AWS CloudTrail registrando para AWS Transfer Family - AWS Transfer Family
Ativando CloudTrail o registroExemplo de entrada de registro para criar um servidorRegistros de acesso a dados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS CloudTrail registrando para AWS Transfer Family

AWS Transfer Family integra-se com ambos AWS CloudTrail e com a Amazon CloudWatch. CloudTrail e CloudWatch servem propósitos diferentes, mas complementares.

  • Este tópico aborda a integração com CloudTrail , um AWS serviço que cria um registro das ações realizadas em seu Conta da AWS. Ele monitora e registra continuamente as operações da API para atividades como logins, AWS Command Line Interface comandos e SDK/API operações do console. Isso permite que você mantenha um registro de quem realizou qual ação, quando e de onde. CloudTrail ajuda na auditoria, no gerenciamento de acesso e na conformidade regulatória, fornecendo um histórico de todas as atividades em seu AWS ambiente. Para obter detalhes, consulte o Guia AWS CloudTrail do usuário.

  • CloudWatch Registro na Amazon para AWS Transfer Family servidoresabrange a integração com CloudWatch, um serviço de monitoramento de AWS recursos e aplicativos. Ele coleta métricas e registros para fornecer visibilidade sobre a utilização de recursos, o desempenho do aplicativo e a integridade geral do sistema. CloudWatch ajuda nas tarefas operacionais, como solução de problemas, configuração de alarmes e escalonamento automático. Para obter detalhes, consulte o Guia CloudWatch do usuário da Amazon.

Uma trilha é uma configuração que permite a entrega de eventos como arquivos de log para um bucket do Amazon S3 que você especificar. CloudTrail os arquivos de log contêm uma ou mais entradas de log. Um evento representa uma única solicitação de qualquer fonte e inclui informações sobre a ação solicitada, a data e a hora da ação, os parâmetros da solicitação e assim por diante. CloudTrail os arquivos de log não são um rastreamento de pilha ordenado das operações públicas da API, portanto, eles não aparecem em nenhuma ordem específica.

Para um registro contínuo dos eventos em sua AWS conta, incluindo eventos para AWS Transfer Family, crie uma trilha. Uma trilha permite CloudTrail entregar arquivos de log para um bucket do Amazon S3. Por padrão, quando uma trilha é criada no console, a mesma é aplicada a todas as regiões da AWS . A trilha registra eventos de todas as regiões na AWS partição e entrega os arquivos de log ao bucket do Amazon S3 que você especificar. Além disso, você pode configurar outros AWS serviços para analisar e agir com base nos dados de eventos coletados nos CloudTrail registros. Para obter mais informações, consulte:

Todas AWS Transfer Family as ações são registradas CloudTrail e documentadas no ActionsAPI reference. Por exemplo, chamadas para o CreateServer ListUsers e StopServer as ações geram entradas nos arquivos de CloudTrail log.

Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar o seguinte:

  • Se a solicitação foi feita com credenciais raiz ou de AWS Identity and Access Management usuário.

  • Se a solicitação foi feita com credenciais de segurança temporárias de uma função ou de um usuário federado.

  • Se a solicitação foi feita por outro AWS serviço.

Para obter mais informações, consulte Elemento userIdentity do CloudTrail .

Se você criar uma trilha, poderá habilitar a entrega contínua de CloudTrail eventos para um bucket do Amazon S3, incluindo eventos para. AWS Transfer Family Se você não configurar uma trilha, ainda poderá ver os eventos mais recentes no CloudTrail console no Histórico de eventos.

Usando as informações coletadas por CloudTrail, você pode determinar a solicitação que foi feita AWS Transfer Family, o endereço IP do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e detalhes adicionais.

Para saber mais sobre isso CloudTrail, consulte o Guia AWS CloudTrail do usuário.

Ativar AWS CloudTrail registro

Você pode monitorar as operações AWS Transfer Family da API usando AWS CloudTrail o. Ao monitorar as operações da API, você pode obter informações operacionais e de segurança úteis. Se você tiver o registro em log no nível de objeto do Amazon S3 ativado, RoleSessionName está contido no campo Solicitante como [AWS:Role Unique Identifier]/username.sessionid@server-id. Para obter mais informações sobre identificadores exclusivos de funções AWS Identity and Access Management (IAM), consulte Identificadores exclusivos no Guia do AWS Identity and Access Management usuário.

