Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Überwachen Sie den Connector für SCEP
Die Überwachung ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Verfügbarkeit und Leistung von Connector for SCEP und Ihren anderen Lösungen. AWS AWS bietet die folgenden Überwachungstools, um Connector for SCEP zu überwachen, zu melden, wenn etwas nicht stimmt, und gegebenenfalls automatische Maßnahmen zu ergreifen:
+ *AWS CloudTrail* erfasst API-Aufrufe und zugehörige Ereignisse, die von oder im Namen Ihres AWS-Konto -Kontos erfolgten, und übermittelt die Protokolldateien an einen von Ihnen angegebenen Amazon-S3-Bucket. Sie können feststellen, welche Benutzer und Konten angerufen wurden AWS APIs, von welcher Quell-IP-Adresse aus die Anrufe getätigt wurden und wann die Anrufe erfolgten.
Wenn Sie CloudTrail Datenereignisse überwachen, enthalten die Protokolle eine Liste aller aktuellen Anfragen von Client-Geräten. Zu den Datenereignissen gehören Informationen zur Identifizierung von Client-Geräten wie IP-Adresse, Art des ausgeführten Vorgangs, Fehlercode und detaillierte Meldungen, falls der Vorgang zu einem `failed` Status führt. Weitere Informationen finden Sie im [AWS CloudTrail -Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
+ *Amazon EventBridge* ist ein serverloser Event-Bus-Service, der es einfach macht, Ihre Anwendungen mit Daten aus einer Vielzahl von Quellen zu verbinden. EventBridge stellt einen Stream von Echtzeitdaten aus Ihren eigenen Anwendungen, Software-as-a-Service (SaaS) -Anwendungen und AWS Diensten bereit und leitet diese Daten an Ziele wie Lambda und CloudWatch Logs weiter. Auf diese Weise können Sie Ereignisse überwachen, die in Services auftreten, und ereignisgesteuerte Architekturen erstellen. Weitere Informationen finden Sie im [ EventBridge Amazon-Benutzerhandbuch](https://docs.aws.amazon.com/eventbridge/latest/userguide/).
**Topics**
+ [Automatisieren Sie Connector für SCEP mit EventBridge](c4scep-monitor-eventbridge-events.md)
+ [Log Connector für SCEP-API-Aufrufe mit AWS CloudTrail](logging-using-cloudtrail-c4scep.md)
# Automatisieren Sie Connector für SCEP mit EventBridge
Sie können [Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-cwe-now-eb.html) verwenden EventBridge, um Ihre AWS Services zu automatisieren und automatisch auf Systemereignisse wie Probleme mit der Anwendungsverfügbarkeit oder Ressourcenänderungen zu reagieren. Ereignisse aus AWS Services werden nahezu EventBridge in Echtzeit übermittelt. Sie können einfache Regeln schreiben, um anzugeben, welche Ereignisse für Sie von Interesse sind und welche automatisierten Aktionen ergriffen werden sollen, wenn ein Ereignis einer Regel entspricht. EventBridge werden mindestens einmal veröffentlicht. Weitere Informationen finden Sie unter [Regeln erstellen, die auf Ereignisse reagieren in EventBridge](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/Create-CloudWatch-Events-Rule.html).
CloudWatch Ereignisse werden mithilfe von in Aktionen umgewandelt EventBridge. Mit können Sie Ereignisse verwenden EventBridge, um Ziele auszulösen. Weitere Informationen finden Sie unter [Was ist Amazon EventBridge?](https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html)
## Konnektor für SCEP-Ereignistypen
### Die Ausstellung des Zertifikats war erfolgreich
Der Connector für SCEP sendet ein `Certificate Issuance Succeeded` Ereignis an, EventBridge wenn wir als Antwort auf eine Anfrage ein Zertifikat ausstellen. `PkiOperationPost`
Im Folgenden finden Sie Beispieldaten für das Ereignis.
