Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Enregistrement des EFS API appels Amazon avec AWS CloudTrail
Amazon EFS est intégré à AWS CloudTrail un service qui fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un AWS service sur AmazonEFS. CloudTrail capture tous les API appels pour Amazon EFS sous forme d'événements, y compris les appels provenant de la EFS console Amazon et les appels de code adressés aux EFS API opérations Amazon.
Si vous créez un suivi, vous pouvez activer la diffusion continue d' CloudTrail événements vers un compartiment Amazon S3, y compris des événements pour AmazonEFS. Si vous ne configurez pas de suivi, vous pouvez toujours consulter les événements les plus récents dans la CloudTrail console dans Historique des événements. À l'aide des informations collectées par CloudTrail, vous pouvez déterminer la demande qui a été faite à AmazonEFS, l'adresse IP à partir de laquelle la demande a été faite, qui a fait la demande, quand elle a été faite et des informations supplémentaires.
Pour plus d’informations, consultez le Guide de l’utilisateur AWS CloudTrail.
EFSInformations Amazon dans CloudTrail
CloudTrail est activé sur votre compte Compte AWS lorsque vous créez le compte. Lorsqu'une activité a lieu sur AmazonEFS, cette activité est enregistrée dans un CloudTrail événement avec d'autres événements de AWS service dans l'historique des événements. Vous pouvez afficher, rechercher et télécharger les événements récents dans votre Compte AWS. Pour plus d'informations, consultez la section Utilisation de l'historique des CloudTrail événements.
Pour un enregistrement continu des événements de votre entreprise Compte AWS, y compris des événements pour AmazonEFS, créez un parcours. Un suivi permet CloudTrail de fournir des fichiers journaux à un compartiment Amazon S3. Par défaut, lorsque vous créez un parcours dans la console, celui-ci s'applique à tous les Région AWS s. Le journal enregistre les événements provenant de tous Régions AWS les AWS éléments de la partition et envoie les fichiers journaux au compartiment Amazon S3 que vous spécifiez. En outre, vous pouvez configurer d'autres AWS services pour analyser plus en détail les données d'événements collectées dans les CloudTrail journaux et agir en conséquence. Pour plus d’informations, consultez les rubriques suivantes dans le AWS CloudTrail Guide de l’utilisateur :
Tous les EFS APIappels Amazon sont enregistrés par CloudTrail. Par exemple, les appels aux CreateFileSystem CreateTags opérations CreateMountTarget et les opérations génèrent des entrées dans les fichiers CloudTrail journaux.
Chaque événement ou entrée de journal contient des informations sur la personne ayant initié la demande. Les informations relatives à l’identité permettent de déterminer les éléments suivants :
-
Si la demande a été faite avec les informations d'identification de l'utilisateur root ou AWS Identity and Access Management (IAM).
-
Si la demande a été effectuée avec les informations d’identification de sécurité temporaires d’un rôle ou d’un utilisateur fédéré.
-
Si la demande a été faite par un autre AWS service.
Pour plus d'informations, voir CloudTrail userIdentityl'élément dans le guide de AWS CloudTrail l'utilisateur.
Comprendre les entrées des fichiers EFS journaux Amazon
Un suivi est une configuration qui permet de transmettre des événements sous forme de fichiers journaux à un compartiment Amazon S3 que vous spécifiez. CloudTrail les fichiers journaux contiennent une ou plusieurs entrées de journal. Un événement représente une demande unique provenant de n'importe quelle source et inclut des informations sur l'action demandée, la date et l'heure de l'action, les paramètres de la demande, etc. CloudTrail les fichiers journaux ne constituent pas une trace ordonnée des API appels publics, ils n'apparaissent donc pas dans un ordre spécifique.
L'exemple suivant montre une entrée de CloudTrail journal qui illustre le CreateTags fonctionnement lors de la création d'une balise pour un système de fichiers à partir de la console.
{ "eventVersion": "1.06", "userIdentity": { "type": "Root", "principalId": "111122223333", "arn": "arn:aws:iam::111122223333:root", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2017-03-01T18:02:37Z" } } }, "eventTime": "2017-03-01T19:25:47Z", "eventSource": "elasticfilesystem.amazonaws.com", "eventName": "CreateTags", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "userAgent": "console.amazonaws.com", "requestParameters": { "fileSystemId": "fs-00112233", "tags": [{ "key": "TagName", "value": "AnotherNewTag" } ] }, "responseElements": null, "requestID": "dEXAMPLE-feb4-11e6-85f0-736EXAMPLE75", "eventID": "eEXAMPLE-2d32-4619-bd00-657EXAMPLEe4", "eventType": "AwsApiCall", "apiVersion": "2015-02-01", "recipientAccountId": "111122223333" }
L'exemple suivant montre une entrée de CloudTrail journal qui illustre l'DeleteTagsaction à effectuer lorsqu'une balise d'un système de fichiers est supprimée de la console.
