Auditoría de la actividad de sesiones - AWS Systems Manager

Auditoría de la actividad de sesiones

Además de proporcionar información acerca de las sesiones actuales y completadas en la consola de Systems Manager, Session Manager proporciona la posibilidad de auditar la actividad de las sesiones en su Cuenta de AWS con AWS CloudTrail.

CloudTrail registra las llamadas a la API de la sesión realizadas a través de la consola de Systems Manager, la AWS Command Line Interface (AWS CLI) y el SDK de Systems Manager. Puede ver la información en la consola de CloudTrail o almacenarla en un bucket de Amazon Simple Storage Service (Amazon S3) especificado. Se utiliza un bucket de Amazon S3 para todos los registros de CloudTrail de su cuenta. Para obtener más información, consulte Registro de llamadas a la API de AWS Systems Manager con AWS CloudTrail.

nota

Para llevar a cabo un análisis periódico e histórico de sus archivos de registro, considere la posibilidad de consultar los registros de CloudTrail mediante CloudTrail Lake o una tabla que usted mantenga. Para obtener más información, consulte Consulta de registros de AWS CloudTrail en la Guía del usuario de AWS CloudTrail.

Supervisión de la actividad de la sesión con Amazon EventBridge (consola)

Con EventBridge, puede configurar reglas para detectar cuándo se producen cambios en los recursos de AWS. Puede crear una regla para detectar cuándo un usuario de su organización inicia o termina una sesión y, a continuación, por ejemplo, recibir una notificación a través de Amazon SNS sobre el evento.

La compatibilidad de EventBridge con Session Manager se basa en los registros de las operaciones de la API que CloudTrail registró. (Puede usar la integración de CloudTrail a EventBridge para responder a la mayoría de los eventos de AWS Systems Manager). Las acciones que se llevan a cabo dentro de una sesión, como un comando exit, que no hacen una llamada a la API no son detectadas por EventBridge.

En los siguientes pasos se describe cómo iniciar las notificaciones a través de Amazon Simple Notification Service (Amazon SNS) cuando se produce un evento de la API de Session Manager, como StartSession.

Para supervisar la actividad de la sesión con Amazon EventBridge (consola)
  1. Cree un tema de Amazon SNS que se utilice para enviar notificaciones cuando se produzca un evento de Session Manager del que desea realizar un seguimiento.

    Para obtener más información, consulte Creación de un tema en la Guía para desarrolladores de Amazon Simple Notification Service.

  2. Cree una regla de EventBridge para invocar el destino de Amazon SNS para el tipo de evento de Session Manager del que desea realizar un seguimiento.

    Para obtener más información sobre cómo crear la regla, consulte Creating Amazon EventBridge rules that react to events en la Guía del usuario de Amazon EventBridge.

    Cuando siga los pasos para crear la regla, realice las siguientes selecciones:

    • En AWS service (Servicio de ), elija Systems Manager.

    • En Tipo de evento, elija Llamada a la API de AWS con CloudTrail.

    • Elija Specific operation(s) (Operaciones específicas) y, a continuación, introduzca los comandos de Session Manager (uno a uno) para recibir notificaciones. También puede elegir StartSession, ResumeSession y TerminateSession. (EventBridge no admite los comandos Get*, List* ni Describe*).

    • Para Seleccione un destino, elija Tema de SNS. En Topic (Tema), seleccione el nombre del tema de Amazon SNS que creó en el paso 1.

Para obtener más información, consulte la Guía del usuario de Amazon EventBridge y la Guía de introducción a Amazon Simple Notification Service.