Memantau panggilan API dengan Akun AWS menggunakan AWS CloudTrail logging - Amazon CodeCatalyst
CodeCatalyst acara luar angkasaCodeCatalyst koneksi akun dan acara penagihanCodeCatalyst informasi di CloudTrailMengakses acara CloudTrail Contoh acara koneksi CodeCatalyst akun di AWSContoh acara sumber daya CodeCatalyst proyek di AWSMenanyakan jejak CodeCatalyst acara Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memantau panggilan API dengan Akun AWS menggunakan AWS CloudTrail logging

Amazon CodeCatalyst terintegrasi dengan AWS CloudTrail, layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau AWS layanan. CloudTrail menangkap panggilan API yang dibuat atas nama CodeCatalyst dalam terhubung Akun AWS sebagai peristiwa. Jika Anda membuat jejak, Anda dapat mengaktifkan pengiriman CloudTrail acara secara berkelanjutan ke bucket S3, termasuk acara untuk CodeCatalyst. Jika Anda tidak mengonfigurasi jejak, Anda masih dapat melihat peristiwa terbaru di CloudTrail konsol dalam Riwayat acara.

CodeCatalyst mendukung pencatatan tindakan berikut sebagai peristiwa dalam file CloudTrail log:

penting

Meskipun beberapa akun dapat dikaitkan dengan spasi, CloudTrail pencatatan untuk acara di CodeCatalyst spasi dan proyek hanya berlaku untuk akun penagihan.

Akun penagihan ruang adalah akun Anda Akun AWS yang dikenakan biaya untuk CodeCatalyst sumber daya di luar tingkat AWS Gratis. Beberapa akun dapat dihubungkan ke spasi, sementara hanya satu akun yang dapat menjadi akun penagihan yang ditunjuk. Akun penagihan atau akun tambahan yang terhubung untuk ruang tersebut dapat memiliki peran IAM yang digunakan untuk menyebarkan AWS sumber daya dan infrastruktur, seperti cluster Amazon ECS atau bucket S3, dari alur kerja. CodeCatalyst Anda dapat menggunakan alur kerja YAMAL untuk mengidentifikasi Akun AWS yang Anda gunakan.

catatan

AWS sumber daya yang digunakan ke akun yang terhubung untuk CodeCatalyst alur kerja, tidak dicatat sebagai bagian dari CloudTrail pencatatan ruang. CodeCatalyst Misalnya, CodeCatalyst sumber daya termasuk ruang atau proyek. AWS sumber daya termasuk layanan Amazon ECS atau fungsi Lambda. CloudTrail logging harus dikonfigurasi secara terpisah untuk masing-masing Akun AWS tempat sumber daya digunakan.

CodeCatalyst masuk ke akun yang terhubung mencakup pertimbangan berikut:

  • Akses ke CloudTrail acara dikelola dengan IAM di akun yang terhubung dan bukan di CodeCatalyst.

  • Koneksi pihak ketiga, seperti menautkan ke GitHub repositori, akan mengakibatkan nama sumber daya pihak ketiga dicatat dalam log. CloudTrail

catatan

CloudTrail logging untuk CodeCatalyst acara berada pada tingkat ruang dan tidak mengisolasi peristiwa berdasarkan batas proyek.

Untuk informasi selengkapnya CloudTrail, lihat Panduan AWS CloudTrail Pengguna.

catatan

Bagian ini menjelaskan CloudTrail pencatatan untuk semua peristiwa yang dicatat dalam CodeCatalyst ruang masuk dan Akun AWS yang terhubung ke CodeCatalyst. Selain itu, untuk meninjau semua peristiwa yang masuk dalam CodeCatalyst spasi, Anda juga dapat menggunakan AWS CLI dan aws codecatalyst list-event-logs perintah. Untuk informasi selengkapnya, lihat Mengakses peristiwa yang dicatat menggunakan pencatatan peristiwa.

CodeCatalyst acara luar angkasa

Tindakan CodeCatalyst untuk mengelola sumber daya tingkat ruang dan tingkat proyek dicatat di akun penagihan untuk ruang tersebut. Untuk CloudTrail pencatatan CodeCatalyst ruang, peristiwa dicatat dengan pertimbangan berikut.

  • CloudTrail peristiwa berlaku di seluruh ruang dan tidak tercakup ke proyek tunggal mana pun.

  • Saat Anda menghubungkan Akun AWS ke CodeCatalyst spasi, peristiwa yang dapat dicatat untuk koneksi akun akan masuk ke dalamnya. Akun AWS Setelah Anda mengaktifkan koneksi ini, Anda tidak dapat menonaktifkannya.

