Protokollieren von AWS Control Tower-Aktionen mit AWS CloudTrail - AWS Control Tower
AWS Control Tower-Informationen in CloudTrailBeispiel: AWS Control Tower-Protokolldateieinträge

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Protokollieren von AWS Control Tower-Aktionen mit AWS CloudTrail

AWS Control Tower ist in integriert, einem Service AWS CloudTrail, der die Aktionen eines Benutzers, einer Rolle oder eines - AWS Services in AWS Control Tower aufzeichnet. CloudTrail erfasst Aktionen für AWS Control Tower als Ereignisse. Wenn Sie einen Trail erstellen, können Sie die kontinuierliche Bereitstellung von CloudTrail Ereignissen an einen Amazon S3-Bucket aktivieren, einschließlich Ereignissen für AWS Control Tower.

Wenn Sie keinen Trail konfigurieren, können Sie trotzdem die neuesten Ereignisse in der CloudTrail Konsole unter Ereignisverlauf anzeigen. Anhand der von CloudTrailgesammelten Informationen können Sie die an AWS Control Tower gestellte Anfrage, die IP-Adresse, von der die Anfrage gestellt wurde, den Initiator der Anfrage, den Zeitpunkt der Anfrage und zusätzliche Details bestimmen.

Weitere Informationen zu CloudTrail, einschließlich Konfiguration und Aktivierung, finden Sie im AWS CloudTrail -Benutzerhandbuch.

AWS Control Tower-Informationen in CloudTrail

CloudTrail wird beim Erstellen des AWS Kontos in Ihrem Konto aktiviert. Wenn die unterstützte Ereignisaktivität in AWS Control Tower auftritt, wird diese Aktivität in einem - CloudTrail Ereignis zusammen mit anderen AWS -Serviceereignissen im Ereignisverlauf aufgezeichnet. Sie können aktuelle Ereignisse in Ihrem AWS Konto anzeigen, suchen und herunterladen. Weitere Informationen finden Sie unter Anzeigen von Ereignissen mit dem CloudTrail Ereignisverlauf.

Anmerkung

In AWS Control Tower-Versionen vor der Landing Zone Version 3.0 hat AWS Control Tower einen Mitgliedskonto-Trail erstellt. Wenn Sie auf Version 3.0 aktualisieren, wird Ihr CloudTrail Trail aktualisiert, um ein Organisations-Trail zu werden. Bewährte Methoden beim Wechseln zwischen Trails finden Sie unter Erstellen eines organisatorischen Trails im CloudTrail -Benutzerhandbuch.

Empfohlen: Erstellen eines Trails

Erstellen Sie für eine fortlaufende Aufzeichnung der Ereignisse in Ihrem AWS Konto, einschließlich Ereignissen für AWS Control Tower, einen Trail. Ein Trail ermöglicht CloudTrail die Bereitstellung von Protokolldateien an einen Amazon S3-Bucket. Wenn Sie einen Trail in der Konsole anlegen, gilt dieser für alle AWS -Regionen. Der Trail protokolliert Ereignisse aus allen Regionen in der - AWS Partition und stellt die Protokolldateien in dem von Ihnen angegebenen Amazon S3-Bucket bereit. Darüber hinaus können Sie andere AWS -Services konfigurieren, um die in den CloudTrail Protokollen erfassten Ereignisdaten weiter zu analysieren und entsprechend zu agieren. Weitere Informationen finden Sie hier:

AWS Control Tower protokolliert die folgenden Aktionen als Ereignisse in CloudTrail Protokolldateien:

Öffentliche APIs
Andere APIs

  • SetupLandingZone

  • UpdateAccountFactoryConfig

  • ManageOrganizationalUnit

  • CreateManagedAccount

  • EnableGuardrail

  • GetLandingZoneStatus

  • GetHomeRegion

  • ListManagedAccounts

  • DescribeManagedAccount

  • DescribeAccountFactoryConfig

  • DescribeGuardrailForTarget

  • DescribeManagedOrganizationalUnit

  • ListEnabledGuardrails

  • ListGuardrailViolations

  • ListGuardrails

  • ListGuardrailsForTarget

  • ListManagedAccountsForGuardrail

  • ListManagedAccountsForParent

  • ListManagedOrganizationalUnits

  • ListManagedOrganizationalUnitsForGuardrail

  • GetGuardrailComplianceStatus

  • DescribeGuardrail

  • ListDirectoryGroups

  • DescribeSingleSignOn

  • DescribeCoreService

  • GetAvailableUpdates

Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:

  • Ob die Anforderung mit Root- oder AWS Identity and Access Management (IAM)-Benutzeranmeldeinformationen ausgeführt wurde.

  • Gibt an, ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen Verbundbenutzer gesendet wurde.

  • Ob die Anforderung von einem anderen AWS Service gestellt wurde.

  • Ob die Anforderung als Zugriffsverweigerung abgelehnt oder erfolgreich verarbeitet wurde.

Weitere Informationen finden Sie unter CloudTrail userIdentity-Element.

Beispiel: AWS Control Tower-Protokolldateieinträge

Ein Trail ist eine Konfiguration, die die Bereitstellung von Ereignissen als Protokolldateien an einen von Ihnen angegebenen Amazon S3-Bucket ermöglicht. CloudTrail Protokolldateien enthalten einen oder mehrere Protokolleinträge. Ein Ereignis stellt eine einzelne Anfrage aus einer beliebigen Quelle dar und enthält Informationen über die angeforderte Aktion, das Datum und die Uhrzeit der Aktion, die Anfrageparameter usw. . CloudTrail events werden in den Protokolldateien in keiner bestimmten Reihenfolge angezeigt.

Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der die Struktur eines typischen Protokolldateieintrags für ein SetupLandingZone AWS Control Tower-Ereignis zeigt, einschließlich einer Aufzeichnung der Identität des Benutzers, der die Aktion initiiert hat. 

{
  "eventVersion": "1.05",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AIDACKCEVSQ6C2EXAMPLE:backend-test-assume-role-session",
    "arn": "arn:aws:sts::76543EXAMPLE;:assumed-role/AWSControlTowerTestAdmin/backend-test-assume-role-session",
    "accountId": "76543EXAMPLE",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2018-11-20T19:36:11Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::AKIAIOSFODNN7EXAMPLE:role/AWSControlTowerTestAdmin",
        "accountId": "AIDACKCEVSQ6C2EXAMPLE",
        "userName": "AWSControlTowerTestAdmin"
      }
    }
  },
  "eventTime": "2018-11-20T19:36:15Z",
  "eventSource": "controltower.amazonaws.com",
  "eventName": "SetupLandingZone",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "AWS Internal",
  "userAgent": "Coral/Netty4",
  "errorCode": "InvalidParametersException",
  "errorMessage": "Home region EU_CENTRAL_1 is unsupported",
  "requestParameters": {
    "homeRegion": "EU_CENTRAL_1",
    "logAccountEmail": "HIDDEN_DUE_TO_SECURITY_REASONS",
    "sharedServiceAccountEmail": "HIDDEN_DUE_TO_SECURITY_REASONS",
    "securityAccountEmail": "HIDDEN_DUE_TO_SECURITY_REASONS",
    "securityNotificationEmail": "HIDDEN_DUE_TO_SECURITY_REASONS"
  },
  "responseElements": null,
  "requestID": "96f47b68-ed5f-4268-931c-807cd1f89a96",
  "eventID": "4ef5cf08-39e5-4fdf-9ea2-b07ced506851",
  "eventType": "AwsApiCall",
  "recipientAccountId": "76543EXAMPLE"
}