Supervisión de las llamadas a la API Cuentas de AWS mediante el AWS CloudTrail registro - Amazon CodeCatalyst
CodeCatalyst eventos espacialesCodeCatalyst conexiones de cuentas y eventos de facturaciónCodeCatalyst información en CloudTrail CloudTrail Acceder a los eventosEjemplo de evento de conexiones de CodeCatalyst cuentas en AWSEjemplo de evento de recurso de CodeCatalyst proyecto en AWSConsultando las rutas de tus CodeCatalyst eventos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Supervisión de las llamadas a la API Cuentas de AWS mediante el AWS CloudTrail registro

Amazon CodeCatalyst está integrado con AWS CloudTrail un servicio que proporciona un registro de las acciones realizadas por un usuario, rol o un Servicio de AWS. CloudTrail captura las llamadas a la API realizadas en nombre de CodeCatalyst in connected Cuentas de AWS as events. Si crea un registro, puede habilitar la entrega continua de CloudTrail eventos a un bucket de S3, incluidos los eventos de CodeCatalyst. Si no configuras una ruta, podrás ver los eventos más recientes en la CloudTrail consola, en el historial de eventos.

CodeCatalyst permite registrar las siguientes acciones como eventos en archivos de CloudTrail registro:

importante

Si bien se pueden asociar varias cuentas a un espacio, el CloudTrail registro de eventos en CodeCatalyst espacios y proyectos solo se aplica a la cuenta de facturación.

La cuenta de facturación de espacios es tuya y se cobran los CodeCatalyst recursos Cuenta de AWS que superen el nivel AWS gratuito. Se pueden conectar varias cuentas a un espacio, mientras que solo una cuenta puede ser la cuenta de facturación designada. La cuenta de facturación o las cuentas conectadas adicionales del espacio pueden tener funciones de IAM que se utilizan para implementar AWS recursos e infraestructura, como un clúster de Amazon ECS o un bucket de S3, a partir de CodeCatalyst flujos de trabajo. Puede usar el flujo de trabajo YAML para identificar el flujo de trabajo en el Cuenta de AWS que realizó la implementación.

nota

AWS los recursos que se implementan en las cuentas conectadas para los CodeCatalyst flujos de trabajo no se registran como parte del CloudTrail registro del CodeCatalyst espacio. Por ejemplo, CodeCatalyst los recursos incluyen un espacio o un proyecto. AWS los recursos incluyen un servicio Amazon ECS o una función Lambda. CloudTrail el registro debe configurarse por separado para cada Cuenta de AWS lugar en el que se implementen los recursos.

CodeCatalyst al iniciar sesión en las cuentas conectadas se incluyen las siguientes consideraciones:

  • El acceso a CloudTrail los eventos se gestiona con IAM en la cuenta conectada y no en CodeCatalyst ella.

  • Las conexiones de terceros, como la vinculación a un GitHub repositorio, harán que los nombres de los recursos de terceros se registren en CloudTrail los registros.

nota

CloudTrail El registro de CodeCatalyst eventos se realiza a nivel de espacio y no aísla los eventos según los límites del proyecto.

Para obtener más información al respecto CloudTrail, consulte la Guía AWS CloudTrail del usuario.

nota

En esta sección se describe el CloudTrail registro de todos los eventos registrados en un CodeCatalyst espacio y a los Cuentas de AWS que están conectados CodeCatalyst. Además, para revisar todos los eventos registrados en un CodeCatalyst espacio, también puede utilizar el aws codecatalyst list-event-logs comando AWS CLI y. Para obtener más información, consulte Acceso a los eventos registrados mediante el registro de eventos.

CodeCatalyst eventos espaciales

Las acciones CodeCatalyst para administrar los recursos a nivel de espacio y de proyecto se registran en la cuenta de facturación del espacio. Para CloudTrail iniciar sesión en un CodeCatalyst espacio, los eventos se registran teniendo en cuenta las siguientes consideraciones.

  • CloudTrail los eventos se aplican a todo el espacio y no se centran en un solo proyecto.

  • Al conectar y Cuenta de AWS a un CodeCatalyst espacio, los eventos que se puedan registrar para las conexiones de cuentas se registrarán en él. Cuenta de AWS Una vez habilitada esta conexión, no podrá desactivarla.

