Registrazione di chiamate API AWS AppConfig con AWS CloudTrail - AWS AppConfig
AWS AppConfiginformazioni in CloudTrailAWS AppConfigeventi di dati in CloudTrailAWS AppConfiggestione degli eventi in CloudTrailComprensione delle voci dei file di log di AWS AppConfig

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Registrazione di chiamate API AWS AppConfig con AWS CloudTrail

AWS AppConfigè integrato conAWS CloudTrail, un servizio che fornisce un registro delle azioni intraprese da un utente, da un ruolo o da un AWS servizio inAWS AppConfig. CloudTrail acquisisce tutte le chiamate API AWS AppConfig come eventi. Le chiamate acquisite includono le chiamate dalla console di AWS AppConfig e le chiamate di codice alle operazioni delle API AWS AppConfig. Se crei un trail, puoi abilitare la distribuzione continua di CloudTrail eventi a un bucket Amazon S3, inclusi gli eventi per. AWS AppConfig Se non configuri un percorso, puoi comunque visualizzare gli eventi più recenti nella CloudTrail console nella cronologia degli eventi. Utilizzando le informazioni raccolte da CloudTrail, puoi determinare a quale richiesta è stata inviataAWS AppConfig, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e dettagli aggiuntivi.

Per ulteriori informazioni CloudTrail, consulta la Guida AWS CloudTrail per l'utente.

AWS AppConfiginformazioni in CloudTrail

CloudTrail è abilitato sul tuo account al Account AWS momento della creazione dell'account. Quando si verifica un'attività inAWS AppConfig, tale attività viene registrata in un CloudTrail evento insieme ad altri eventi AWS di servizio nella cronologia degli eventi. Puoi visualizzare, cercare e scaricare gli eventi recenti in Account AWS. Per ulteriori informazioni, consulta Visualizzazione degli eventi con la cronologia degli CloudTrail eventi.

Per una registrazione continua degli eventi nell'Account AWS che includa gli eventi per AWS AppConfig, crea un trail. Un trail consente di CloudTrail inviare file di log a un bucket Amazon S3. Per impostazione predefinita, quando si crea un percorso nella console, questo sarà valido in tutte le Regioni AWS. Il percorso registra gli eventi di tutte le Regioni nella partizione AWSe distribuisce i file di log nel bucket Amazon S3 specificato. Inoltre, puoi configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei CloudTrail log. Per ulteriori informazioni, consulta gli argomenti seguenti:

Tutte AWS AppConfig le azioni vengono registrate CloudTrail e documentate nell'AWS AppConfigAPI Reference. Ad esempio, le chiamate a GetApplication e CreateApplication le ListApplications azioni generano voci nei file di CloudTrail registro.

Ogni evento o voce di log contiene informazioni sull'utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:

  • Se la richiesta è stata effettuata con credenziali utente root o AWS Identity and Access Management (IAM).

  • Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.

  • Se la richiesta è stata effettuata da un altro servizio AWS.

Per ulteriori informazioni, consulta Elemento CloudTrail userIdentity.

AWS AppConfigeventi di dati in CloudTrail

Gli eventi relativi ai dati forniscono informazioni sulle operazioni eseguite sulle risorse su o all'interno di una risorsa (ad esempio, recuperando l'ultima configurazione distribuita tramite chiamata). GetLatestConfiguration Queste operazioni sono definite anche operazioni del piano dei dati. Gli eventi di dati sono spesso attività che interessano volumi elevati di dati. Per impostazione predefinita, CloudTrail non registra gli eventi relativi ai dati. La cronologia CloudTrail degli eventi non registra gli eventi relativi ai dati.

Per gli eventi di dati sono previsti costi aggiuntivi. Per ulteriori informazioni sui CloudTrail prezzi, consulta la sezione AWS CloudTrailPrezzi.

Puoi registrare gli eventi relativi ai dati per i tipi di AWS AppConfig risorse utilizzando la CloudTrail console o AWS CLI le operazioni CloudTrail dell'API. La tabella in questa sezione mostra i tipi di risorse disponibili perAWS AppConfig.

  • Per registrare gli eventi relativi ai dati utilizzando la CloudTrail console, crea un percorso o un data store di eventi per registrare gli eventi di dati oppure aggiorna un trail o un data store di eventi esistente per registrare gli eventi di dati.

    1. Scegli Data events per registrare gli eventi relativi ai dati.

    2. Dall'elenco dei tipi di eventi Data, scegli AWS AppConfig.

    3. Scegli il modello di selettore di registro che desideri utilizzare. Puoi registrare tutti gli eventi relativi ai dati per il tipo di risorsa, registrare tutti readOnly gli eventi, registrare tutti writeOnly gli eventi o creare un modello di selettore di registro personalizzato per filtrare i readOnly campieventName, eresources.ARN.