  • Saat Anda menghubungkan Akun AWS ke CodeCatalyst spasi dan menetapkannya sebagai akun penagihan untuk ruang tersebut, acara akan masuk ke dalamnya. Akun AWS Setelah Anda mengaktifkan koneksi ini, Anda tidak dapat menonaktifkannya.

    Peristiwa untuk sumber daya tingkat ruang dan tingkat proyek hanya dicatat di akun penagihan. Untuk mengubah akun CloudTrail tujuan, perbarui akun penagihan di CodeCatalyst. Pada awal siklus penagihan bulanan berikutnya, perubahan berlaku untuk akun penagihan baru di. CodeCatalyst Setelah itu, akun CloudTrail tujuan diperbarui.

Berikut ini adalah contoh peristiwa AWS yang terkait dengan tindakan CodeCatalyst untuk mengelola sumber daya tingkat ruang dan tingkat proyek. API berikut dirilis melalui SDK dan CLI. Acara akan dicatat dalam yang Akun AWS ditentukan sebagai akun penagihan untuk CodeCatalyst ruang tersebut.

CodeCatalyst koneksi akun dan acara penagihan

Berikut ini adalah contoh peristiwa AWS yang terkait dengan tindakan untuk koneksi akun atau penagihan: CodeCatalyst

  • AcceptConnection

  • AssociateIAMRoletoConnection

  • DeleteConnection

  • DissassociateIAMRolefromConnection

  • GetBillingAuthorization

  • GetConnection

  • GetPendingConnection

  • ListConnections

  • ListIAMRolesforConnection

  • PutBillingAuthorization

  • RejectConnection

CodeCatalyst informasi di CloudTrail

CloudTrail diaktifkan pada Akun AWS saat Anda membuat akun itu. Saat Anda menghubungkannya Akun AWS ke CodeCatalyst spasi, peristiwa untuk ruang yang terjadi di dalamnya masuk CloudTrail log di akun AWS tersebut. Akun AWS Peristiwa yang dapat dicatat dicatat sebagai CloudTrail peristiwa dalam CloudTrail log di akun yang terhubung dan dalam riwayat Acara di CloudTrail konsol, bersama dengan AWS peristiwa lain yang dapat dicatat di akun tersebut. CodeCatalyst

Setiap entri peristiwa atau log berisi informasi tentang siapa yang membuat permintaan tersebut. Informasi identitas membantu Anda menentukan berikut ini:

  • Apakah permintaan dibuat oleh pengguna dengan AWS Builder ID mereka.

  • Apakah permintaan itu dibuat dengan kredenal pengguna root atau AWS Identity and Access Management (IAM).

  • Apakah permintaan tersebut dibuat dengan kredensial keamanan sementara untuk satu peran atau pengguna terfederasi.

  • Apakah permintaan itu dibuat oleh AWS layanan lain.

Untuk informasi selengkapnya, lihat elemen CloudTrail UserIdentity.

Mengakses acara CloudTrail

Untuk catatan acara yang sedang berlangsung di Anda Akun AWS, termasuk acara untuk CodeCatalyst aktivitas di Akun AWS, buat jejak. Jejak memungkinkan CloudTrail untuk mengirimkan file log ke bucket S3. Secara default, saat Anda membuat jejak di konsol, jejak tersebut berlaku untuk semua Wilayah AWS. Jejak mencatat peristiwa dari semua Wilayah di AWS partisi dan mengirimkan file log ke bucket S3 yang Anda tentukan. Selain itu, Anda dapat mengonfigurasi AWS layanan lain untuk menganalisis lebih lanjut dan menindaklanjuti data peristiwa yang dikumpulkan dalam CloudTrail log. Untuk informasi selengkapnya, lihat berikut:

Trail adalah konfigurasi yang memungkinkan pengiriman peristiwa sebagai file log ke bucket S3 yang Anda tentukan. CloudTrail file log berisi satu atau lebih entri log. Peristiwa mewakili permintaan tunggal dari sumber manapun dan mencakup informasi tentang tindakan yang diminta, tanggal dan waktu tindakan, parameter permintaan, dan sebagainya. CloudTrail file log bukanlah jejak tumpukan yang diurutkan dari panggilan API publik, sehingga file tersebut tidak muncul dalam urutan tertentu.