Importante

O tamanho máximo do RoleSessionName é 64 caracteres. Se o RoleSessionName for mais longo, server-id ficará truncado.

Habilitando eventos de dados do Amazon S3

Para rastrear operações de arquivos realizadas AWS Transfer Family em seus buckets do Amazon S3, você precisa habilitar eventos de dados para esses buckets. Os eventos de dados fornecem atividade de API em nível de objeto e são particularmente úteis para rastrear uploads, downloads e outras operações realizadas pelos usuários. AWS Transfer Family

Para habilitar eventos de dados do Amazon S3 para seu AWS Transfer Family servidor:

  1. Abra o CloudTrail console em https://console.aws.amazon.com/cloudtrail/.

  2. No painel de navegação, escolha Trilhas e, em seguida, selecione uma trilha existente ou crie uma nova.

  3. Em Eventos de dados, escolha Editar.

  4. Em Tipo de evento de dados, selecione S3.

  5. Escolha os buckets do Amazon S3 para registrar eventos de dados. Você pode registrar eventos de dados para todos os buckets ou especificar buckets individuais.

  6. Escolha se deseja registrar eventos de leitura, eventos de gravação ou ambos.

  7. Escolha Salvar alterações.

Depois de habilitar os eventos de dados, você pode acessar esses logs no bucket do Amazon S3 configurado para sua CloudTrail trilha. Os registros incluem detalhes como o usuário que realizou a ação, o registro de data e hora da ação, o objeto específico afetado e o onBehalfOf campo que ajuda a rastrear userId as ações realizadas. AWS Transfer Family

Exemplo de entrada de registro para criar um servidor

O exemplo a seguir mostra uma entrada de CloudTrail registro (no formato JSON) que demonstra a CreateServer ação.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AAAA4FFF5HHHHH6NNWWWW:user1",
        "arn": "arn:aws:sts::123456789102:assumed-role/Admin/user1",
        "accountId": "123456789102",
        "accessKeyId": "AAAA52C2WWWWWW3BB4Z",
        "sessionContext": {
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2018-12-18T20:03:57Z"
            },
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AAAA4FFF5HHHHH6NNWWWW",
                "arn": "arn:aws:iam::123456789102:role/Admin",
                "accountId": "123456789102",
                "userName": "Admin"
            }
        }
    },
    "eventTime": "2024-02-05T19:18:53Z",
    "eventSource": "transfer.amazonaws.com",
    "eventName": "CreateServer",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "11.22.1.2",
    "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36",
    "requestParameters": {
        "domain": "S3",
        "hostKey": "HIDDEN_DUE_TO_SECURITY_REASONS",
        "protocols": [
            "SFTP"
        ],
        "protocolDetails": {
            "passiveIp": "AUTO",
            "tlsSessionResumptionMode": "ENFORCED",
            "setStatOption": "DEFAULT"
        },
        "securityPolicyName": "TransferSecurityPolicy-2020-06",
        "s3StorageOptions": {
            "directoryListingOptimization": "ENABLED"
        }
    },
    "responseElements": {
        "serverId": "s-1234abcd5678efghi"
    },
    "requestID": "6fe7e9b1-72fc-45b0-a7f9-5840268aeadf",
    "eventID": "4781364f-7c1e-464e-9598-52d06aa9e63a",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789102",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.3",
        "cipherSuite": "TLS_AES_128_GCM_SHA256",
        "clientProvidedHostHeader": "transfer.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true"
}

Exemplos de registros de acesso a dados

Ao habilitar eventos de dados do Amazon S3 para sua CloudTrail trilha, você pode rastrear as operações de arquivos realizadas por meio de. AWS Transfer Family Esses registros ajudam você a monitorar quem acessou quais dados, quando e como.

Exemplo de entrada de registro para acesso bem-sucedido aos dados

O exemplo a seguir mostra uma entrada de CloudTrail registro de uma operação bem-sucedida de download de arquivos por meio de AWS Transfer Family.

