As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Monitoramento de chamadas de API Contas da AWS usando o AWS CloudTrail registro
CodeCatalyst A Amazon está integrada com AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, função ou um AWS service (Serviço da AWS). CloudTrail captura chamadas de API feitas em nome de CodeCatalyst in connected Contas da AWS as events. Se você criar uma trilha, poderá habilitar a entrega contínua de CloudTrail eventos em um bucket do S3, incluindo eventos para CodeCatalyst. Se você não configurar uma trilha, ainda poderá ver os eventos mais recentes no CloudTrail console no Histórico de eventos.
CodeCatalyst suporta o registro das seguintes ações como eventos em arquivos de CloudTrail log:
-
Os eventos de gerenciamento de CodeCatalyst espaços serão registrados na Conta da AWS conta de cobrança designada para o espaço. Para ter mais informações, consulte CodeCatalyst eventos espaciais.
nota
Os eventos de dados para CodeCatalyst espaços podem ser acessados usando a CLI, conforme detalhado em. Acessando eventos registrados usando o registro de eventos
-
Eventos para recursos usados em ações CodeCatalyst de fluxo de trabalho que ocorrem em um Conta da AWS ambiente conectado serão registrados como eventos nesse Conta da AWS. Para ter mais informações, consulte CodeCatalyst conexões de conta e eventos de cobrança.
Importante
Embora várias contas possam ser associadas a um espaço, o CloudTrail registro de eventos em CodeCatalyst espaços e projetos se aplica somente à conta de faturamento.
A conta de faturamento de espaço é sua Conta da AWS que é cobrada por CodeCatalyst recursos além do nível AWS gratuito. Várias contas podem ser conectadas a um espaço, enquanto somente uma conta pode ser a conta de cobrança designada. A conta de cobrança ou contas adicionais conectadas ao espaço podem ter funções do IAM que são usadas para implantar AWS recursos e infraestrutura, como um cluster do Amazon ECS ou um bucket do S3, a partir de fluxos de trabalho. CodeCatalyst Você pode usar o fluxo de trabalho YAML para identificar aquele em Conta da AWS que você implantou.
nota
AWS os recursos que são implantados em contas conectadas para CodeCatalyst fluxos de trabalho não são registrados como parte do CloudTrail registro do espaço. CodeCatalyst Por exemplo, CodeCatalyst os recursos incluem um espaço ou projeto. AWS os recursos incluem um serviço Amazon ECS ou uma função Lambda. CloudTrail o registro deve ser configurado separadamente para cada Conta da AWS local em que os recursos são implantados.
CodeCatalyst o login em contas conectadas inclui as seguintes considerações:
-
O acesso aos CloudTrail eventos é gerenciado com o IAM na conta conectada e não na CodeCatalyst.
-
Conexões de terceiros, como a vinculação a um GitHub repositório, resultarão na gravação de nomes de recursos de terceiros nos CloudTrail registros.
nota
CloudTrail o registro de CodeCatalyst eventos está no nível do espaço e não isola os eventos pelos limites do projeto.
Para obter mais informações sobre CloudTrail, consulte o Guia AWS CloudTrail do usuário.
nota
Esta seção descreve o CloudTrail registro de todos os eventos registrados em um CodeCatalyst espaço conectado e aos Contas da AWS quais estão conectados. CodeCatalyst Além disso, para revisar todos os eventos registrados em um CodeCatalyst espaço, você também pode usar o AWS CLI aws codecatalyst list-event-logs comando e. Para ter mais informações, consulte Acessando eventos registrados usando o registro de eventos.
CodeCatalyst eventos espaciais
As ações CodeCatalyst para gerenciar recursos no nível do espaço e no nível do projeto são registradas na conta de cobrança do espaço. Para CloudTrail registrar um CodeCatalyst espaço, os eventos são registrados com as seguintes considerações.
-
CloudTrail os eventos se aplicam a todo o espaço e não têm como escopo nenhum projeto único.
-
Quando você conecta um Conta da AWS a um CodeCatalyst espaço, os eventos registráveis para conexões da conta serão registrados nele. Conta da AWS Depois de habilitar essa conexão, você não poderá desativá-la.