Contoh acara koneksi CodeCatalyst akun di AWS

Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan ListConnections tindakan. Untuk Akun AWS yang terhubung ke ruang, ListConnections digunakan untuk melihat semua koneksi akun CodeCatalyst untuk ini Akun AWS. Acara akan dicatat dalam yang Akun AWS ditentukanaccountId, dan nilai arn akan menjadi Nama Sumber Daya Amazon (ARN) dari peran yang digunakan untuk tindakan tersebut.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AKIAI44QH8DHBEXAMPLE",
        "arn": "role-ARN",
        "accountId": "account-ID",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AKIAI44QH8DHBEXAMPLE",
                "arn": "role-ARN",
                "accountId": "account-ID",
                "userName": "user-name"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-09-06T15:04:31Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2022-09-06T15:08:43Z",
    "eventSource": "account-ID",
    "eventName": "ListConnections",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.168.0.1",
    "userAgent": "aws-cli/1.18.147 Python/2.7.18 Linux/5.4.207-126.363.amzn2int.x86_64 botocore/1.18.6",
    "requestParameters": null,
    "responseElements": null,
    "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 ",
    "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 ",
    "readOnly": true,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "account-ID",
    "eventCategory": "Management"
}

Contoh acara sumber daya CodeCatalyst proyek di AWS

Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan CreateDevEnvironment tindakan. An Akun AWS yang terhubung ke ruang dan merupakan akun penagihan yang ditunjuk untuk ruang tersebut digunakan untuk acara tingkat proyek di ruang tersebut, seperti membuat Lingkungan Pengembang.

Di bawahuserIdentity, di accountId bidang, ini adalah ID akun Pusat Identitas IAM (432677196278) yang menghosting kumpulan identitas untuk semua identitas ID AWS Pembangun. ID akun ini berisi informasi berikut tentang CodeCatalyst pengguna untuk acara tersebut.

  • typeBidang menunjukkan jenis entitas IAM untuk permintaan. Untuk CodeCatalyst acara untuk ruang dan sumber daya proyek, nilai ini adalahIdentityCenterUser. accountIdBidang menentukan akun yang memiliki entitas yang digunakan untuk mendapatkan kredensil.

  • userIdKolom berisi pengenal AWS Builder ID untuk pengguna.

  • identityStoreArnBidang berisi peran ARN untuk akun penyimpanan identitas dan pengguna.

recipientAccountIdKolom berisi ID akun untuk akun penagihan untuk spasi, dengan nilai contoh di sini 111122223333.

Untuk informasi selengkapnya, lihat elemen CloudTrail UserIdentity.

{
	"eventVersion": "1.09",
	"userIdentity": {
		"type": "IdentityCenterUser",
		"accountId": "432677196278",
		"onBehalfOf": {
			"userId": "user-ID",
			"identityStoreArn": "arn:aws:identitystore::432677196278:identitystore/d-9067642ac7"
		},
		"credentialId": "ABCDefGhiJKLMn11Lmn_1AbCDEFgHijk-AaBCdEFGHIjKLmnOPqrs11abEXAMPLE"
	},
	"eventTime": "2023-05-18T17:10:50Z",
	"eventSource": "codecatalyst.amazonaws.com",
	"eventName": "CreateDevEnvironment",
	"awsRegion": "us-west-2",
	"sourceIPAddress": "192.168.0.1",
	"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:102.0) Gecko/20100101 Firefox/102.0",
	"requestParameters": {
		"spaceName": "MySpace",
		"projectName": "MyProject",
		"ides": [{
			"runtime": "public.ecr.aws/q6e8p2q0/cloud9-ide-runtime:2.5.1",
			"name": "Cloud9"
		}],
		"instanceType": "dev.standard1.small",
		"inactivityTimeoutMinutes": 15,
		"persistentStorage": {
			"sizeInGiB": 16
		}
	},
	"responseElements": {
		"spaceName": "MySpace",
		"projectName": "MyProject",
		"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 "
	},
	"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
	"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
	"readOnly": false,
	"eventType": "AwsApiCall",
	"managementEvent": true,
	"recipientAccountId": "111122223333",
	"sharedEventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
	"eventCategory": "Management"
}
catatan

Dalam peristiwa tertentu, agen pengguna mungkin tidak diketahui. Dalam hal ini, CodeCatalyst akan memberikan nilai Unknown di userAgent lapangan dalam CloudTrail acara tersebut.

Menanyakan jejak CodeCatalyst acara Anda

Anda dapat membuat dan mengelola kueri untuk CloudTrail log Anda menggunakan tabel kueri di Amazon Athena. Untuk informasi selengkapnya tentang membuat kueri, lihat Menanyakan AWS CloudTrail log di Panduan Pengguna Amazon Athena.