Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Konektor Log untuk panggilan API SCEP menggunakan AWS CloudTrail
Connector for Simple Certificate Enrollment Protocol (SCEP) terintegrasi dengan AWS CloudTrail, layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, klien, atau layanan. AWS CloudTrail menangkap semua panggilan API untuk Connector untuk SCEP sebagai peristiwa. Panggilan yang diambil termasuk panggilan dari Konektor untuk konsol SCEP dan panggilan kode ke Konektor untuk operasi API SCEP. Jika Anda membuat jejak, Anda dapat mengaktifkan pengiriman CloudTrail acara secara terus menerus ke bucket Amazon S3, termasuk peristiwa untuk Konektor untuk SCEP. Jika Anda tidak mengonfigurasi jejak, Anda masih dapat melihat peristiwa terbaru di CloudTrail konsol dalam **Riwayat acara**. Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuat untuk Konektor untuk SCEP, alamat IP dari mana permintaan dibuat, siapa yang membuat permintaan, kapan dibuat, dan detail tambahan.
Untuk mempelajari selengkapnya CloudTrail, lihat [Panduan AWS CloudTrail Pengguna](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).
## Konektor untuk informasi SCEP di CloudTrail
CloudTrail diaktifkan pada Akun AWS saat Anda membuat akun. Ketika aktivitas terjadi di Konektor untuk SCEP, aktivitas tersebut direkam dalam suatu CloudTrail peristiwa bersama dengan peristiwa AWS layanan lainnya dalam **riwayat Acara**. Anda dapat melihat, mencari, dan mengunduh acara terbaru di situs Anda Akun AWS. Untuk informasi selengkapnya, lihat [Melihat peristiwa dengan Riwayat CloudTrail acara](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Untuk catatan acara yang sedang berlangsung di Anda Akun AWS, termasuk acara untuk Connector for SCEP, buat jejak. *Jejak* memungkinkan CloudTrail untuk mengirimkan file log ke bucket Amazon S3. Secara default, saat Anda membuat jejak di konsol, jejak tersebut berlaku untuk semua Wilayah AWS. Jejak mencatat peristiwa dari semua Wilayah di AWS partisi dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Selain itu, Anda dapat mengonfigurasi AWS layanan lain untuk menganalisis lebih lanjut dan menindaklanjuti data peristiwa yang dikumpulkan dalam CloudTrail log. Untuk informasi selengkapnya, lihat berikut:
+ [Gambaran umum untuk membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail layanan dan integrasi yang didukung](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [Mengonfigurasi notifikasi Amazon SNS untuk CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Menerima file CloudTrail log dari beberapa wilayah](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) dan [Menerima file CloudTrail log dari beberapa akun](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Semua Konektor untuk tindakan SCEP dicatat oleh CloudTrail dan didokumentasikan dalam referensi [Connector for SCEP API](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/Welcome.html). Misalnya, panggilan ke`CreateConnector`, `GetConnector` dan `CreateChallenge` tindakan menghasilkan entri dalam file CloudTrail log.
Setiap entri peristiwa atau log berisi informasi tentang entitas yang membuat permintaan tersebut. Informasi identitas membantu Anda menentukan hal berikut ini:
+ Apakah permintaan itu dibuat dengan kredenal pengguna root atau AWS Identity and Access Management (IAM).
+ Apakah permintaan tersebut dibuat dengan kredensial keamanan sementara untuk satu peran atau pengguna gabungan.
+ Apakah permintaan itu dibuat oleh AWS layanan lain.
+ Apakah permintaan dibuat oleh perangkat klien SCEP.
Untuk informasi selengkapnya, lihat [Elemen userIdentity CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Konektor untuk acara manajemen SCEP
Konektor untuk SCEP terintegrasi dengan CloudTrail merekam tindakan API yang dibuat oleh pengguna, peran, atau AWS layanan di Connector for SCEP. Anda dapat menggunakan CloudTrail untuk memantau Connector untuk permintaan SCEP API secara real time dan menyimpan log di Amazon Simple Storage Service, Amazon CloudWatch Logs, dan Amazon CloudWatch Events. Konektor untuk SCEP mendukung pencatatan tindakan berikut sebagai peristiwa dalam file CloudTrail log:
+ [CreateChallenge](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_CreateChallenge.html)
+ [CreateConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_CreateConnector.html)
+ [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)
+ [GetChallengeMetadata](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengeMetadata.html)
+ [GetChallengePassword](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengePassword.html)
+ [DeleteConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_DeleteConnector.html)
+ [DeleteChallenge](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_DeleteChallenge.html)
## Konektor untuk peristiwa data SCEP di CloudTrail
[Peristiwa data](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events) memberikan informasi tentang operasi sumber daya yang dilakukan pada atau di sumber daya misalnya, ketika klien Anda mengirim `GetCACaps` pesan SCEP ke titik akhir konektor. Ini juga dikenal sebagai operasi bidang data. Peristiwa data sering kali merupakan aktivitas bervolume tinggi. Secara default, CloudTrail tidak mencatat peristiwa data apa pun, dan **riwayat CloudTrail Peristiwa** tidak merekamnya.
Biaya tambahan berlaku untuk peristiwa data. Untuk informasi selengkapnya tentang CloudTrail harga, lihat [AWS CloudTrail Harga](https://aws.amazon.com/cloudtrail/pricing/).