```
{
"version": "0",
"id": "event_ID",
"detail-type": "Certificate Issuance Succeeded",
"source": "aws.pca-connector-scep",
"account": "account",
"time": "2024-09-12T19:14:56Z",
"region": "region",
"resources":[
"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566"
],
"detail": {
"result": "success",
"requestType": "PkiOperationPost",
"certificateArn": "arn:aws:acm-pca:region:account:certificate-authority/CA_ID/certificate/certificate_ID"
}
}
```
### Die Ausstellung des Zertifikats ist fehlgeschlagen
Der Connector für SCEP sendet ein `Certificate Issuance Failed` Ereignis, EventBridge wenn wir als Antwort auf eine Anfrage kein Zertifikat ausstellen können. `PkiOperationPost`
Im Folgenden finden Sie Beispieldaten für das Ereignis.
```
{
"version": "0",
"id": "event_ID",
"detail-type": "Certificate Issuance Failed",
"source": "aws.pca-connector-scep",
"account": "account",
"time": "2024-09-12T19:14:56Z",
"region": "region",
"resources":[
"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566"
],
"detail": {
"result": "failure",
"requestType": "PkiOperationPost",
"reason": "The certificate authority is not active."
}
}
```
### Der Abruf des Zertifikats der Zertifizierungsstelle war erfolgreich
Der Connector für SCEP sendet ein `Certificate Authority Certificate Retrieval Succeeded` Ereignis, EventBridge wenn wir eine `GetCACert` Anfrage erhalten und das private CA-Zertifikat des Connectors erfolgreich abgerufen haben.
Im Folgenden finden Sie Beispieldaten für das Ereignis.
```
{
"version": "0",
"id": "event_ID",
"detail-type": "Certificate Authority Certificate Retrieval Succeeded",
"source": "aws.pca-connector-scep",
"account": "account",
"time": "2024-09-12T19:14:56Z",
"region": "region",
"resources":[
"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566"
],
"detail": {
"result": "success",
"requestType": "GetCACert"
}
}
```
### Fehler beim Abrufen des Zertifikats der Zertifizierungsstelle
Der Connector für SCEP sendet ein `Certificate Authority Certificate Retrieval Failed` Ereignis, EventBridge wenn wir eine `GetCACert` Anfrage erhalten und das private CA-Zertifikat des Connectors nicht abrufen können. Das Ereignis enthält den Grund für den Fehler.
Im Folgenden finden Sie Beispieldaten für das Ereignis.
```
{
"version": "0",
"id": "event_ID",
"detail-type": "Certificate Authority Certificate Retrieval Failed",
"source": "aws.pca-connector-scep",
"account": "account",
"time": "2024-09-12T19:14:56Z",
"region": "region",
"resources":[
"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566"
],
"detail": {
"result": "failure",
"requestType": "GetCACert",
"reason": "The certificate authority certificate validity must be at least one year from today."
}
}
```
### Der Abruf des Zertifikats der Zertifizierungsstelle war erfolgreich
Der Connector für SCEP sendet ein `Certificate Authority Certificate Retrieval Succeeded` Ereignis, EventBridge wenn wir eine `GetCACert` Anfrage erhalten und das private CA-Zertifikat des Connectors erfolgreich abgerufen haben.
Im Folgenden finden Sie Beispieldaten für das Ereignis.
```
{
"version": "0",
"id": "event_ID",
"detail-type": "Certificate Authority Certificate Retrieval Succeeded",
"source": "aws.pca-connector-scep",
"account": "account",
"time": "2024-09-12T19:14:56Z",
"region": "region",
"resources":[
"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566"
],
"detail": {
"result": "success",
"requestType": "GetCACert"
}
}
```
### Der Abruf der Funktionen der Zertifizierungsstelle war erfolgreich
Der Connector für SCEP sendet ein `Certificate Authority Capabilities Retrieval Succeeded` Ereignis, EventBridge wenn wir eine `GetCACaps` SCEP-Anfrage erhalten und die Funktionen der CA erfolgreich abgerufen haben.
