Monitoraggio delle chiamate API Account AWS utilizzando la AWS CloudTrail registrazione - Amazon CodeCatalyst
CodeCatalyst eventi spazialiCodeCatalyst connessioni all'account ed eventi di fatturazioneCodeCatalyst informazioni in CloudTrailAccesso agli eventi CloudTrail Esempio di evento di connessione all' CodeCatalyst account in AWSEsempio di evento relativo alle risorse CodeCatalyst del progetto in AWSInterrogazione dei percorsi CodeCatalyst degli eventi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Monitoraggio delle chiamate API Account AWS utilizzando la AWS CloudTrail registrazione

Amazon CodeCatalyst è integrato con AWS CloudTrail, un servizio che fornisce un registro delle azioni intraprese da un utente, ruolo o un AWS servizio. CloudTrail acquisisce le chiamate API effettuate per conto di CodeCatalyst in connected Account AWS come eventi. Se crei un trail, puoi abilitare la consegna continua di CloudTrail eventi a un bucket S3, inclusi gli eventi per. CodeCatalyst Se non configuri un percorso, puoi comunque visualizzare gli eventi più recenti nella CloudTrail console nella cronologia degli eventi.

CodeCatalyst supporta la registrazione delle seguenti azioni come eventi nei file di CloudTrail registro:

Importante

Sebbene sia possibile associare più account a uno spazio, la CloudTrail registrazione degli eventi CodeCatalyst negli spazi e nei progetti si applica solo all'account di fatturazione.

L'account di fatturazione spaziale è il tuo a Account AWS cui vengono addebitate le CodeCatalyst risorse oltre il AWS livello gratuito. È possibile collegare più account a uno spazio, mentre solo un account può essere l'account di fatturazione designato. L'account di fatturazione o altri account connessi per lo spazio possono avere ruoli IAM utilizzati per distribuire AWS risorse e infrastrutture, come un cluster Amazon ECS o un bucket S3, dai flussi di lavoro. CodeCatalyst Puoi utilizzare il flusso di lavoro YAML per identificare quello su cui hai eseguito la distribuzione. Account AWS

Nota

AWS le risorse distribuite in account connessi per i CodeCatalyst flussi di lavoro non vengono registrate come parte della registrazione dello spazio. CloudTrail CodeCatalyst Ad esempio, CodeCatalyst le risorse includono uno spazio o un progetto. AWS le risorse includono un servizio Amazon ECS o una funzione Lambda. CloudTrail la registrazione deve essere configurata separatamente per ogni area Account AWS in cui vengono distribuite le risorse.

CodeCatalyst l'accesso agli account collegati include le seguenti considerazioni:

  • L'accesso agli CloudTrail eventi viene gestito con IAM nell'account connesso e non in. CodeCatalyst

  • Le connessioni di terze parti, come il collegamento a un GitHub repository, comporteranno la registrazione dei nomi delle risorse di terze parti nei CloudTrail log.

Nota

CloudTrail la registrazione CodeCatalyst degli eventi avviene a livello di spazio e non isola gli eventi in base ai confini del progetto.

Per ulteriori informazioni su CloudTrail, consulta la Guida per l'AWS CloudTrail utente.

Nota

Questa sezione descrive CloudTrail la registrazione di tutti gli eventi registrati in uno CodeCatalyst spazio registrato e a Account AWS cui sono collegati. CodeCatalyst Inoltre, per esaminare tutti gli eventi registrati in uno CodeCatalyst spazio, è possibile utilizzare anche il AWS CLI comando and. aws codecatalyst list-event-logs Per ulteriori informazioni, consulta Accesso agli eventi registrati utilizzando la registrazione degli eventi.

CodeCatalyst eventi spaziali

Le azioni intraprese CodeCatalyst per la gestione delle risorse a livello di spazio e di progetto vengono registrate nell'account di fatturazione dello spazio. Per la CloudTrail registrazione di uno CodeCatalyst spazio, gli eventi vengono registrati con le seguenti considerazioni.

  • CloudTrail gli eventi si applicano all'intero spazio e non sono limitati a nessun singolo progetto.

  • Quando si connette un account Account AWS a uno CodeCatalyst spazio, gli eventi registrabili per le connessioni degli account verranno registrati in quello spazio. Account AWS Dopo aver abilitato questa connessione, non è possibile disabilitarla.