{ "eventVersion": "1.06", "userIdentity": { "type": "Root", "principalId": "111122223333", "arn": "arn:aws:iam::111122223333:root", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2017-03-01T18:02:37Z" } } }, "eventTime": "2017-03-01T19:25:47Z", "eventSource": "elasticfilesystem.amazonaws.com", "eventName": "DeleteTags", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "userAgent": "console.amazonaws.com", "requestParameters": { "fileSystemId": "fs-00112233", "tagKeys": [] }, "responseElements": null, "requestID": "dEXAMPLE-feb4-11e6-85f0-736EXAMPLE75", "eventID": "eEXAMPLE-2d32-4619-bd00-657EXAMPLEe4", "eventType": "AwsApiCall", "apiVersion": "2015-02-01", "recipientAccountId": "111122223333" }
Entrées de journal pour les rôles EFS liés à un service
Le rôle EFS lié au service Amazon effectue des API appels vers AWS des ressources. Vous verrez les entrées du CloudTrail journal relatives username: AWSServiceRoleForAmazonElasticFileSystem aux appels effectués par le rôle EFS lié au service. Pour plus d'informations sur les rôles liés à un service EFS et les rôles liés à un service, consultez. Utilisation des rôles liés à un service pour Amazon EFS
L'exemple suivant montre une entrée de CloudTrail journal qui illustre une CreateServiceLinkedRole action lorsqu'Amazon EFS crée le rôle AWSServiceRoleForAmazonElasticFileSystem lié à un service.
{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "111122223333", "arn": "arn:aws:iam::111122223333:user/user1", "accountId": "111122223333", "accessKeyId": "A111122223333", "userName": "user1", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2019-10-23T22:45:41Z" } }, "invokedBy": "elasticfilesystem.amazonaws.com” }, "eventTime": "2019-10-23T22:45:41Z", "eventSource": "iam.amazonaws.com", "eventName": "CreateServiceLinkedRole", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "user_agent", "requestParameters": { "aWSServiceName": "elasticfilesystem.amazonaws.com” }, "responseElements": { "role": { "assumeRolePolicyDocument": "111122223333-10-111122223333Statement111122223333Action111122223333AssumeRole111122223333Effect%22%3A%20%22Allow%22%2C%20%22Principal%22%3A%20%7B%22Service%22%3A%20%5B%22 elasticfilesystem.amazonaws.com%22%5D%7D%7D%5D%7D", "arn": "arn:aws:iam::111122223333:role/aws-service-role/elasticfilesystem.amazonaws.com/AWSServiceRoleForAmazonElasticFileSystem", "roleId": "111122223333", "createDate": "Oct 23, 2019 10:45:41 PM", "roleName": "AWSServiceRoleForAmazonElasticFileSystem", "path": "/aws-service-role/elasticfilesystem.amazonaws.com/“ } }, "requestID": "11111111-2222-3333-4444-abcdef123456", "eventID": "11111111-2222-3333-4444-abcdef123456", "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }
L'exemple suivant montre une entrée de CloudTrail journal illustrant une CreateNetworkInterface action effectuée par le rôle AWSServiceRoleForAmazonElasticFileSystem lié à un service, indiquée dans le. sessionContext
{ "eventVersion": "1.05", "userIdentity": { "type": "AssumedRole", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:sts::0123456789ab:assumed-role/AWSServiceRoleForAmazonElasticFileSystem/0123456789ab", "accountId": "0123456789ab", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::0123456789ab:role/aws-service-role/elasticfilesystem.amazonaws.com/AWSServiceRoleForAmazonElasticFileSystem", "accountId": "0123456789ab", "userName": "AWSServiceRoleForAmazonElasticFileSystem" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2019-10-23T22:50:05Z" } }, "invokedBy": "AWS Internal" }, "eventTime": "20You 19-10-23T22:50:05Z", "eventSource": "ec2.amazonaws.com", "eventName": "CreateNetworkInterface", "awsRegion": "us-east-1", "sourceIPAddress": "elasticfilesystem.amazonaws.com”, "userAgent": "elasticfilesystem.amazonaws.com", "requestParameters": { "subnetId": "subnet-71e2f83a", "description": "EFS mount target for fs-1234567 (fsmt-1234567)", "groupSet": {}, "privateIpAddressesSet": {} }, "responseElements": { "requestId": "0708e4ad-03f6-4802-b4ce-4ba987d94b8d", "networkInterface": { "networkInterfaceId": "eni-0123456789abcdef0", "subnetId": "subnet-12345678", "vpcId": "vpc-01234567", "availabilityZone": "us-east-1b", "description": "EFS mount target for fs-1234567 (fsmt-1234567)", "ownerId": "666051418590", "requesterId": "0123456789ab", "requesterManaged": true, "status": "pending", "macAddress": "00:bb:ee:ff:aa:cc", "privateIpAddress": "192.0.2.0", "privateDnsName": "ip-192-0-2-0.ec2.internal", "sourceDestCheck": true, "groupSet": { "items": [ { "groupId": "sg-c16d65b6", "groupName": "default" } ] }, "privateIpAddressesSet": { "item": [ { "privateIpAddress": "192.0.2.0", "primary": true } ] }, "tagSet": {} } }, "requestID": "11112222-3333-4444-5555-666666777777", "eventID": "aaaabbbb-1111-2222-3333-444444555555", "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }
Entrées de journal pour EFS l'authentification
EFSAutorisation Amazon pour les NFS émissions NewClientConnection et les UpdateClientConnection CloudTrail événements des clients. Un événement NewClientConnection est émis lorsqu’une connexion est autorisée immédiatement après une connexion initiale et immédiatement après une reconnexion. Un UpdateClientConnection est émis lorsqu’une connexion est réautorisée et que la liste des actions autorisées a changé. L’événement est également émis lorsque la nouvelle liste d’actions autorisées n’inclut pas ClientMount. Pour plus d'informations sur EFS l'autorisation, consultezUtilisation IAM pour contrôler l'accès aux données du système de fichiers.
L'exemple suivant montre une entrée de CloudTrail journal illustrant un NewClientConnection événement.
{ "eventVersion": "1.05", "userIdentity": { "type": "AssumedRole", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:sts::0123456789ab:assumed-role/abcdef0123456789", "accountId": "0123456789ab", "accessKeyId": "AKIAIOSFODNN7EXAMPLE ", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::0123456789ab:role/us-east-2", "accountId": "0123456789ab", "userName": "username" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2019-12-23T17:50:16Z" }, "ec2RoleDelivery": "1.0" } }, "eventTime": "2019-12-23T18:02:12Z", "eventSource": "elasticfilesystem.amazonaws.com", "eventName": "NewClientConnection", "awsRegion": "us-east-2", "sourceIPAddress": "AWS Internal", "userAgent": "elasticfilesystem", "requestParameters": null, "responseElements": null, "eventID": "27859ac9-053c-4112-aee3-f3429719d460", "readOnly": true, "resources": [ { "accountId": "0123456789ab", "type": "AWS::EFS::FileSystem", "ARN": "arn:aws:elasticfilesystem:us-east-2:0123456789ab:file-system/fs-01234567" }, { "accountId": "0123456789ab", "type": "AWS::EFS::AccessPoint", "ARN": "arn:aws:elasticfilesystem:us-east-2:0123456789ab:access-point/fsap-0123456789abcdef0" } ], "eventType": "AwsServiceEvent", "recipientAccountId": "0123456789ab", "serviceEventDetails": { "permissions": { "ClientRootAccess": true, "ClientMount": true, "ClientWrite": true }, "sourceIpAddress": "10.7.3.72" } }
Entrées de fichiers EFS journaux Amazon pour les systèmes de encrypted-at-rest fichiers
Amazon vous EFS donne la possibilité d'utiliser le chiffrement au repos, le chiffrement en transit, ou les deux, pour vos systèmes de fichiers. Pour plus d’informations, consultez Chiffrer des données sur Amazon EFS.
Amazon EFS envoie un contexte de chiffrement lorsqu'il AWS KMS API demande de générer des clés de données et de déchiffrer les EFS données Amazon. L’ID du système de fichiers est le contexte de chiffrement de tous les systèmes de fichiers qui sont chiffrées au repos. Dans le requestParameters champ d'une entrée de CloudTrail journal, le contexte de chiffrement est similaire au suivant.
"EncryptionContextEquals": {}
"aws:elasticfilesystem:filesystem:id" : "fs-4EXAMPLE"