Im Folgenden finden Sie Beispieldaten für das Ereignis.
```
```
### Fehler beim Abrufen der Funktionen der Zertifizierungsstelle
Der Connector für SCEP sendet ein `Certificate Authority Capabilities Retrieval Failed` Ereignis, EventBridge wenn wir eine `GetCACaps` SCEP-Anfrage erhalten und die Funktionen der CA nicht abrufen können. Wir geben den Grund für das Scheitern in das Ereignis ein.
Im Folgenden finden Sie Beispieldaten für das Ereignis.
```
{
"resources":
[
"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"arn:aws:pca-connector-scep:us-east-1:111122223333:connector11223344-1234-1122-2233-112233445566"
],
"detailType":"Certificate Authority Capabilities Retrieval Failed",
"detail": {
"result":"failure",
"requestType":"GetCACaps",
"reason":"The request was denied due to request throttling."
},
"source":"aws.pca-connector-scep","accountId":"111122223333"
}
```
### Nicht unterstützter Vorgang aufgerufen
**Nicht unterstützter Vorgang aufgerufen**
Connector für SCEP sendet ein `Unsupported Operation Invoked` Ereignis an, EventBridge wenn der an den Connector-Endpunkt gesendete Vorgang nicht unterstützt wird oder unbekannt ist.
```
{
"version": "0",
"id": "event_ID",
"detail-type": "Unsupported Operation Invoked",
"source": "aws.pca-connector-scep",
"account": "account",
"time": "2024-09-12T19:14:56Z",
"region": "region",
"resources":[
"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
"arn:aws:pca-connector-scep:us-east-1:111122223333:connector/11223344-1234-1122-2233-112233445566"
],
"detail": {}
}
```
## Erstellen Sie eine Regel EventBridge
In können Sie Regeln erstellen EventBridge, die auf Ereignisse reagieren, die von aufgezeichnet wurden CloudTrail. Um eine Regel zu erstellen, die alle von Connector for SCEP protokollierten Ereignisse enthält, legen Sie die Quelle auf `aws.pca-connector-scep` fest. Weitere Informationen zu Regeln finden Sie unter [Eine Regel in Amazon erstellen EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-get-started.html#eb-gs-create-rule).
# Log Connector für SCEP-API-Aufrufe mit AWS CloudTrail
Connector for Simple Certificate Enrollment Protocol (SCEP) ist in einen Dienst integriert AWS CloudTrail, der eine Aufzeichnung der von einem Benutzer, einer Rolle, einem Client oder einem Dienst ausgeführten Aktionen bereitstellt. AWS CloudTrail erfasst alle API-Aufrufe für Connector for SCEP als Ereignisse. Zu den erfassten Aufrufen gehören Aufrufe von der Connector für SCEP-Konsole und Codeaufrufen an den Connector für SCEP-API-Operationen. Wenn Sie einen Trail erstellen, können Sie die kontinuierliche Übermittlung von CloudTrail Ereignissen an einen Amazon S3 S3-Bucket aktivieren, einschließlich Ereignissen für Connector for SCEP. Wenn Sie keinen Trail konfigurieren, können Sie die neuesten Ereignisse trotzdem in der CloudTrail Konsole im **Ereignisverlauf** anzeigen. Anhand der von gesammelten Informationen können Sie die Anfrage CloudTrail, die an Connector for SCEP gestellt wurde, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details ermitteln.
Weitere Informationen CloudTrail dazu finden Sie im [AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).