  • Al conectar un Cuenta de AWS CodeCatalyst espacio y designarlo como la cuenta de facturación del espacio, los eventos se registrarán en él Cuenta de AWS. Después de activar esta conexión, no podrá desactivarla.

    Los eventos de los recursos a nivel de espacio y de proyecto solo se registran en la cuenta de facturación. Para cambiar la cuenta de CloudTrail destino, actualice la cuenta de facturación en. CodeCatalyst Al comienzo del siguiente ciclo de facturación mensual, el cambio se aplicará a la nueva cuenta de facturación en CodeCatalyst. Después, se actualiza la cuenta de CloudTrail destino.

Los siguientes son ejemplos de eventos relacionados con acciones CodeCatalyst para administrar los recursos a nivel de espacio y de proyecto. AWS Las siguientes API se publican mediante el SDK y la CLI. Los eventos se registrarán en la cuenta Cuenta de AWS especificada como cuenta de facturación del CodeCatalyst espacio.

CodeCatalyst conexiones de cuentas y eventos de facturación

Los siguientes son ejemplos de eventos relacionados con acciones relacionadas con las conexiones CodeCatalyst de cuentas o la facturación: AWS

  • AcceptConnection

  • AssociateIAMRoletoConnection

  • DeleteConnection

  • DissassociateIAMRolefromConnection

  • GetBillingAuthorization

  • GetConnection

  • GetPendingConnection

  • ListConnections

  • ListIAMRolesforConnection

  • PutBillingAuthorization

  • RejectConnection

CodeCatalyst información en CloudTrail

CloudTrail está habilitada Cuenta de AWS al crear esa cuenta y al crearla. Cuando lo conectas Cuenta de AWS a un CodeCatalyst espacio, los eventos de ese espacio que se registran en ese espacio Cuenta de AWS se CloudTrail registran en esa cuenta de AWS. Los eventos que se pueden registrar CodeCatalyst se registran como CloudTrail eventos en los CloudTrail registros de la cuenta conectada y en el historial de eventos de la CloudTrail consola, junto con otros AWS eventos que se pueden registrar en esa cuenta.

Cada entrada de registro o evento contiene información sobre quién generó la solicitud. La información de identidad del usuario lo ayuda a determinar lo siguiente:

  • Si la solicitud la realizó un usuario con su ID de creador. AWS

  • Si la solicitud se realizó con credenciales de usuario root o AWS Identity and Access Management (IAM).

  • Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.

  • Si la solicitud la realizó otro AWS servicio.

Para obtener más información, consulte el elemento CloudTrail UserIdentity.

CloudTrail Acceder a los eventos

Para tener un registro continuo de los eventos que se produzcan en su entorno Cuenta de AWS, incluidos los eventos relacionados con su CodeCatalyst actividad Cuenta de AWS, cree un sendero. Un rastro permite CloudTrail enviar archivos de registro a un bucket de S3. De forma predeterminada, cuando se crea un registro de seguimiento en la consola, el registro de seguimiento se aplica a todas las Regiones de AWS. El registro registra los eventos de todas las regiones de la AWS partición y envía los archivos de registro al depósito de S3 que especifique. Además, puede configurar otros AWS servicios para analizar más a fondo los datos de eventos recopilados en los CloudTrail registros y actuar en función de ellos. Para más información, consulte los siguientes temas:

Un registro es una configuración que permite la entrega de eventos como archivos de registro a un bucket de S3 que usted especifique. CloudTrail Los archivos de registro contienen una o más entradas de registro. Un evento representa una solicitud única de cualquier fuente e incluye información sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud, etc. CloudTrail Los archivos de registro no son un registro ordenado de las llamadas a la API pública, por lo que no aparecen en ningún orden específico.