  • Quando colleghi uno Account AWS a uno CodeCatalyst spazio e lo imposti come account di fatturazione per lo spazio, gli eventi verranno registrati in quello spazio. Account AWS Dopo aver abilitato questa connessione, non è possibile disabilitarla.

    Gli eventi per le risorse a livello di spazio e di progetto vengono registrati solo nell'account di fatturazione. Per modificare l'account di CloudTrail destinazione, aggiorna l'account di fatturazione. CodeCatalyst All'inizio del successivo ciclo di fatturazione mensile, la modifica avrà effetto per il nuovo account di fatturazione in. CodeCatalyst Successivamente, l'account di CloudTrail destinazione viene aggiornato.

Di seguito sono riportati alcuni esempi di eventi correlati alle azioni CodeCatalyst per la gestione delle risorse a livello di spazio e di progetto. AWS Le seguenti API vengono rilasciate tramite SDK e CLI. Gli eventi verranno registrati nell'account di fatturazione Account AWS specificato per lo spazio. CodeCatalyst

CodeCatalyst connessioni all'account ed eventi di fatturazione

Di seguito sono riportati alcuni esempi di eventi correlati alle azioni relative alle connessioni all' CodeCatalystaccount o alla fatturazione: AWS

  • AcceptConnection

  • AssociateIAMRoletoConnection

  • DeleteConnection

  • DissassociateIAMRolefromConnection

  • GetBillingAuthorization

  • GetConnection

  • GetPendingConnection

  • ListConnections

  • ListIAMRolesforConnection

  • PutBillingAuthorization

  • RejectConnection

CodeCatalyst informazioni in CloudTrail

CloudTrail è abilitato su un Account AWS quando crei quell'account. Quando lo colleghi Account AWS a uno CodeCatalyst spazio, gli eventi relativi a quello spazio che si verificano in quello spazio Account AWS vengono CloudTrail registrati in quell'account AWS. Gli eventi registrabili CodeCatalyst vengono registrati come CloudTrail eventi nei CloudTrail log dell'account connesso e nella cronologia degli eventi nella CloudTrail console, insieme ad altri eventi registrabili AWS in quell'account.

Ogni evento o voce di log contiene informazioni sull'utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:

  • Se la richiesta è stata effettuata da un utente con il proprio AWS ID Builder.

  • Se la richiesta è stata effettuata con credenziali utente root o AWS Identity and Access Management (IAM).

  • Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.

  • Se la richiesta è stata effettuata da un altro AWS servizio.

Per ulteriori informazioni, vedete l'elemento CloudTrail userIdentity.

Accesso agli eventi CloudTrail

Per una registrazione continua degli eventi del tuo Account AWS, compresi gli eventi relativi alle CodeCatalyst attività in Account AWS, crea un percorso. Un trail consente di CloudTrail inviare file di registro a un bucket S3. Per impostazione predefinita, quando si crea un percorso nella console, questo sarà valido in tutte le Regioni AWS. Il trail registra gli eventi da tutte le regioni della AWS partizione e consegna i file di registro al bucket S3 specificato. Inoltre, puoi configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei log. CloudTrail Per ulteriori informazioni, consulta gli argomenti seguenti:

Un trail è una configurazione che consente la consegna di eventi come file di registro a un bucket S3 specificato dall'utente. CloudTrail i file di registro contengono una o più voci di registro. Un evento rappresenta una singola richiesta proveniente da qualsiasi fonte e include informazioni sull'azione richiesta, la data e l'ora dell'azione, i parametri della richiesta e così via. CloudTrail i file di registro non sono una traccia ordinata dello stack delle chiamate API pubbliche, quindi non vengono visualizzati in un ordine specifico.