## Konnektor für SCEP-Informationen in CloudTrail
CloudTrail ist auf Ihrem aktiviert AWS-Konto , wenn Sie das Konto erstellen. Wenn im Connector für SCEP eine Aktivität auftritt, wird diese Aktivität zusammen mit anderen AWS Dienstereignissen im CloudTrail **Ereignisverlauf in einem Ereignis** aufgezeichnet. Sie können aktuelle Ereignisse in Ihrem AWS-Konto anzeigen, suchen und herunterladen. Weitere Informationen finden Sie unter [Ereignisse mit CloudTrail Ereignisverlauf anzeigen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Für eine fortlaufende Aufzeichnung der Ereignisse in Ihrem AWS-Konto, einschließlich der Ereignisse für Connector for SCEP, erstellen Sie einen Trail. Ein *Trail* ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Wenn Sie einen Trail in der Konsole anlegen, gilt dieser für alle AWS-Regionen-Regionen. Der Trail protokolliert Ereignisse aus allen Regionen der AWS Partition und übermittelt die Protokolldateien an den von Ihnen angegebenen Amazon S3 S3-Bucket. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie hier:
+ [Übersicht zum Erstellen eines Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail unterstützte Dienste und Integrationen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [Konfiguration von Amazon SNS SNS-Benachrichtigungen für CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Empfangen von CloudTrail Protokolldateien aus mehreren Regionen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) und [Empfangen von CloudTrail Protokolldateien von mehreren Konten](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Alle Connector for SCEP-Aktionen werden von der [Connector for SCEP-API-Referenz](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/Welcome.html) protokolliert CloudTrail und sind in dieser Dokumentation dokumentiert. Beispielsweise generieren Aufrufe von `GetConnector` und `CreateChallenge` Aktionen Einträge in den CloudTrail Protokolldateien. `CreateConnector`
Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:
+ Ob die Anfrage mit Root- oder AWS Identity and Access Management (IAM-) Benutzeranmeldedaten gestellt wurde.
+ Gibt an, ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen Verbundbenutzer gesendet wurde.
+ Ob die Anfrage von einem anderen AWS Dienst gestellt wurde.
+ Ob die Anfrage von einem SCEP-Clientgerät gestellt wurde.
Weitere Informationen finden Sie unter [CloudTrail -Element userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Konnektor für SCEP-Verwaltungsereignisse
Connector for SCEP lässt sich in Connector for SCEP integrieren, CloudTrail um API-Aktionen aufzuzeichnen, die von einem Benutzer, einer Rolle oder einem AWS Dienst ausgeführt wurden. Sie können CloudTrail den Connector für SCEP-API-Anfragen in Echtzeit überwachen und Protokolle in Amazon Simple Storage Service, Amazon CloudWatch Logs und Amazon CloudWatch Events speichern. Connector für SCEP unterstützt die Protokollierung der folgenden Aktionen als Ereignisse in CloudTrail Protokolldateien:
+ [CreateChallenge](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_CreateChallenge.html)
+ [CreateConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_CreateConnector.html)
+ [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)
+ [GetChallengeMetadata](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengeMetadata.html)
+ [GetChallengePassword](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengePassword.html)
+ [DeleteConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_DeleteConnector.html)
+ [DeleteChallenge](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_DeleteChallenge.html)
## Konnektor für SCEP-Datenereignisse in CloudTrail
[Datenereignisse](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events) liefern Informationen über die Ressourcenoperationen, die auf oder in einer Ressource ausgeführt werden, z. B. wenn Ihr Client eine `GetCACaps` SCEP-Nachricht an einen Connector-Endpunkt sendet. Sie werden auch als Vorgänge auf Datenebene bezeichnet. Datenereignisse sind oft Aktivitäten mit hohem Volume. Standardmäßig protokolliert CloudTrail es keine Datenereignisse, und der CloudTrail **Ereignisverlauf** zeichnet sie nicht auf.
Für Datenereignisse werden zusätzliche Gebühren fällig. Weitere Informationen zur CloudTrail Preisgestaltung finden Sie unter [AWS CloudTrail Preisgestaltung](https://aws.amazon.com/cloudtrail/pricing/).