-
Quando você conecta um Conta da AWS a um CodeCatalyst espaço e o designa como a conta de cobrança do espaço, os eventos serão registrados nele. Conta da AWS Depois de habilitar essa conexão, você não poderá desativá-la.
Eventos para recursos em nível espacial e em nível de projeto são registrados somente na conta de faturamento. Para alterar a conta de CloudTrail destino, atualize a conta de cobrança em CodeCatalyst. No início do próximo ciclo de cobrança mensal, a alteração entra em vigor para a nova conta de cobrança em. CodeCatalyst Depois disso, a conta de CloudTrail destino é atualizada.
A seguir estão exemplos de eventos relacionados a ações CodeCatalyst para gerenciar recursos em nível espacial e em nível de projeto. AWS As seguintes APIs são lançadas por meio do SDK e da CLI. Os eventos serão registrados na conta de cobrança Conta da AWS especificada para o CodeCatalyst espaço.
CodeCatalyst conexões de conta e eventos de cobrança
Veja a seguir exemplos de eventos relacionados a ações em conexões CodeCatalyst de contas ou faturamento: AWS
-
AcceptConnection
-
AssociateIAMRoletoConnection
-
DeleteConnection
-
DissassociateIAMRolefromConnection
-
GetBillingAuthorization
-
GetConnection
-
GetPendingConnection
-
ListConnections
-
ListIAMRolesforConnection
-
PutBillingAuthorization
-
RejectConnection
CodeCatalyst informações em CloudTrail
CloudTrail é ativado em e Conta da AWS quando você cria essa conta. Quando você conecta isso Conta da AWS a um CodeCatalyst espaço, os eventos desse espaço que ocorrem nele Conta da AWS são registrados são registrados nessa CloudTrail conta da AWS. Os eventos registráveis CodeCatalyst são registrados como CloudTrail eventos nos CloudTrail registros na conta conectada e no histórico de eventos no CloudTrail console, junto com outros AWS eventos registráveis nessa conta.
Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar:
-
Se a solicitação foi feita por um usuário com o ID do AWS construtor.
-
Se a solicitação foi feita com credenciais de usuário root ou AWS Identity and Access Management (IAM).
-
Se a solicitação foi feita com credenciais de segurança temporárias de um perfil ou de um usuário federado.
-
Se a solicitação foi feita por outro AWS serviço.
Para obter mais informações, consulte o elemento CloudTrail userIdentity.
Acessando CloudTrail eventos
Para obter um registro contínuo dos eventos em sua Conta da AWS, incluindo eventos de CodeCatalyst atividades no Conta da AWS, crie uma trilha. Uma trilha permite CloudTrail entregar arquivos de log para um bucket do S3. Por padrão, quando você cria uma trilha no console, ela é aplicada a todas as Regiões da AWS. A trilha registra eventos de todas as regiões na AWS partição e entrega os arquivos de log ao bucket do S3 que você especificar. Além disso, você pode configurar outros AWS serviços para analisar e agir com base nos dados de eventos coletados nos CloudTrail registros. Para mais informações, consulte:
Uma trilha é uma configuração que permite a entrega de eventos como arquivos de log para um bucket do S3 que você especificar. CloudTrail os arquivos de log contêm uma ou mais entradas de log. Um evento representa uma única solicitação de qualquer fonte e inclui informações sobre a ação solicitada, a data e a hora da ação, os parâmetros da solicitação e assim por diante. CloudTrail os arquivos de log não são um rastreamento de pilha ordenado das chamadas públicas de API, portanto, eles não aparecem em nenhuma ordem específica.
