Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Registrazione delle AWS Directory Service API chiamate tramite AWS CloudTrail

AWS Managed Microsoft AD API è integrato con AWS CloudTrail, un servizio che acquisisce le API chiamate effettuate da o per conto di AWS Managed Microsoft AD nel tuo computer Account AWS e invia i file di registro a un bucket Amazon S3 da te specificato. CloudTrail acquisisce le API chiamate dalla console AWS Managed Microsoft AD e dalle chiamate in codice a AWS Managed Microsoft ADAPIs. Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare quale richiesta è stata effettuata a AWS Managed Microsoft AD, l'indirizzo IP di origine da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e così via. Per ulteriori informazioni CloudTrail, consulta la Guida AWS CloudTrail per l'utente.

AWS Informazioni Microsoft AD gestite in CloudTrail

CloudTrail è abilitato sul tuo Account AWS quando crei l'account. Quando si verifica un'attività in AWS Managed Microsoft AD, tale attività viene registrata in un CloudTrail evento insieme ad altri eventi di AWS servizio nella Cronologia eventi. Puoi visualizzare, cercare e scaricare eventi recenti in Account AWS. Per ulteriori informazioni, consulta Visualizzazione degli eventi con la cronologia degli CloudTrail eventi.

Per una registrazione continua degli eventi nel tuo Account AWS, compresi gli eventi per AWS Managed Microsoft AD, crea un percorso. Un trail consente di CloudTrail inviare file di log a un bucket Amazon S3. Per impostazione predefinita, quando crei un percorso nella console, il percorso si applica a tutte le AWS regioni. Il trail registra gli eventi di tutte le regioni della AWS partizione e consegna i file di log al bucket Amazon S3 specificato. Inoltre, puoi configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei log. CloudTrail Per ulteriori informazioni, consulta gli argomenti seguenti:

Quando CloudTrail la registrazione è abilitata nel tuo Account AWS, tutte le API chiamate effettuate alle azioni di AWS Managed Microsoft AD vengono tracciate nei file di registro. AWS I record Microsoft AD gestiti vengono scritti insieme ad altri record AWS di servizio in un file di registro. CloudTrail determina quando creare e scrivere su un nuovo file in base a un periodo di tempo e alle dimensioni del file. Tutte le chiamate effettuate verso AWS Directory Service API o CLI vengono registrate da CloudTrail.

Ogni voce di log contiene informazioni sull'utente che ha generato la richiesta. Le informazioni sull'identità dell'utente nel registro consentono di determinare se la richiesta è stata effettuata con credenziali IAM utente o root, con credenziali di sicurezza temporanee per un ruolo o un utente federato o da un altro servizio. AWS Per ulteriori informazioni, consulta il userIdentitycampo nel riferimento agli CloudTrail eventi.

È possibile archiviare i file di log nel bucket per un periodo di tempo indeterminato, ma è anche possibile definire regole per il ciclo di vita di Amazon S3 per archiviare o eliminare automaticamente i file di log. Per impostazione predefinita, i file di registro sono crittografati utilizzando la crittografia lato server di Amazon S3 (). SSE

Puoi scegliere di CloudTrail pubblicare SNS notifiche Amazon quando vengono consegnati nuovi file di registro se desideri agire rapidamente dopo la consegna dei file di registro. Per ulteriori informazioni, consulta Configurazione di Amazon SNS Notifications.

Puoi anche aggregare i file di log di Microsoft AD AWS gestiti da più AWS regioni e Account AWS in un unico bucket Amazon S3. Per ulteriori informazioni, consulta Aggregazione dei file di CloudTrail log in un singolo bucket Amazon S3.

Informazioni sulle voci AWS gestite dei file di registro di Microsoft AD

CloudTrail i file di registro possono contenere una o più voci di registro, ognuna delle quali è composta da più eventi in JSON formato. Una voce di log rappresenta una singola richiesta emessa da qualsiasi origine e include informazioni sull'operazione richiesta, eventuali parametri, la data e l'ora dell'operazione e così via. Non è garantito che le voci di registro si trovino in un ordine particolare; in altre parole, non sono una traccia ordinata dello stack delle chiamate pubbliche. API

Le informazioni sensibili, ad esempio le password, i token di autenticazione, i commenti e i contenuti dei file, vengono incluse nelle voci di log.

L'esempio seguente mostra un esempio di voce di CloudTrail registro per AWS Managed Microsoft AD:

{
  "Records" : [
    {
      "eventVersion" : "1.02",
      "userIdentity" :
      {
        "type" : "IAMUser",
        "principalId" : "<user_id>",
        "arn" : "<user_arn>",
        "accountId" : "<account_id>",
        "accessKeyId" : "<access_key_id>",
        "userName" : "<username>"
      },
      "eventTime" : "<event_time>",
      "eventSource" : "ds.amazonaws.com",
      "eventName" : "CreateDirectory",
      "awsRegion" : "<region>",
      "sourceIPAddress" : "<IP_address>",
      "userAgent" : "<user_agent>",
      "requestParameters" :
      {
        "name" : "<name>",
        "shortName" : "<short_name>",
        "vpcSettings" :
        {
          "vpcId" : "<vpc_id>",
          "subnetIds" : [
            "<subnet_id_1>",
            "<subnet_id_2>"
          ]
        },
        "type" : "<size>",
        "setAsDefault" : <option>,
        "password" : "***OMITTED***"
      },
      "responseElements" :
      {
        "requestId" : "<request_id>",
        "directoryId" : "<directory_id>"
      },
      "requestID" : "<request_id>",
      "eventID" : "<event_id>",
      "eventType" : "AwsApiCall",
      "recipientAccountId" : "<account_id>"
    }
  ]
}