{
    "eventVersion": "1.09",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAEXAMPLEID:TransferSessionUser",
        "arn": "arn:aws:sts::123456789012:assumed-role/TransferS3AccessRole/TransferSessionUser",
        "accountId": "123456789012",
        "accessKeyId": "ASIAEXAMPLEKEY",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAEXAMPLEID",
                "arn": "arn:aws:iam::123456789012:role/TransferS3AccessRole",
                "accountId": "123456789012",
                "userName": "TransferS3AccessRole"
            },
            "attributes": {
                "creationDate": "2025-07-15T16:12:05Z",
                "mfaAuthenticated": "true"
            }
        },
        "invokedBy": "transfer.amazonaws.com"
    },
    "eventTime": "2025-07-15T16:15:22Z",
    "eventSource": "s3.amazonaws.com",
    "eventName": "GetObject",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "transfer.amazonaws.com",
    "userAgent": "transfer.amazonaws.com",
    "requestParameters": {
        "bucketName": "my-transfer-bucket",
        "key": "users/john.doe/reports/quarterly-report-2025-Q2.pdf",
        "Host": "my-transfer-bucket.s3.amazonaws.com",
        "x-amz-request-payer": "requester"
    },
    "responseElements": null,
    "additionalEventData": {
        "SignatureVersion": "SigV4",
        "CipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
        "bytesTransferredIn": 0,
        "bytesTransferredOut": 2458732,
        "x-amz-id-2": "EXAMPLE123456789+abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ="
    },
    "requestID": "EXAMPLE123456789",
    "eventID": "example12-3456-7890-abcd-ef1234567890",
    "readOnly": true,
    "resources": [
        {
            "type": "AWS::S3::Object",
            "ARN": "arn:aws:s3:::my-transfer-bucket/users/john.doe/reports/quarterly-report-2025-Q2.pdf"
        },
        {
            "accountId": "123456789012",
            "type": "AWS::S3::Bucket",
            "ARN": "arn:aws:s3:::my-transfer-bucket"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": false,
    "recipientAccountId": "123456789012",
    "eventCategory": "Data",
    "requestParameters": {
        "x-amz-onBehalfOf": "john.doe.sessionid@s-abcd1234efgh5678"
    }
}

Neste exemplo, observe os seguintes campos importantes:

  • eventName: indica a operação da API S3 que foi executada (GetObject para o download de um arquivo).

  • requestParameters.bucketNameerequestParameters.key: Mostre qual objeto do S3 foi acessado.

  • additionalEventData.bytesTransferredOut: mostra o tamanho do arquivo baixado em bytes.

  • requestParameters.x-amz-onBehalfOf: contém o AWS Transfer Family nome de usuário e o ID da sessão, permitindo rastrear qual AWS Transfer Family usuário executou a ação.

O x-amz-onBehalfOf campo é particularmente importante, pois vincula a chamada da API S3 ao AWS Transfer Family usuário específico que iniciou a ação. Esse campo segue o formatousername.sessionid@server-id, em que:

  • usernameé o AWS Transfer Family nome de usuário.

  • sessionidé um identificador exclusivo para a sessão do usuário.

  • server-idé o ID do AWS Transfer Family servidor.

Operações comuns de acesso a dados

Ao monitorar o acesso aos dados AWS Transfer Family, você normalmente verá as seguintes operações da API S3 em seus CloudTrail registros:

Operações comuns do S3 em registros AWS Transfer Family
Operação da API S3 AWS Transfer Family Ação Descrição
GetObject Download do arquivo O usuário baixou um arquivo do servidor
PutObject Upload de arquivo O usuário enviou um arquivo para o servidor
DeleteObject Exclusão de arquivo O usuário excluiu um arquivo do servidor
ListObjects ou ListObjects V2 Listagem de diretórios Arquivos listados pelo usuário em um diretório
CopyObject Cópia do arquivo O usuário copiou um arquivo dentro do servidor

Ao monitorar essas operações em seus CloudTrail registros, você pode rastrear todas as atividades de arquivos realizadas por meio de seu AWS Transfer Family servidor, ajudando você a atender aos requisitos de conformidade e detectar acesso não autorizado.