Ejemplo de evento de conexiones de CodeCatalyst cuentas en AWS

El siguiente ejemplo muestra una entrada de CloudTrail registro que demuestra la ListConnections acción. En el caso de una Cuenta de AWS que esté conectada al espacio, ListConnections se utiliza para ver todas las conexiones de cuentas a las que CodeCatalyst se ha conectado Cuenta de AWS. El evento se registrará según lo Cuenta de AWS especificado y el valor de arn será el nombre de recurso de Amazon (ARN) del rol utilizado para la acción. accountId

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AKIAI44QH8DHBEXAMPLE",
        "arn": "role-ARN",
        "accountId": "account-ID",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AKIAI44QH8DHBEXAMPLE",
                "arn": "role-ARN",
                "accountId": "account-ID",
                "userName": "user-name"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-09-06T15:04:31Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2022-09-06T15:08:43Z",
    "eventSource": "account-ID",
    "eventName": "ListConnections",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.168.0.1",
    "userAgent": "aws-cli/1.18.147 Python/2.7.18 Linux/5.4.207-126.363.amzn2int.x86_64 botocore/1.18.6",
    "requestParameters": null,
    "responseElements": null,
    "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 ",
    "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 ",
    "readOnly": true,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "account-ID",
    "eventCategory": "Management"
}

Ejemplo de evento de recurso de CodeCatalyst proyecto en AWS

El siguiente ejemplo muestra una entrada de CloudTrail registro que demuestra la CreateDevEnvironment acción. Una cuenta Cuenta de AWS que esté conectada al espacio y que sea la cuenta de facturación designada para el espacio se usa para eventos a nivel de proyecto en el espacio, como la creación de un entorno de desarrollo.

DebajouserIdentity, en el accountId campo, aparece el ID de cuenta del IAM Identity Center (432677196278) que aloja el conjunto de identidades de todas las identidades de AWS Builder ID. Este ID de cuenta contiene la siguiente información sobre el CodeCatalyst usuario del evento.

  • El type campo indica el tipo de entidad de IAM de la solicitud. En el CodeCatalyst caso de los eventos relacionados con el espacio y los recursos del proyecto, este valor esIdentityCenterUser. El accountId campo especifica la cuenta propietaria de la entidad que se utilizó para obtener las credenciales.

  • El userId campo contiene el identificador de AWS Builder ID del usuario.

  • El identityStoreArn campo contiene el ARN del rol para la cuenta y el usuario del almacén de identidades.

El recipientAccountId campo contiene el ID de cuenta de la cuenta de facturación del espacio, con un valor de ejemplo de 111122223333.

Para obtener más información, consulte el elemento CloudTrail UserIdentity.

{
	"eventVersion": "1.09",
	"userIdentity": {
		"type": "IdentityCenterUser",
		"accountId": "432677196278",
		"onBehalfOf": {
			"userId": "user-ID",
			"identityStoreArn": "arn:aws:identitystore::432677196278:identitystore/d-9067642ac7"
		},
		"credentialId": "ABCDefGhiJKLMn11Lmn_1AbCDEFgHijk-AaBCdEFGHIjKLmnOPqrs11abEXAMPLE"
	},
	"eventTime": "2023-05-18T17:10:50Z",
	"eventSource": "codecatalyst.amazonaws.com",
	"eventName": "CreateDevEnvironment",
	"awsRegion": "us-west-2",
	"sourceIPAddress": "192.168.0.1",
	"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:102.0) Gecko/20100101 Firefox/102.0",
	"requestParameters": {
		"spaceName": "MySpace",
		"projectName": "MyProject",
		"ides": [{
			"runtime": "public.ecr.aws/q6e8p2q0/cloud9-ide-runtime:2.5.1",
			"name": "Cloud9"
		}],
		"instanceType": "dev.standard1.small",
		"inactivityTimeoutMinutes": 15,
		"persistentStorage": {
			"sizeInGiB": 16
		}
	},
	"responseElements": {
		"spaceName": "MySpace",
		"projectName": "MyProject",
		"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 "
	},
	"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
	"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
	"readOnly": false,
	"eventType": "AwsApiCall",
	"managementEvent": true,
	"recipientAccountId": "111122223333",
	"sharedEventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
	"eventCategory": "Management"
}
nota

En algunos casos, es posible que no se conozca el agente de usuario. En este caso, CodeCatalyst proporcionará un valor de Unknown en el userAgent campo del CloudTrail evento.

Consultando las rutas de tus CodeCatalyst eventos

Puede crear y administrar consultas para sus CloudTrail registros mediante una tabla de consultas en Amazon Athena. Para obtener más información sobre cómo crear una consulta, consulte Consultas de AWS CloudTrail registros en la Guía del usuario de Amazon Athena.