AWS Private CA informações em CloudTrail AWS Private CA eventos de gerenciamento Exemplos de AWS Private CA eventos

Registrando chamadas de AWS Private Certificate Authority API usando AWS CloudTrail

AWS Private Certificate Authority é integrado com AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, função ou AWS serviço em AWS Private CA. CloudTrail captura chamadas de API e operações de assinatura para eventos AWS Private CA como. As chamadas capturadas incluem chamadas do AWS Private CA console e chamadas de código para as operações AWS Private CA da API. Se você criar uma trilha, poderá habilitar a entrega contínua de CloudTrail eventos para um bucket do Amazon S3, incluindo eventos para. AWS Private CA Se você não configurar uma trilha, ainda poderá ver os eventos mais recentes no CloudTrail console no Histórico de eventos. Usando as informações coletadas por CloudTrail, você pode determinar a solicitação que foi feita AWS Private CA, o endereço IP do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e detalhes adicionais.

Para saber mais sobre isso CloudTrail, consulte o Guia AWS CloudTrail do usuário.

AWS Private CA informações em CloudTrail

CloudTrail é ativado no seu Conta da AWS quando você cria a conta. Quando a atividade ocorre em AWS Private CA, essa atividade é registrada em um CloudTrail evento junto com outros eventos AWS de serviço no histórico de eventos. Você pode visualizar, pesquisar e baixar eventos recentes no seu Conta da AWS. Para obter mais informações, consulte Visualização de eventos com histórico de CloudTrail eventos.

Para um registro contínuo dos eventos em sua Conta da AWS, incluindo eventos para AWS Private CA, crie uma trilha. Uma trilha permite CloudTrail entregar arquivos de log para um bucket do Amazon S3. Por padrão, quando você cria uma trilha no console, ela é aplicada a todas as Regiões da AWS. A trilha registra eventos de todas as regiões na AWS partição e entrega os arquivos de log ao bucket do Amazon S3 que você especificar. Além disso, você pode configurar outros AWS serviços para analisar e agir com base nos dados de eventos coletados nos CloudTrail registros. Para obter mais informações, consulte:

Todas AWS Private CA as ações são registradas CloudTrail e documentadas na referência da AWS Private CA API. Por exemplo, chamadas para o ImportCACertificate IssueCertificate e CreateAuditReport as ações geram entradas nos arquivos de CloudTrail log.

Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar o seguinte:

Se a solicitação foi feita com credenciais de usuário root ou AWS Identity and Access Management (IAM).
Se a solicitação foi feita com credenciais de segurança temporárias de uma função ou de um usuário federado.
Se a solicitação foi feita por outro AWS serviço.

Para obter mais informações, consulte Elemento userIdentity do CloudTrail .

AWS Private CA eventos de gerenciamento

AWS Private CA se integra CloudTrail para registrar ações de API feitas por um usuário, uma função ou um AWS serviço em AWS Private CA. Você pode usar CloudTrail para monitorar solicitações de AWS Private CA API em tempo real e armazenar registros no Amazon Simple Storage Service, Amazon CloudWatch Logs e Amazon CloudWatch Events. AWS Private CA suporta o registro das seguintes ações e operações como eventos em arquivos de CloudTrail log:

CreateCertificateAuthority
CreateCertificateAuthorityAuditReport
DeleteCertificateAuthority
DeletePolicy
DescribeCertificateAuthority
GetCertificate
GetCertificateAuthorityCertificate
GetCertificateAuthorityCsr
GetPolicy
ImportCertificateAuthorityCertificate
IssueCertificate
ListTags
ListCertificateAuthorities
PutPolicy
RestoreCertificateAuthority
TagCertificateAuthority
UntagCertificateAuthority
UpdateCertificateAuthority
GenerateOCSPResponse- Acionado quando AWS Private CA gera uma resposta OCSP.
SignCertificate- Gerado quando seu cliente liga IssueCertificate.
SignOCSPResponse- Gerado quando AWS Private CA assina uma resposta OCSP.
GenerateCRL- Gerado quando AWS Private CA gera uma lista de revogação de certificados (CRL).
SignCACSR- Gerado quando AWS Private CA assina uma solicitação de assinatura de certificado (CSR) da autoridade de certificação (CA).
SignCRL- Gerado quando AWS Private CA assina uma CRL.

Exemplos de AWS Private CA eventos

Uma trilha é uma configuração que permite a entrega de eventos como arquivos de log para um bucket do Amazon S3 que você especificar. CloudTrail os arquivos de log contêm uma ou mais entradas de log. Um evento representa uma única solicitação de qualquer fonte e inclui informações sobre a ação solicitada, a data e a hora da ação, os parâmetros da solicitação e assim por diante. CloudTrail os arquivos de log não são um rastreamento de pilha ordenado das chamadas públicas de API, portanto, eles não aparecem em nenhuma ordem específica.

Veja a seguir exemplos de AWS Private CA CloudTrail eventos.

Exemplo 1: Evento de gerenciamento, `IssueCertificate`

O exemplo a seguir mostra uma entrada de CloudTrail registro que demonstra a IssueCertificate ação.


{
   "version":"0",
   "id":"event_ID",
   "detail-type":"ACM Private CA Certificate Issuance",
   "source":"aws.acm-pca",
   "account":"account",
   "time":"2019-11-04T19:57:46Z",
   "region":"region",
   "resources":[
      "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
      "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
   ],
   "detail":{
      "result":"success"
   }
}

Exemplo 2: Evento de gerenciamento, `ImportCertificateAuthorityCertificate`

O exemplo a seguir mostra uma entrada de CloudTrail registro que demonstra a ImportCertificateAuthorityCertificate ação.


{
   "eventVersion":"1.05",
   "userIdentity":{
      "type":"IAMUser",
      "principalId":"account",
      "arn":"arn:aws:iam::account:user/name",
      "accountId":"account",
      "accessKeyId":"key_ID"
   },
   "eventTime":"2018-01-26T21:53:28Z",
   "eventSource":"acm-pca.amazonaws.com",
   "eventName":"ImportCertificateAuthorityCertificate",
   "awsRegion":"region",
   "sourceIPAddress":"IP_address",
   "userAgent":"agent",
   "requestParameters":{
      "certificateAuthorityArn":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
      "certificate":{
         "hb":[
            45,
            45,
            ...10
         ],
         "offset":0,
         "isReadOnly":false,
         "bigEndian":true,
         "nativeByteOrder":false,
         "mark":-1,
         "position":1257,
         "limit":1257,
         "capacity":1257,
         "address":0
      },
      "certificateChain":{
         "hb":[
            45,
            45,
            ...10
         ],
         "offset":0,
         "isReadOnly":false,
         "bigEndian":true,
         "nativeByteOrder":false,
         "mark":-1,
         "position":1139,
         "limit":1139,
         "capacity":1139,
         "address":0
      }
   },
   "responseElements":null,
   "requestID":"request_ID",
   "eventID":"event_ID",
   "eventType":"AwsApiCall",
   "recipientAccountId":"account"
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Monitore AWS Private CA com CloudWatch eventos

Solução de problemas