Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
APIMacie-Anrufe protokollieren mit AWS CloudTrail
Amazon Macie lässt sich integrieren mit AWS CloudTrail, bei dem es sich um einen Service handelt, der eine Aufzeichnung der Aktionen eines Benutzers, einer Rolle oder eines AWS-Service. CloudTrailerfasst alle API Anrufe für Macie als Managementereignisse. Zu den erfassten Anrufen gehören Anrufe von der Amazon Macie Macie-Konsole und programmatische Aufrufe an Amazon Macie API Macie-Operationen. Anhand der von gesammelten Informationen können Sie die Anfrage CloudTrail, die an Macie gestellt wurde, die IP-Adresse, von der aus die Anfrage gestellt wurde, den Zeitpunkt der Anfrage und weitere Details ermitteln.
Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:
-
Ob die Anfrage mit Anmeldeinformationen des Root-Benutzers oder des Benutzers gestellt wurde.
-
Ob die Anfrage im Namen eines gestellt wurde AWS IAM Identity Center Benutzer.
-
Gibt an, ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen Verbundbenutzer gesendet wurde.
-
Ob die Anfrage von einem anderen gestellt wurde AWS-Service.
CloudTrail ist aktiv in deinem AWS-Konto wenn Sie das Konto erstellen und Sie automatisch Zugriff auf den CloudTrail Event-Verlauf haben. Der CloudTrail Ereignisverlauf bietet eine einsehbare, durchsuchbare, herunterladbare und unveränderliche Aufzeichnung der aufgezeichneten Verwaltungsereignisse der letzten 90 Tage in einem AWS-Region. Weitere Informationen finden Sie unter Arbeiten mit dem CloudTrail Ereignisverlauf in der AWS CloudTrail Benutzerleitfaden. Für die Anzeige des Eventverlaufs CloudTrail fallen keine Gebühren an.
Für eine fortlaufende Aufzeichnung der Ereignisse in Ihrem AWS-Konto Erstellen Sie einen Trail- oder CloudTrail Lake-Event-Datenspeicher der letzten 90 Tage.
- CloudTrail Pfade
-
Ein Trail ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Alle Trails wurden mit dem erstellt AWS Management Console sind regionsübergreifend. Sie können einen Pfad mit einer oder mehreren Regionen erstellen, indem Sie den AWS CLI. Es wird empfohlen, einen Wanderweg mit mehreren Regionen zu erstellen, da Sie alle Aktivitäten erfassen AWS-Regionen in deinem Konto. Wenn du einen Trail mit nur einer Region erstellst, kannst du dir nur die Ereignisse ansehen, die in den Trails protokolliert wurden AWS-Region. Weitere Informationen zu Pfaden findest du unter Einen Trail für dich erstellen AWS-Kontound Einen Trail für eine Organisation erstellen in der AWS CloudTrail Benutzerleitfaden.
Sie können eine Kopie Ihrer laufenden Verwaltungsereignisse kostenlos an Ihren Amazon S3 S3-Bucket senden, CloudTrail indem Sie einen Trail erstellen. Es fallen jedoch Amazon S3 S3-Speichergebühren an. Weitere Informationen zur CloudTrail Preisgestaltung finden Sie unter AWS CloudTrail Preisgestaltung
. Informationen zu Amazon-S3-Preisen finden Sie unter Amazon S3-Preise . - CloudTrail Datenspeicher für Ereignisse in Lake
-
CloudTrail Mit Lake können Sie SQL basierte Abfragen zu Ihren Ereignissen ausführen. CloudTrail Lake konvertiert bestehende Ereignisse im zeilenbasierten JSON Format in das ORCApache-Format
. ORCist ein spaltenförmiges Speicherformat, das für den schnellen Abruf von Daten optimiert ist. Die Ereignisse werden in Ereignisdatenspeichern zusammengefasst, bei denen es sich um unveränderliche Sammlungen von Ereignissen handelt, die auf Kriterien basieren, die Sie mit Hilfe von erweiterten Ereignisselektoren auswählen. Die Selektoren, die Sie auf einen Ereignisdatenspeicher anwenden, steuern, welche Ereignisse bestehen bleiben und für Sie zur Abfrage verfügbar sind. Weitere Informationen zu CloudTrail Lake finden Sie unter Arbeiten mit AWS CloudTrail See im AWS CloudTrail Benutzerleitfaden. CloudTrail Für Datenspeicher und Abfragen von Ereignissen in Lake fallen Kosten an. Beim Erstellen eines Ereignisdatenspeichers wählen Sie die Preisoption aus, die für den Ereignisdatenspeicher genutzt werden soll. Die Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauer für den Ereignisdatenspeicher. Weitere Informationen zur CloudTrail Preisgestaltung finden Sie unter AWS CloudTrail Preisgestaltung
.
Macie-Management-Veranstaltungen in AWS CloudTrail
Verwaltungsereignisse bieten Informationen zu Verwaltungsvorgängen, die an Ressourcen in Ihrem AWS-Konto. Diese Operationen werden auch als Operationen auf Steuerungsebene bezeichnet. CloudTrail Protokolliert standardmäßig Verwaltungsereignisse.
Amazon Macie protokolliert alle Operationen auf der Macie-Steuerebene als Verwaltungsereignisse. CloudTrail Beispielsweise generieren Aufrufe der CreateClassificationJob OperationenListFindings,DescribeBuckets, und Verwaltungsereignisse in. CloudTrail Jedes Ereignis umfasst ein eventSource Feld. Dieses Feld gibt an AWS-Service an die eine Anfrage gestellt wurde. Für Macie-Ereignisse ist der Wert für dieses Feld:macie2.amazonaws.com.