    4. Per il nome del selettore, immettere. AppConfigDataEvents Per informazioni sull'attivazione di Amazon CloudWatch Logs per il percorso degli eventi relativi ai dati, consultaMetriche di registrazione per AWS AppConfig le chiamate sul piano dati.

  • Per registrare gli eventi relativi ai dati utilizzando ilAWS CLI, configura il --advanced-event-selectors parametro in modo che il eventCategory campo sia uguale Data e il resources.type campo uguale al valore del tipo di risorsa (vedi tabella). È possibile aggiungere condizioni per filtrare i valori dei resources.ARN campi readOnlyeventName, e.

Nella tabella seguente sono elencati i tipi di risorse AWS AppConfig. La colonna Data event type (console) mostra il valore da scegliere dall'elenco Data event type (console) sulla CloudTrail console. La colonna del valore resources.type mostra il resources.type valore da specificare durante la configurazione dei selettori di eventi avanzati utilizzando le API o. AWS CLI CloudTrail La CloudTrail colonna Data API loggate mostra le chiamate API registrate per il tipo di risorsa. CloudTrail

Tipo di evento di dati (console) valore resources.type API di dati registrate su* CloudTrail
AWS AppConfig AWS::AppConfig::Configuration

*Puoi configurare selettori di eventi avanzati per filtrare in base a eventNamereadOnly, e resources.ARN campi per registrare solo gli eventi che ritieni importanti. Per ulteriori informazioni sui campi, consulta AdvancedFieldSelector.

AWS AppConfiggestione degli eventi in CloudTrail

Gli eventi di gestione forniscono informazioni sulle operazioni di gestione eseguite sulle risorse nel tuo account AWS. Queste operazioni sono definite anche operazioni del piano di controllo. Per impostazione predefinita, CloudTrail registra gli eventi di gestione.

AWS AppConfigregistra tutte le operazioni AWS AppConfig del piano di controllo come eventi di gestione. Per un elenco delle operazioni del piano di AWS AppConfig controllo a cui si AWS AppConfig effettua l'accesso CloudTrail, consulta l'AWS AppConfigAPI Reference.

Comprensione delle voci dei file di log di AWS AppConfig

Un trail è una configurazione che consente la distribuzione di eventi come file di log in un bucket Amazon S3 specificato dall'utente. CloudTrail i file di registro contengono una o più voci di registro. Un evento rappresenta una singola richiesta proveniente da qualsiasi fonte e include informazioni sull'azione richiesta, la data e l'ora dell'azione, i parametri della richiesta e così via. CloudTrail i file di registro non sono una traccia ordinata dello stack delle chiamate API pubbliche, quindi non vengono visualizzati in un ordine specifico.

L'esempio seguente mostra una voce di CloudTrail registro che illustra l'StartConfigurationSessionazione.

{
      "eventVersion": "1.09",
      "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::123456789012:user/Administrator",
        "accountId": "123456789012",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
          "sessionIssuer": {},
          "attributes": {
            "creationDate": "2024-01-11T14:37:02Z",
            "mfaAuthenticated": "false"
          }
        }
      },
      "eventTime": "2024-01-11T14:45:15Z",
      "eventSource": "appconfig.amazonaws.com",
      "eventName": "StartConfigurationSession",
      "awsRegion": "us-east-1",
      "sourceIPAddress": "203.0.113.0",
      "userAgent": "Boto3/1.34.11 md/Botocore#1.34.11 ua/2.0 os/macos#22.6.0 md/arch#x86_64 lang/python#3.11.4 md/pyimpl#CPython cfg/retry-mode#legacy Botocore/1.34.11",
      "requestParameters": {
        "applicationIdentifier": "rrfexample",
        "environmentIdentifier": "mexampleqe0",
        "configurationProfileIdentifier": "3eexampleu1"
      },
      "responseElements": null,
      "requestID": "a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE",
      "eventID": "a1b2c3d4-5678-90ab-cdef-bbbbbEXAMPLE",
      "readOnly": false,
      "resources": [
        {
          "accountId": "123456789012",
          "type": "AWS::AppConfig::Configuration",
          "ARN": "arn:aws:appconfig:us-east-1:123456789012:application/rrfexample/environment/mexampleqe0/configuration/3eexampleu1"
        }
      ],
      "eventType": "AwsApiCall",
      "managementEvent": false,
      "recipientAccountId": "123456789012",
      "eventCategory": "Data",
      "tlsDetails": {
        "tlsVersion": "TLSv1.3",
        "cipherSuite": "TLS_AES_128_GCM_SHA256",
        "clientProvidedHostHeader": "appconfigdata.us-east-1.amazonaws.com"
      }
    }