# 使用 AWS CloudTrail 记录 IAM Access Analyzer API 调用
IAM Access Analyzer 已与 AWS CloudTrail 集成,该服务提供 IAM Access Analyzer 中的用户、角色或 AWS 服务采取的操作记录。CloudTrail 将 IAM Access Analyzer 的所有 API 调用作为事件捕获。捕获的调用包含来自 IAM Access Analyzer 控制台的调用和对 IAM Access Analyzer API 操作的代码调用。
如果您创建跟踪,则可以使 CloudTrail 事件持续传送到 Amazon S3 存储桶(包括 IAM Access Analyzer 的事件)。如果您不配置跟踪,则仍可在 CloudTrail 控制台中的**事件历史记录**中查看最新事件。
使用 CloudTrail 收集的信息,您可以确定向 IAM Access Analyzer 发出了什么请求、发出请求的 IP 地址、何人发出的请求、请求的发出时间以及其他详细信息。
要了解有关 CloudTrail 的更多信息,请参阅[《AWS CloudTrail 用户指南》](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)。
## CloudTrail 中的 IAM Access Analyzer 信息
在您创建 AWS 账户时,将在该账户上启用 CloudTrail。当 IAM Access Analyzer 中发生活动时,该活动将记录在 CloudTrail 事件中,并与其他 AWS 服务事件一同保存在 **Event history**(事件历史记录)中。您可以在 AWS 账户中查看、搜索和下载最新事件。有关更多信息,请参阅[使用 CloudTrail 事件历史记录查看事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。
要持续记录 AWS 账户中的事件(包括 IAM Access Analyzer 的事件),请创建跟踪。通过*跟踪记录*,CloudTrail 可将日志文件传送至 Amazon S3 存储桶。预设情况下,在控制台中创建跟踪时,此跟踪应用于所有 AWS 区域。此跟踪记录在 AWS 分区中记录所有区域中的事件,并将日志文件传送至您指定的 Amazon S3 存储桶。此外,您可以配置其他 AWS 服务,进一步分析在 CloudTrail 日志中收集的事件数据并采取行动。有关更多信息,请参阅下列内容:
+ [创建跟踪概述](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail 支持的服务和集成](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [为 CloudTrail 配置 Amazon SNS 通知](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [从多个区域接收 CloudTrail 日志文件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)和[从多个账户接收 CloudTrail 日志文件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
CloudTrail 录入了所有 IAM Access Analyzer 操作,[IAM Access Analyzer API 引用](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/)中记录了这些操作。例如,对 `CreateAnalyzer`、`CreateArchiveRule` 和 `ListFindings` 操作的调用会在 CloudTrail 日志文件中生成条目。
每个事件或日志条目都包含有关生成请求的人员信息。身份信息可帮助您确定以下内容:
+ 请求是使用根用户凭证还是 AWS Identity and Access Management(IAM)用户凭证发出的。
+ 请求是使用角色还是联合用户的临时安全凭证发出的。
+ 请求是否由其他 AWS 服务发出。
有关更多信息,请参阅 [CloudTrail userIdentity 元素](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)。
## 了解 IAM Access Analyzer 日志文件条目
跟踪记录是一种配置,可用于将事件作为日志文件传送到您指定的 Simple Storage Service(Amazon S3)存储桶。CloudTrail 日志文件包含一个或多个记录条目。一个事件表示来自任何源的一个请求,包括有关所请求的操作、操作的日期和时间、请求参数等方面的信息。CloudTrail 日志文件不是公有 API 调用的有序堆栈跟踪,因此它们不会按任何特定顺序显示。
下面的示例显示了一个 CloudTrail 日志条目,该条目说明了名为 `Alice-tempcreds` 的假定角色会话在“2021 年 6 月 14 日”执行的 `CreateAnalyzer` 操作。角色会话由名为 `admin-tempcreds` 的角色发出。
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAIBKEVSQ6C2EXAMPLE:Alice-tempcreds",
"arn": "arn:aws:sts::111122223333:assumed-role/admin-tempcreds/Alice-tempcreds",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "true",
"creationDate": "2021-06-14T22:54:20Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AKIAI44QH8DHBEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/admin-tempcreds",
"accountId": "111122223333",
"userName": "admin-tempcreds"
},
"webIdFederationData": {},
}
},
"eventTime": "2021-06-14T22:57:36Z",
"eventSource": "access-analyzer.amazonaws.com",
"eventName": "CreateAnalyzer",
"awsRegion": "us-west-2",
"sourceIPAddress": "198.51.100.179",
"userAgent": "aws-sdk-java/1.12.79 Linux/5.4.141-78.230 OpenJDK_64-Bit_Server_VM/25.302-b08 java/1.8.0_302 vendor/Oracle_Corporation cfg/retry-mode/standard",
"requestParameters": {
"analyzerName": "test",
"type": "ACCOUNT",
"clientToken": "11111111-abcd-2222-abcd-222222222222",
"tags": {
"tagkey1": "tagvalue1"
}
},
"responseElements": {
"arn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/test"
},
"requestID": "22222222-dcba-4444-dcba-333333333333",
"eventID": "33333333-bcde-5555-bcde-444444444444",
"readOnly": false,
"eventType": "AwsApiCall",,
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```