本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 記錄 AWS Private Certificate Authority API通話 AWS CloudTrail
AWS Private Certificate Authority 與 整合 AWS CloudTrail,此服務提供 AWS Private CA. CloudTrail captures AWS 中的使用者、角色或服務所採取動作的記錄,並將 的API呼叫和簽署操作 AWS Private CA 作為事件。擷取的呼叫包括來自 AWS Private CA 主控台的呼叫,以及對 操作的 AWS Private CA API程式碼呼叫。如果您建立追蹤,則可以啟用 CloudTrail 事件連續交付至 Amazon S3 儲存貯體,包括 的事件 AWS Private CA。如果您未設定追蹤,仍然可以在 事件歷史記錄 中檢視 CloudTrail 主控台中的最新事件。 使用 所收集的資訊 CloudTrail,您可以判斷對 提出的請求 AWS Private CA、提出請求的 IP 地址、提出請求的人員、提出的時間,以及其他詳細資訊。
若要進一步了解 CloudTrail,請參閱 AWS CloudTrail 使用者指南 。
AWS Private CA 中的資訊 CloudTrail
CloudTrail 當您建立 帳戶 AWS 帳戶 時, 會在 上啟用 。當 中的活動發生時 AWS Private CA,該活動會與 CloudTrail 事件歷史記錄 中的其他 AWS 服務事件一起記錄在事件中。您可以在 中檢視、搜尋和下載最近的事件 AWS 帳戶。如需詳細資訊,請參閱檢視具有事件歷史記錄 CloudTrail 的事件。
若要持續記錄 中的事件 AWS 帳戶,包括 的事件 AWS Private CA,請建立追蹤。追蹤可讓 CloudTrail 將日誌檔案交付至 Amazon S3 儲存貯體。依預設,當您在主控台中建立追蹤時,該追蹤會套用至所有的 AWS 區域。追蹤會記錄 AWS 分割區中所有 區域的事件,並將日誌檔案傳送到您指定的 Amazon S3 儲存貯體。此外,您可以設定其他服務 AWS ,以進一步分析 CloudTrail 日誌中收集的事件資料並對其採取行動。如需詳細資訊,請參閱下列內容:
所有 AWS Private CA 動作都會由 記錄, CloudTrail 並記錄在AWS Private CA API參考 中。例如, 呼叫 ImportCACertificate
,IssueCertificate
而 CreateAuditReport
動作會在 CloudTrail 日誌檔案中產生項目。
每一筆事件或日誌專案都會包含產生請求者的資訊。身分資訊可協助您判斷下列事項:
-
請求是使用根還是 AWS Identity and Access Management (IAM) 使用者憑證提出。
-
提出該請求時,是否使用了特定角色或聯合身分使用者的暫時安全憑證。
-
該請求是否由其他 AWS 服務提出。
如需詳細資訊,請參閱 CloudTrail userIdentity元素 。
AWS Private CA 管理事件
AWS Private CA 與 整合, CloudTrail 以記錄 AWS 中的使用者、角色或服務所採取API的動作 AWS Private CA。您可以使用 CloudTrail 即時監控 AWS Private CA API請求,並在 Amazon Simple Storage Service、Amazon CloudWatch Logs 和 Amazon CloudWatch Events 中儲存日誌。 AWS Private CA 支援將下列動作和操作記錄為 CloudTrail 日誌檔案中的事件:
GenerateOCSPResponse
- 在 AWS Private CA 產生OCSP回應時觸發。SignCertificate
- 當您的用戶端呼叫 時產生IssueCertificate。SignOCSPResponse
- AWS Private CA 簽署OCSP回應時產生。GenerateCRL
- AWS Private CA 產生憑證撤銷清單時產生的 (CRL)。SignCACSR
- AWS Private CA 簽署憑證授權機構 (CA) 憑證簽署請求時產生 (CSR)。SignCRL
- AWS Private CA 簽署 時產生CRL。
範例 AWS Private CA 事件
追蹤是一種組態,可讓您將事件作為日誌檔案交付至您指定的 Amazon S3 儲存貯體。 CloudTrail 日誌檔案包含一或多個日誌項目。事件代表來自任何來源的單一請求,並包含所請求動作、動作日期和時間、請求參數等資訊。 CloudTrail log 檔案不是公開API呼叫的有序堆疊追蹤,因此它們不會以任何特定順序顯示。
以下是 AWS Private CA CloudTrail 事件的範例。
範例 1:管理事件、 IssueCertificate
下列範例顯示示範 IssueCertificate
動作的 CloudTrail 日誌項目。
{ "version":"0", "id":"
event_ID
", "detail-type":"ACM Private CA Certificate Issuance", "source":"aws.acm-pca", "account":"account
", "time":"2019-11-04T19:57:46Z", "region":"region
", "resources":[ "arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
", "arn:aws:acm-pca:region
:account
:certificate-authority/CA_ID
/certificate/certificate_ID
" ], "detail":{ "result":"success" } }
範例 2:管理事件、 ImportCertificateAuthorityCertificate
下列範例顯示示範 ImportCertificateAuthorityCertificate
動作的 CloudTrail 日誌項目。
{ "eventVersion":"1.05", "userIdentity":{ "type":"IAMUser", "principalId":"
account
", "arn":"arn:aws:iam::account
:user/name
", "accountId":"account
", "accessKeyId":"key_ID
" }, "eventTime":"2018-01-26T21:53:28Z", "eventSource":"acm-pca.amazonaws.com", "eventName":"ImportCertificateAuthorityCertificate", "awsRegion":"region
", "sourceIPAddress":"IP_address
", "userAgent":"agent
", "requestParameters":{ "certificateAuthorityArn":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
", "certificate":{ "hb":[ 45, 45, ...10 ], "offset":0, "isReadOnly":false, "bigEndian":true, "nativeByteOrder":false, "mark":-1, "position":1257, "limit":1257, "capacity":1257, "address":0 }, "certificateChain":{ "hb":[ 45, 45, ...10 ], "offset":0, "isReadOnly":false, "bigEndian":true, "nativeByteOrder":false, "mark":-1, "position":1139, "limit":1139, "capacity":1139, "address":0 } }, "responseElements":null, "requestID":"request_ID
", "eventID":"event_ID
", "eventType":"AwsApiCall", "recipientAccountId":"account
" }