Esempio di evento di connessione all' CodeCatalyst account in AWS

L'esempio seguente mostra una voce di CloudTrail registro che illustra l'ListConnectionsazione. Per un Account AWS utente connesso allo spazio, ListConnections viene utilizzato per visualizzare tutte le connessioni dell'account a CodeCatalyst for this Account AWS. L'evento verrà registrato nel file Account AWS specificato e il valore di arn sarà l'Amazon Resource Name (ARN) del ruolo utilizzato per l'azione. accountId

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AKIAI44QH8DHBEXAMPLE",
        "arn": "role-ARN",
        "accountId": "account-ID",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AKIAI44QH8DHBEXAMPLE",
                "arn": "role-ARN",
                "accountId": "account-ID",
                "userName": "user-name"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-09-06T15:04:31Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2022-09-06T15:08:43Z",
    "eventSource": "account-ID",
    "eventName": "ListConnections",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "192.168.0.1",
    "userAgent": "aws-cli/1.18.147 Python/2.7.18 Linux/5.4.207-126.363.amzn2int.x86_64 botocore/1.18.6",
    "requestParameters": null,
    "responseElements": null,
    "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 ",
    "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 ",
    "readOnly": true,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "account-ID",
    "eventCategory": "Management"
}

Esempio di evento relativo alle risorse CodeCatalyst del progetto in AWS

L'esempio seguente mostra una voce di CloudTrail registro che illustra l'CreateDevEnvironmentazione. Un account di fatturazione collegato allo spazio e Account AWS che rappresenta l'account di fatturazione designato per lo spazio viene utilizzato per eventi a livello di progetto nello spazio, come la creazione di un ambiente di sviluppo.

InuserIdentity, accountId sul campo, si tratta dell'ID account IAM Identity Center (432677196278) che ospita il pool di identità per tutte le identità AWS Builder ID. Questo ID account contiene le seguenti informazioni sull' CodeCatalyst utente dell'evento.

  • Il type campo indica il tipo di entità IAM per la richiesta. Per CodeCatalyst gli eventi relativi allo spazio e alle risorse del progetto, questo valore èIdentityCenterUser. Il accountId campo specifica l'account proprietario dell'entità utilizzata per ottenere le credenziali.

  • Il userId campo contiene l' AWS identificatore Builder ID per l'utente.

  • Il identityStoreArn campo contiene l'ARN del ruolo per l'account e l'utente dell'archivio di identità.

Il recipientAccountId campo contiene l'ID dell'account di fatturazione per lo spazio, con un valore di esempio di 111122223333.

Per ulteriori informazioni, vedete l'elemento CloudTrail userIdentity.

{
	"eventVersion": "1.09",
	"userIdentity": {
		"type": "IdentityCenterUser",
		"accountId": "432677196278",
		"onBehalfOf": {
			"userId": "user-ID",
			"identityStoreArn": "arn:aws:identitystore::432677196278:identitystore/d-9067642ac7"
		},
		"credentialId": "ABCDefGhiJKLMn11Lmn_1AbCDEFgHijk-AaBCdEFGHIjKLmnOPqrs11abEXAMPLE"
	},
	"eventTime": "2023-05-18T17:10:50Z",
	"eventSource": "codecatalyst.amazonaws.com",
	"eventName": "CreateDevEnvironment",
	"awsRegion": "us-west-2",
	"sourceIPAddress": "192.168.0.1",
	"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:102.0) Gecko/20100101 Firefox/102.0",
	"requestParameters": {
		"spaceName": "MySpace",
		"projectName": "MyProject",
		"ides": [{
			"runtime": "public.ecr.aws/q6e8p2q0/cloud9-ide-runtime:2.5.1",
			"name": "Cloud9"
		}],
		"instanceType": "dev.standard1.small",
		"inactivityTimeoutMinutes": 15,
		"persistentStorage": {
			"sizeInGiB": 16
		}
	},
	"responseElements": {
		"spaceName": "MySpace",
		"projectName": "MyProject",
		"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 "
	},
	"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
	"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
	"readOnly": false,
	"eventType": "AwsApiCall",
	"managementEvent": true,
	"recipientAccountId": "111122223333",
	"sharedEventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
	"eventCategory": "Management"
}
Nota

In alcuni casi, lo user agent potrebbe non essere noto. In questo caso, CodeCatalyst fornirà il valore di Unknown nel userAgent campo dell' CloudTrail evento.

Interrogazione dei percorsi CodeCatalyst degli eventi

Puoi creare e gestire query per i tuoi CloudTrail log utilizzando una tabella di query in Amazon Athena. Per ulteriori informazioni sulla creazione di una query, consulta la sezione Interrogazione dei AWS CloudTrail log nella Amazon Athena User Guide.