Deren vous montre comment
consulter vos journaux CloudTrail

CloudTrailLogs_thumbnail.png

Mes journaux CloudTrail indiquent que mes informations d'identification racine sont utilisées pour authentifier des actions ou des appels avec mes ressources AWS, mais je n'ai pas effectué ce type d'action ou d'appel. Dois-je m'en préoccuper ?

Certains services AWS, comme Auto Scaling et Elastic Load Balancing, utilisent les informations d'identification racine au lieu d'un rôle IAM pour accéder aux ressources de votre compte AWS. Dans ce cas, vous voyez le nom du service dans le champ invokedBy de la déclaration JSON userIdentity.

Pour déterminer si l'activité d'API enregistrée a été lancée automatiquement par un service AWS en votre nom, examinez le contenu des journaux CloudTrail, notamment les champs invokedBy, eventSource, eventName, sourceIPAddress et userAgent .

Par exemple, Elastic Load Balancing s'ajuste automatique pour répondre aux besoins de capacité du trafic applicatif entrant, ce qui génère un journal d'événements CloudTrail similaire à celui-ci :

{

    "eventVersion": "1.02",

    "userIdentity": {

        "type": "Root",

        "principalId": "12345678912",

        "arn": "arn:aws:iam::12345678912:root",

        "accountId": "012345678912",

        "userName": "foo",

        "invokedBy": "elasticloadbalancing.amazonaws.com"

    },

    "eventTime": "2015-11-12T04:31:44Z",

    "eventSource": "ec2.amazonaws.com",

    "eventName": "DeleteNetworkInterface",

    "awsRegion": "ap-southeast-2",

    "sourceIPAddress": "elasticloadbalancing.amazonaws.com",

    "userAgent": "elasticloadbalancing.amazonaws.com",

    "errorCode": "Client.InvalidParameterValue",

    "errorMessage": "Network interface 'en-abcd1234' is currently in use.",

    "requestParameters": {

        "networkInterfaceId": "en-abcd1234"

    },

...

}

Dans cet exemple, ELB (sourceIPAddress) a demandé l'accès à la racine (invokedBy). Puis, ELB (userAgent) a demandé à supprimer une interface réseau (eventName) via l'API EC2.

Remarque : pour userName, utilisez votre alias de compte, et non le nom d'un utilisateur IAM.

Pour les champs sourceIPAddress et userAgent, un nom DNS s'affiche uniquement si l'identité est un service AWS. Vous pouvez ainsi identifier si l'action a été invoquée par un service AWS ou un rôle/utilisateur IAM.

Bien que cette action, si elle n'est pas souhaitée, puisse indiquer un problème de configuration du service ELB sur votre compte, du point de vue de la sécurité, ces appels sont inoffensifs.

informations d'identification racine, racine CloudTrail, racine, DeleteNetworkInterface, ELB, Auto Scaling, Elastic Load Balancing, CloudTrail


Cette page vous a-t-elle été utile ? Oui | Non

Retour au Centre de connaissances AWS Support

Vous avez besoin d'aide ? Consultez le site du Centre AWS Support

Date de publication : 26/07/2016