AWS Private CA informazioni in CloudTrail AWS Private CA eventi di gestione Eventi di esempio AWS Private CA

Registrazione delle chiamate AWS Private Certificate Authority API utilizzando AWS CloudTrail

AWS Private Certificate Authority è integrato con AWS CloudTrail, un servizio che fornisce una registrazione delle azioni intraprese da un utente, un ruolo o un AWS servizio in AWS Private CA. CloudTrail acquisisce le chiamate API e le operazioni di firma per gli eventi AWS Private CA as. Le chiamate acquisite includono chiamate dalla AWS Private CA console e chiamate di codice alle operazioni AWS Private CA API. Se crei un trail, puoi abilitare la distribuzione continua di CloudTrail eventi a un bucket Amazon S3, inclusi gli eventi per. AWS Private CA Se non configuri un percorso, puoi comunque visualizzare gli eventi più recenti nella CloudTrail console nella cronologia degli eventi. Utilizzando le informazioni raccolte da CloudTrail, puoi determinare a quale richiesta è stata inviata AWS Private CA, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e dettagli aggiuntivi.

Per ulteriori informazioni CloudTrail, consulta la Guida AWS CloudTrail per l'utente.

AWS Private CA informazioni in CloudTrail

CloudTrail è abilitato sul tuo account al Account AWS momento della creazione dell'account. Quando si verifica un'attività in AWS Private CA, tale attività viene registrata in un CloudTrail evento insieme ad altri eventi AWS di servizio nella cronologia degli eventi. Puoi visualizzare, cercare e scaricare eventi recenti in Account AWS. Per ulteriori informazioni, consulta Visualizzazione degli eventi con la cronologia degli CloudTrail eventi.

Per una registrazione continua degli eventi del tuo sito Account AWS, inclusi gli eventi di AWS Private CA, crea un percorso. Un trail consente di CloudTrail inviare file di log a un bucket Amazon S3. Per impostazione predefinita, quando si crea un percorso nella console, questo sarà valido in tutte le Regioni AWS. Il trail registra gli eventi di tutte le regioni della AWS partizione e consegna i file di log al bucket Amazon S3 specificato. Inoltre, puoi configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei log. CloudTrail Per ulteriori informazioni, consulta gli argomenti seguenti:

Tutte AWS Private CA le azioni vengono registrate CloudTrail e documentate nel riferimento AWS Private CA API. Ad esempio, le chiamate a IssueCertificate e ImportCACertificate le CreateAuditReport azioni generano voci nei file di CloudTrail registro.

Ogni evento o voce di log contiene informazioni sull'utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:

Se la richiesta è stata effettuata con credenziali utente root o AWS Identity and Access Management (IAM).
Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.
Se la richiesta è stata effettuata da un altro AWS servizio.

Per ulteriori informazioni, consulta Elemento CloudTrail userIdentity.

AWS Private CA eventi di gestione

AWS Private CA si integra con CloudTrail per registrare le azioni API eseguite da un utente, un ruolo o un AWS servizio in AWS Private CA. Puoi utilizzarlo CloudTrail per monitorare le richieste AWS Private CA API in tempo reale e archiviare i log in Amazon Simple Storage Service, Amazon CloudWatch Logs e Amazon CloudWatch Events. AWS Private CA supporta la registrazione delle seguenti azioni e operazioni come eventi nei CloudTrail file di registro:

CreateCertificateAuthority
CreateCertificateAuthorityAuditReport
DeleteCertificateAuthority
DeletePolicy
DescribeCertificateAuthority
GetCertificate
GetCertificateAuthorityCertificate
GetCertificateAuthorityCsr
GetPolicy
ImportCertificateAuthorityCertificate
IssueCertificate
ListTags
ListCertificateAuthorities
PutPolicy
RestoreCertificateAuthority
TagCertificateAuthority
UntagCertificateAuthority
UpdateCertificateAuthority
GenerateOCSPResponse- Attivato quando AWS Private CA genera una risposta OCSP.
SignCertificate- Generato quando il client chiama. IssueCertificate
SignOCSPResponse- Generato quando AWS Private CA firma una risposta OCSP.
GenerateCRL- Generato quando AWS Private CA genera un elenco di revoca dei certificati (CRL).
SignCACSR- Generato quando AWS Private CA firma una richiesta di firma del certificato (CSR) da parte dell'autorità di certificazione (CA).
SignCRL- Generato quando AWS Private CA firma un CRL.

Eventi di esempio AWS Private CA

Un trail è una configurazione che consente la distribuzione di eventi come file di log in un bucket Amazon S3 specificato dall'utente. CloudTrail i file di registro contengono una o più voci di registro. Un evento rappresenta una singola richiesta proveniente da qualsiasi fonte e include informazioni sull'azione richiesta, la data e l'ora dell'azione, i parametri della richiesta e così via. CloudTrail i file di registro non sono una traccia ordinata dello stack delle chiamate API pubbliche, quindi non vengono visualizzati in un ordine specifico.

Di seguito sono riportati alcuni esempi di AWS Private CA CloudTrail eventi.

Esempio 1: evento gestionale, `IssueCertificate`

L'esempio seguente mostra una voce di CloudTrail registro che illustra l'IssueCertificateazione.


{
   "version":"0",
   "id":"event_ID",
   "detail-type":"ACM Private CA Certificate Issuance",
   "source":"aws.acm-pca",
   "account":"account",
   "time":"2019-11-04T19:57:46Z",
   "region":"region",
   "resources":[
      "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
      "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
   ],
   "detail":{
      "result":"success"
   }
}

Esempio 2: evento di gestione, `ImportCertificateAuthorityCertificate`

L'esempio seguente mostra una voce di CloudTrail registro che illustra l'ImportCertificateAuthorityCertificateazione.


{
   "eventVersion":"1.05",
   "userIdentity":{
      "type":"IAMUser",
      "principalId":"account",
      "arn":"arn:aws:iam::account:user/name",
      "accountId":"account",
      "accessKeyId":"key_ID"
   },
   "eventTime":"2018-01-26T21:53:28Z",
   "eventSource":"acm-pca.amazonaws.com",
   "eventName":"ImportCertificateAuthorityCertificate",
   "awsRegion":"region",
   "sourceIPAddress":"IP_address",
   "userAgent":"agent",
   "requestParameters":{
      "certificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
      "certificate":{
         "hb":[
            45,
            45,
            ...10
         ],
         "offset":0,
         "isReadOnly":false,
         "bigEndian":true,
         "nativeByteOrder":false,
         "mark":-1,
         "position":1257,
         "limit":1257,
         "capacity":1257,
         "address":0
      },
      "certificateChain":{
         "hb":[
            45,
            45,
            ...10
         ],
         "offset":0,
         "isReadOnly":false,
         "bigEndian":true,
         "nativeByteOrder":false,
         "mark":-1,
         "position":1139,
         "limit":1139,
         "capacity":1139,
         "address":0
      }
   },
   "responseElements":null,
   "requestID":"request_ID",
   "eventID":"event_ID",
   "eventType":"AwsApiCall",
   "recipientAccountId":"account"
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Monitora AWS Private CA con eventi CloudWatch

Risoluzione dei problemi