Registrar llamadas a la API de AWS Directory Service mediante AWS CloudTrail
La API de AWS Managed Microsoft AD está integrada con AWS CloudTrail, un servicio que captura las llamadas a la API realizadas por o en nombre de AWS Managed Microsoft AD en su Cuenta de AWS y envía los archivos de registro al bucket de Amazon S3 que especifique. CloudTrail obtiene las llamadas a la API desde la consola de AWS Managed Microsoft AD y de las llamadas de código a las API de AWS Managed Microsoft AD. Con la información recopilada por CloudTrail, puede identificar la solicitud que se realizó a AWS Managed Microsoft AD, la dirección IP de origen desde la que se realizó la solicitud, quién la realizó y cuándo lo hizo, etc. Para obtener más información sobre CloudTrail, consulte la Guía del usuario de AWS CloudTrail.
Información de AWS Managed Microsoft AD en CloudTrail
CloudTrail se habilita en su Cuenta de AWS cuando se crea la cuenta. Cuando se produce una actividad en AWS Managed Microsoft AD, dicha actividad se registra en un evento de CloudTrail junto con otros eventos del servicio de AWS en Historial de eventos. Puede ver, buscar y descargar eventos recientes en su Cuenta de AWS. Para obtener más información, consulte Ver eventos con el historial de eventos de CloudTrail.
Para mantener un registro continuo de los eventos de la Cuenta de AWS, incluidos los eventos de AWS Managed Microsoft AD, cree un registro de seguimiento. Un registro de seguimiento permite a CloudTrail enviar archivos de registro a un bucket de Amazon S3. De manera predeterminada, cuando se crea un registro de seguimiento en la consola, el registro de seguimiento se aplica a todas las regiones de AWS. El registro de seguimiento registra los eventos de todas las regiones de la partición de AWS y envía los archivos de registro al bucket de Amazon S3 especificado. También es posible configurar otros servicios de AWS para analizar en profundidad y actuar en función de los datos de eventos recopilados en los registros de CloudTrail. Para más información, consulte los siguientes temas:
Si está habilitado el registro de CloudTrail en su Cuenta de AWS, las llamadas a la API realizadas en AWS Managed Microsoft AD quedan reflejadas en archivos de registro. AWS Los registros de Managed Microsoft AD se crean junto con otros registros de servicios de AWS en un archivo de registro. CloudTrail determina cuándo debe crearse un nuevo archivo y escribir en él en función del periodo de tiempo y del tamaño del archivo. CloudTrail registra todas las llamadas realizadas a la API o CLI de Directory Service.
Cada entrada de registro contiene información sobre quién generó la solicitud. La información de identidad del usuario que figura en el log le ayudará a determinar si la solicitud se hizo con credenciales de usuario de IAM o raíz, con credenciales de seguridad temporales para un rol o un usuario federado, o bien mediante otro servicio de AWS. Para obtener más información, consulte el campo userIdentity en la Referencia de eventos de CloudTrail.
Puede almacenar los archivos de registro en su bucket durante todo el tiempo que desee, pero también puede definir reglas de ciclo de vida de Amazon S3 para archivar o eliminar archivos de registro automáticamente. De forma predeterminada, los archivos de registro se cifran mediante cifrado en el lado de servidor (SSE) de Amazon S3;.
Puede hacer que CloudTrail publique notificaciones de Amazon SNS cuando se entreguen nuevos archivos de registro si desea actuar rápidamente en ese momento. Para obtener más información, consulte Configuring Amazon SNS Notifications.
También puede agregar archivos de registro de AWS Managed Microsoft AD desde varias regiones de AWS y Cuentas de AWS en un solo bucket de Amazon S3. Para obtener más información, consulte Aggregating CloudTrail Log Files to a Single Amazon S3 Bucket.
Comprensión de las entradas de archivos de registro de AWS Managed Microsoft AD
Los archivos de registro de CloudTrail pueden contener una o varias entradas de registro, cada una de las cuales se compone de varios eventos en formato JSON. Una entrada de registro representa una única solicitud de cualquier origen e incluye información sobre la acción solicitada, los parámetros, la fecha y la hora de la acción, etcétera. No se garantiza que las entradas de registro sigan un orden específico; es decir, no son un rastro de la pila ordenada de las llamadas a las API públicas.
La información confidencial, como contraseñas, tokens de autenticación, comentarios de archivos y contenido de archivos aparecen en las entradas de log.
En el siguiente ejemplo se muestra un ejemplo de una entrada de registro de CloudTrail para AWS Managed Microsoft AD:
{ "Records" : [ { "eventVersion" : "1.02", "userIdentity" : { "type" : "IAMUser", "principalId" : "<user_id>", "arn" : "<user_arn>", "accountId" : "<account_id>", "accessKeyId" : "<access_key_id>", "userName" : "<username>" }, "eventTime" : "<event_time>", "eventSource" : "ds.amazonaws.com", "eventName" : "CreateDirectory", "awsRegion" : "<region>", "sourceIPAddress" : "<IP_address>", "userAgent" : "<user_agent>", "requestParameters" : { "name" : "<name>", "shortName" : "<short_name>", "vpcSettings" : { "vpcId" : "<vpc_id>", "subnetIds" : [ "<subnet_id_1>", "<subnet_id_2>" ] }, "type" : "<size>", "setAsDefault" :<option>, "password" : "***OMITTED***" }, "responseElements" : { "requestId" : "<request_id>", "directoryId" : "<directory_id>" }, "requestID" : "<request_id>", "eventID" : "<event_id>", "eventType" : "AwsApiCall", "recipientAccountId" : "<account_id>" } ] }