Exemplo de evento de conexões de CodeCatalyst conta em AWS
O exemplo a seguir mostra uma entrada de CloudTrail registro que demonstra a ListConnections
ação. Para um Conta da AWS que está conectado ao espaço, ListConnections
é usado para visualizar todas as conexões da conta CodeCatalyst para isso Conta da AWS. O evento será registrado no local Conta da AWS especificado e o valor do arn
será o Amazon Resource Name (ARN) da função usada para a ação. accountId
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AKIAI44QH8DHBEXAMPLE", "arn": "
role-ARN
", "accountId": "account-ID
", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AKIAI44QH8DHBEXAMPLE", "arn": "role-ARN
", "accountId": "account-ID
", "userName": "user-name" }, "webIdFederationData": {}, "attributes": { "creationDate": "2022-09-06T15:04:31Z", "mfaAuthenticated": "false" } } }, "eventTime": "2022-09-06T15:08:43Z", "eventSource": "account-ID
", "eventName": "ListConnections", "awsRegion": "us-west-2", "sourceIPAddress": "192.168.0.1", "userAgent": "aws-cli/1.18.147 Python/2.7.18 Linux/5.4.207-126.363.amzn2int.x86_64 botocore/1.18.6", "requestParameters": null, "responseElements": null, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 ", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 ", "readOnly": true, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "account-ID
", "eventCategory": "Management" }
Exemplo de evento de recurso do CodeCatalyst projeto em AWS
O exemplo a seguir mostra uma entrada de CloudTrail registro que demonstra a CreateDevEnvironment
ação. Uma Conta da AWS que esteja conectada ao espaço e seja a conta de cobrança designada para o espaço é usada para eventos em nível de projeto no espaço, como a criação de um ambiente de desenvolvimento.
AbaixouserIdentity
, no accountId
campo, está o ID da conta do IAM Identity Center (432677196278
) que hospeda o pool de identidades para todas as identidades de ID do AWS Builder. Esse ID da conta contém as seguintes informações sobre o CodeCatalyst usuário do evento.
-
O
type
campo indica o tipo de entidade do IAM para a solicitação. Para CodeCatalyst eventos para recursos espaciais e de projetos, esse valor éIdentityCenterUser
. OaccountId
campo especifica a conta proprietária da entidade que foi usada para obter as credenciais. -
O
userId
campo contém o identificador de ID do AWS construtor para o usuário. -
O
identityStoreArn
campo contém o ARN da função para a conta e o usuário do repositório de identidades.
O recipientAccountId
campo contém o ID da conta de cobrança do espaço, com um valor de exemplo aqui de 111122223333.
Para obter mais informações, consulte o elemento CloudTrail userIdentity.
{ "eventVersion": "1.09", "userIdentity": { "type": "IdentityCenterUser", "accountId": "
432677196278
", "onBehalfOf": { "userId": "user-ID
", "identityStoreArn": "arn:aws:identitystore::432677196278:identitystore/d-9067642ac7
" }, "credentialId": "ABCDefGhiJKLMn11Lmn_1AbCDEFgHijk-AaBCdEFGHIjKLmnOPqrs11abEXAMPLE" }, "eventTime": "2023-05-18T17:10:50Z", "eventSource": "codecatalyst.amazonaws.com", "eventName": "CreateDevEnvironment", "awsRegion": "us-west-2", "sourceIPAddress": "192.168.0.1", "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:102.0) Gecko/20100101 Firefox/102.0", "requestParameters": { "spaceName": "MySpace", "projectName": "MyProject", "ides": [{ "runtime": "public.ecr.aws/q6e8p2q0/cloud9-ide-runtime:2.5.1", "name": "Cloud9" }], "instanceType": "dev.standard1.small", "inactivityTimeoutMinutes": 15, "persistentStorage": { "sizeInGiB": 16 } }, "responseElements": { "spaceName": "MySpace", "projectName": "MyProject", "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 " }, "requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333
", "sharedEventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111", "eventCategory": "Management" }
nota
Em certos eventos, o agente do usuário pode não ser conhecido. Nesse caso, CodeCatalyst fornecerá um valor de Unknown
no userAgent
campo no CloudTrail evento.
Consultando suas trilhas de CodeCatalyst eventos
Você pode criar e gerenciar consultas para seus CloudTrail registros usando uma tabela de consultas no Amazon Athena. Para obter mais informações sobre a criação de uma consulta, consulte Como consultar AWS CloudTrail registros no Guia do usuário do Amazon Athena.