Sie können Datenereignisse für den `AWS::PCAConnectorSCEP::Connector` Ressourcentyp mithilfe der CloudTrail Konsole oder CloudTrail API-Operationen protokollieren. AWS CLI Weitere Informationen zum Protokollieren von Datenereignissen finden Sie unter [Protokollieren von Datenereignissen mit dem AWS-Managementkonsole](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events-console) und [Protokollieren von Datenereignissen mit dem AWS Command Line Interface](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#creating-data-event-selectors-with-the-AWS-CLI) im *AWS CloudTrail -Benutzerhandbuch*.
In der folgenden Tabelle ist der Ressourcentyp Connector für SCEP aufgeführt, für den Sie Datenereignisse protokollieren können. In der Spalte **Datenereignistyp (Konsole)** wird der Wert angezeigt, den Sie in der Liste **Datenereignistyp** auf der CloudTrail Konsole auswählen können. In der **Wertspalte resources.type wird** der `resources.type` Wert angezeigt, den Sie bei der Konfiguration erweiterter Event-Selektoren mithilfe von oder angeben würden. AWS CLI CloudTrail APIs In der CloudTrail Spalte ** APIs Protokollierte Daten werden** die API-Aufrufe angezeigt, die CloudTrail für den Ressourcentyp protokolliert wurden.
| Typ des Datenereignisses (Konsole) | resources.type-Wert | Daten, die APIs protokolliert wurden CloudTrail |
| --- | --- | --- |
| Konnektor | AWS::PCAConnectorSCEP::Connector | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/privateca/latest/userguide/logging-using-cloudtrail-c4scep.html) |
Sie können erweiterte Event-Selektoren so konfigurieren, dass sie nach den Feldern `eventName`, `readOnly` und `resources.ARN` filtern, sodass nur die Ereignisse protokolliert werden, die für Sie wichtig sind. Das folgende Beispiel ist die JSON-Ansicht einer Datenereigniskonfiguration, die nur Ereignisse für eine bestimmte Funktion protokolliert. Weitere Informationen zu diesen Kontingenten finden Sie unter [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html) in der*AWS CloudTrail -API-Referenz*.
```
[
{
"name": "connector-scep-events",
"fieldSelectors": [
{
"field": "eventCategory",
"equals": [
"Data"
]
},
{
"field": "resources.type",
"equals": [
"AWS::PCAConnectorSCEP::Connector"
]
},
{
"field": "resources.ARN",
"equals": [
"arn:aws:pca-connector-scep:US West (N. California):111122223333:connector/11223344-1122-2233-3344-cae95a00d2a7"
]
}
]
}
]
```
## Beispieleinträge
Ein Trail ist eine Konfiguration, die die Übertragung von Ereignissen als Protokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket ermöglicht. CloudTrail Protokolldateien enthalten einen oder mehrere Protokolleinträge. Ein Ereignis stellt eine einzelne Anforderung aus einer beliebigen Quelle dar und enthält Informationen über die angeforderte Aktion, Datum und Uhrzeit der Aktion, Anforderungsparameter usw. CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API-Aufrufe, sodass sie nicht in einer bestimmten Reihenfolge angezeigt werden.
**Beispiel 1: Verwaltungsereignis, `CreateConnector`**
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der die `CreateConnector` Aktion demonstriert.
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AABB1122CCDD4455HHJJ1:11cc33nn2a97724dc48a89071111111111",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AABB1122CCDD4455HHJJ1",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "my-user-name"
},
"attributes": {
"creationDate": "2024-08-16T17:46:41Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2024-08-16T17:48:07Z",
"eventSource": "pca-connector-scep.amazonaws.com",
"eventName": "CreateConnector",
"awsRegion": "us-east-1",
"sourceIPAddress": "10.0.0.0",
"userAgent": "Python/3.11.8 Darwin/22.6.0 exe/x86_64",
"requestParameters": {
"ClientToken": "11223344-2222-3333-4444-666555444555",
"CertificateAuthorityArn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"
},
"responseElements": {
"ConnectorArn": "arn:aws:pca-connector-scep:us-east-1:111122223333:connector/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
},
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
**Beispiel 2: Management-Ereignis, `CreateChallenge`**
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der die `CreateChallenge` Aktion demonstriert.
