico de eventos disponível no CloudTrail console. Por exemplo, usando as informações coletadas por CloudTrail, você pode determinar a solicitação que foi feita à Amazon MWAA, o endereço IP a partir do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e detalhes adicionais. Para saber mais, consulte Criar uma trilha para você Conta da AWS.

Acessando eventos com o histórico de CloudTrail eventos

Você pode solucionar incidentes operacionais e de segurança nos últimos 90 dias no CloudTrail console visualizando o histórico de eventos. Por exemplo, você pode acessar eventos relacionados à criação, modificação ou exclusão de recursos (como usuários do IAM ou outros AWS recursos) Conta da AWS em sua conta por região. Para saber mais, consulte Acessando eventos com histórico de CloudTrail eventos.

Abra o console do CloudTrail.
Escolha Histórico de eventos.
Selecione os eventos que quer visualizar e, em seguida, escolha Comparar detalhes do evento.

Exemplo de trilha para `CreateEnvironment`

Uma trilha é uma configuração que permite a entrega de eventos como arquivos de log a um bucket do Amazon S3 especificado.

CloudTrail os arquivos de log contêm uma ou mais entradas de log. Um evento representa uma única solicitação de qualquer fonte e inclui informações sobre a ação solicitada, como a data e a hora da ação ou os parâmetros da solicitação. CloudTrail os arquivos de log não são um rastreamento de pilha ordenado das chamadas públicas de API e não estão listados em nenhuma ordem específica. O exemplo a seguir é uma entrada de log para a ação CreateEnvironment, que foi negada devido à falta de permissões. Os valores em AirflowConfigurationOptions foram alterados para fins de privacidade.


{
  "eventVersion": "1.05",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "00123456ABC7DEF8HIJK",
    "arn": "arn:aws:sts::012345678901:assumed-role/root/myuser",
    "accountId": "012345678901",
    "accessKeyId": "",
    "sessionContext": {
      "sessionIssuer": {
        "type": "Role",
        "principalId": "00123456ABC7DEF8HIJK",
        "arn": "arn:aws:iam::012345678901:role/user",
        "accountId": "012345678901",
        "userName": "user"
      },
      "webIdFederationData": {},
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2020-10-07T15:51:52Z"
      }
    }
  },
  "eventTime": "2020-10-07T15:52:58Z",
  "eventSource": "airflow.amazonaws.com",
  "eventName": "CreateEnvironment",
  "awsRegion": "us-west-2",
  "sourceIPAddress": "205.251.233.178",
  "userAgent": "PostmanRuntime/7.26.5",
  "errorCode": "AccessDenied",
  "requestParameters": {
    "SourceBucketArn": "arn:aws:s3:::my-bucket",
    "ExecutionRoleArn": "arn:aws:iam::012345678901:role/AirflowTaskRole",
    "AirflowConfigurationOptions": "***",
    "DagS3Path": "sample_dag.py",
    "NetworkConfiguration": {
      "SecurityGroupIds": [
      "sg-01234567890123456"
      ],
      "SubnetIds": [
        "subnet-01234567890123456",
        "subnet-65432112345665431"
      ]
    },
    "Name": "test-cloudtrail"
  },
  "responseElements": {
    "message": "Access denied."
  },
  "requestID": "RequestID",
  "eventID": "EventID",
  "readOnly": false,
  "eventType": "AwsApiCall",
  "recipientAccountId": "012345678901"
}

Próximas etapas

Saiba como configurar outros AWS serviços para os dados de eventos coletados em CloudTrail registros em Serviços e integrações CloudTrail compatíveis.
Saiba como ser notificado ao CloudTrail publicar novos arquivos de log em um bucket do Amazon S3 em Configurar notificações do Amazon SNS para. CloudTrail

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Visão geral

Acessando os registros do Airflow