Eine Liste der Operationen auf der Kontrollebene, bei denen Macie sich anmeldet CloudTrail, finden Sie unter Operationen in der Amazon Macie Macie-Referenz API.
Beispiele für Macie-Ereignisse in AWS CloudTrail
Ein Ereignis stellt eine einzelne Anforderung aus einer beliebigen Quelle dar und enthält Informationen über den angeforderten API Vorgang, Datum und Uhrzeit des Vorgangs, Anforderungsparameter usw. CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API Aufrufe, sodass Ereignisse nicht in einer bestimmten Reihenfolge angezeigt werden.
Die folgenden Beispiele zeigen CloudTrail Ereignisse, die den Betrieb von Amazon Macie demonstrieren. Einzelheiten zu den Informationen, die ein Ereignis enthalten kann, finden Sie unter CloudTrailDatensatzinhalt im AWS CloudTrail Benutzerleitfaden.
Beispiel: Ergebnisse auflisten
Das folgende Beispiel zeigt ein CloudTrail Ereignis für den Amazon Macie ListFindingsMacie-Vorgang. In diesem Beispiel ist ein AWS Identity and Access Management (IAM) Der Benutzer (Mary_Major) hat die Amazon Macie Macie-Konsole verwendet, um eine Teilmenge von Informationen über aktuelle Richtlinienfeststellungen für sein Konto abzurufen.
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "123456789012",
"arn": "arn:aws:iam::123456789012:user/Mary_Major",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "Mary_Major",
"sessionContext":{
"attributes": {
"creationdate": "2023-11-14T15:49:57Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2023-11-14T16:09:56Z",
"eventSource": "macie2.amazonaws.com",
"eventName": "ListFindings",
"awsRegion": "us-east-1",
"sourceIPAddress": "198.51.100.1",
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36",
"requestParameters": {
"sortCriteria": {
"attributeName": "updatedAt",
"orderBy": "DESC"
},
"findingCriteria": {
"criterion": {
"archived": {
"eq": [
"false"
]
},
"category": {
"eq": [
"POLICY"
]
}
}
},
"maxResults": 25,
"nextToken": ""
},
"responseElements": null,
"requestID": "d58af6be-1115-4a41-91f8-ace03example",
"eventID": "ad97fac5-f7cf-4ff9-9cf2-d0676example",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management"
}Beispiel: Stichproben sensibler Daten für ein Ergebnis werden abgerufen
Dieses Beispiel zeigt CloudTrail Ereignisse zum Abrufen und Aufdecken von Stichproben vertraulicher Daten, die Amazon Macie in einem Befund gemeldet hat. In diesem Beispiel ist ein AWS Identity and Access Management (IAM) user (JohnDoe) verwendete die Amazon Macie Macie-Konsole, um sensible Datenproben abzurufen und offenzulegen. Das Konto des Benutzers ist so konfiguriert, dass es eine IAM Rolle (MacieReveal) übernimmt, um sensible Datenproben von betroffenen Amazon Simple Storage Service (Amazon S3) -Objekten abzurufen und offenzulegen.
Das folgende Ereignis zeigt Details zur Anfrage des Benutzers, sensible Datenproben abzurufen und offenzulegen, indem er den Amazon Macie GetSensitiveDataOccurrencesMacie-Vorgang ausführt.
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "UU4MH7OYK5ZCOAEXAMPLE:JohnDoe",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin/JohnDoe",
"accountId": "111122223333",
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "UU4MH7OYK5ZCOAEXAMPLE",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2023-12-12T14:40:23Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2023-12-12T17:04:47Z",
"eventSource": "macie2.amazonaws.com",
"eventName": "GetSensitiveDataOccurrences",
"awsRegion": "us-east-1",
"sourceIPAddress": "198.51.100.252",
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36",
"requestParameters": {
"findingId": "3ad9d8cd61c5c390bede45cd2example"
},
"responseElements": null,
"requestID": "c30cb760-5102-47e7-88d8-ff2e8example",
"eventID": "baf52d92-f9c3-431a-bfe8-71c81example",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}Das nächste Ereignis zeigt Details darüber, wie Macie dann die angegebene IAM Rolle (MacieReveal) annimmt, indem er AWS Security Token Service (AWS STS) AssumeRoleOperation.
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "reveal-samples.macie.amazonaws.com"
},
"eventTime": "2023-12-12T17:04:47Z",
"eventSource": "sts.amazonaws.com",
"eventName": "AssumeRole",
"awsRegion": "us-east-1",
"sourceIPAddress": "reveal-samples.macie.amazonaws.com",
"userAgent": "reveal-samples.macie.amazonaws.com",
"requestParameters": {
"roleArn": "arn:aws:iam::111122223333:role/MacieReveal",
"roleSessionName": "RevealCrossAccount"
},
"responseElements": {
"credentials": {
"accessKeyId": "AKIAI44QH8DHBEXAMPLE",
"sessionToken": "XXYYaz...
EXAMPLE_SESSION_TOKEN
XXyYaZAz",
"expiration": "Dec 12, 2023, 6:04:47 PM"
},
"assumedRoleUser": {
"assumedRoleId": "AROAXOTKAROCSNEXAMPLE:RevealCrossAccount",
"arn": "arn:aws:sts::111122223333:assumed-role/MacieReveal/RevealCrossAccount"
}
},
"requestID": "d905cea8-2dcb-44c1-948e-19419example",
"eventID": "74ee4d0c-932d-3332-87aa-8bcf3example",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::IAM::Role",
"ARN": "arn:aws:iam::111122223333:role/MacieReveal"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}Informationen zum Inhalt von CloudTrail Ereignissen finden Sie unter CloudTrailDatensatzinhalt in der AWS CloudTrail Benutzerleitfaden.