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AABB1122CCDD4455HHJJ1:11cc33nn2a97724dc48a89071111111111",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AABB1122CCDD4455HHJJ1",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "user-name"
},
"attributes": {
"creationDate": "2024-08-16T17:46:41Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2024-08-16T17:47:52Z",
"eventSource": "pca-connector-scep.amazonaws.com",
"eventName": "CreateChallenge",
"awsRegion": "us-east-1",
"sourceIPAddress": "10.0.0.0",
"userAgent": "Python/3.11.8 Darwin/22.6.0 exe/x86_64",
"requestParameters": {
"ConnectorArn": "arn:aws:pca-connector-scep:us-east-1:111122223333:connector/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"ClientToken": "11223344-2222-3333-4444-666555444555"
},
"responseElements": {
"Challenge": {
"Arn": "arn:aws:pca-connector-scep:us-east-1:111122223333:connector/9cac40bc-acba-412e-9a24-f255ef2fe79a/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
"ConnectorArn": "arn:aws:pca-connector-scep:us-east-1:111122223333:connector/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"CreatedAt": 1723830472.942,
"Password": "***",
"UpdatedAt": 1723830472.942
}
},
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
**Beispiel 3: Verwaltungsereignis, `GetChallengePassword`**
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der die `GetChallengePassword` Aktion demonstriert.
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AABB1122CCDD4455HHJJ1:11cc33nn2a97724dc48a89071111111111",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AABB1122CCDD4455HHJJ1",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "905418114790",
"userName": "111122223333"
},
"attributes": {
"creationDate": "2024-08-16T17:55:01Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "signin.amazonaws.com"
},
"eventTime": "2024-08-16T17:55:54Z",
"eventSource": "pca-connector-scep.amazonaws.com",
"eventName": "GetChallengePassword",
"awsRegion": "us-east-1",
"sourceIPAddress": "10.0.0.0",
"userAgent": "Python/3.11.8 Darwin/22.6.0 exe/x86_64",
"requestParameters": {
"ChallengeArn": "arn:aws:pca-connector-scep:us-east-1:111122223333:challenge/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333"
},
"responseElements": null,
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
**Beispiel 4: Datenereignis, `PkiOperationPost`**
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der einen fehlgeschlagenen `PkiOperationPost` Anruf demonstriert. Das Protokoll enthält einen Fehlercode und eine Fehlermeldung mit einer Erklärung des Fehlers.
```
{
"eventVersion": "1.10",
"userIdentity": {
"type": "FederatedUser",
"principalId": "111122223333",
"accountId": "111122223333"
},
"eventTime": "2024-08-16T17:40:09Z",
"eventSource": "pca-connector-scep.amazonaws.com",
"eventName": "PkiOperationPost",
"awsRegion": "us-east-1",
"sourceIPAddress": "10.0.0.0",
"userAgent": "Python/3.11.8 Darwin/22.6.0 exe/x86_64",
"errorCode": "BadRequestException",
"errorMessage": "The certificate authority is not in a valid state for issuing certificates (Service: AcmPca, Status Code: 400, Request ID: a1b2c3d4-5678-90ab-cdef-EXAMPLE55555)",
"requestParameters": null,
"responseElements": null,
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::PCAConnectorSCEP::Connector",
"ARN": "arn:aws:pca-connector-scep:us-east-1:111122223333:connector/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333"
}
],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "905418114790",
"eventCategory": "Data",
"tlsDetails": {
"clientProvidedHostHeader": "111122223333-a1b2c3d4-5678-90ab-cdef-EXAMPLE33333.enroll.pca-connector-scep.us-east-1.api.aws"
}
}
```