Anda dapat mencatat peristiwa data untuk jenis `AWS::PCAConnectorSCEP::Connector` sumber daya menggunakan CloudTrail konsol AWS CLI, atau operasi CloudTrail API. Untuk informasi selengkapnya tentang cara mencatat peristiwa data, lihat [Mencatat peristiwa data dengan Konsol Manajemen AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events-console) dan [Logging peristiwa data dengan AWS Command Line Interface](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#creating-data-event-selectors-with-the-AWS-CLI) di *Panduan AWS CloudTrail Pengguna*.
Tabel berikut mencantumkan Konektor untuk jenis sumber daya SCEP yang dapat Anda log peristiwa data. Kolom **tipe peristiwa data (konsol)** menunjukkan nilai yang akan dipilih dari daftar **tipe peristiwa Data** di CloudTrail konsol. Kolom nilai **resources.type menunjukkan `resources.type` nilai**, yang akan Anda tentukan saat mengonfigurasi penyeleksi acara lanjutan menggunakan API atau. AWS CLI CloudTrail CloudTrailKolom **API Data yang dicatat ke** menampilkan panggilan API yang dicatat CloudTrail untuk jenis sumber daya.
| Jenis peristiwa data (konsol) | nilai resources.type | API data masuk CloudTrail |
| --- | --- | --- |
| Konektor | AWS::PCAConnectorSCEP::Connector | [See the AWS documentation website for more details](http://docs.aws.amazon.com/id_id/privateca/latest/userguide/logging-using-cloudtrail-c4scep.html) |
Anda dapat mengonfigurasi pemilih acara lanjutan untuk memfilter pada `eventName``readOnly`,, dan `resources.ARN` bidang untuk mencatat hanya peristiwa yang penting bagi Anda. Contoh berikut adalah tampilan JSON dari konfigurasi peristiwa data yang mencatat peristiwa untuk fungsi tertentu saja. Untuk informasi selengkapnya tentang bidang ini, lihat [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html)di *Referensi AWS CloudTrail API*.
```
[
{
"name": "connector-scep-events",
"fieldSelectors": [
{
"field": "eventCategory",
"equals": [
"Data"
]
},
{
"field": "resources.type",
"equals": [
"AWS::PCAConnectorSCEP::Connector"
]
},
{
"field": "resources.ARN",
"equals": [
"{{arn:aws:pca-connector-scep:US West (N. California):111122223333:connector/11223344-1122-2233-3344-cae95a00d2a7}}"
]
}
]
}
]
```
## Contoh entri
Trail adalah konfigurasi yang memungkinkan pengiriman peristiwa sebagai file log ke bucket Amazon S3 yang Anda tentukan. CloudTrail file log berisi satu atau lebih entri log. Peristiwa mewakili permintaan tunggal dari sumber manapun dan mencakup informasi tentang tindakan yang diminta, tanggal dan waktu tindakan, parameter permintaan, dan sebagainya. CloudTrail file log bukanlah jejak tumpukan yang diurutkan dari panggilan API publik, jadi file tersebut tidak muncul dalam urutan tertentu.
**Contoh 1: Acara manajemen, `CreateConnector`**
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `CreateConnector` tindakan.
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AABB1122CCDD4455HHJJ1:11cc33nn2a97724dc48a89071111111111",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AABB1122CCDD4455HHJJ1",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "my-user-name"
},
"attributes": {
"creationDate": "2024-08-16T17:46:41Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2024-08-16T17:48:07Z",
"eventSource": "pca-connector-scep.amazonaws.com",
"eventName": "CreateConnector",
"awsRegion": "us-east-1",
"sourceIPAddress": "10.0.0.0",
"userAgent": "Python/3.11.8 Darwin/22.6.0 exe/x86_64",
"requestParameters": {
"ClientToken": "11223344-2222-3333-4444-666555444555",
"CertificateAuthorityArn": "arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222"
},
"responseElements": {
"ConnectorArn": "arn:aws:pca-connector-scep:us-east-1:111122223333:connector/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
},
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
**Contoh 2: Acara manajemen, `CreateChallenge`**
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `CreateChallenge` tindakan.
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AABB1122CCDD4455HHJJ1:11cc33nn2a97724dc48a89071111111111",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AABB1122CCDD4455HHJJ1",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "111122223333",
"userName": "user-name"
},
"attributes": {
"creationDate": "2024-08-16T17:46:41Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2024-08-16T17:47:52Z",
"eventSource": "pca-connector-scep.amazonaws.com",
"eventName": "CreateChallenge",
"awsRegion": "us-east-1",
"sourceIPAddress": "10.0.0.0",
"userAgent": "Python/3.11.8 Darwin/22.6.0 exe/x86_64",
"requestParameters": {
"ConnectorArn": "arn:aws:pca-connector-scep:us-east-1:111122223333:connector/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"ClientToken": "11223344-2222-3333-4444-666555444555"
},
"responseElements": {
"Challenge": {
"Arn": "arn:aws:pca-connector-scep:us-east-1:111122223333:connector/9cac40bc-acba-412e-9a24-f255ef2fe79a/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
"ConnectorArn": "arn:aws:pca-connector-scep:us-east-1:111122223333:connector/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"CreatedAt": 1723830472.942,
"Password": "***",
"UpdatedAt": 1723830472.942
}
},
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
**Contoh 3: Acara manajemen, `GetChallengePassword`**
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `GetChallengePassword` tindakan.
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AABB1122CCDD4455HHJJ1:11cc33nn2a97724dc48a89071111111111",
"arn": "arn:aws:sts::111122223333:assumed-role/Admin",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AABB1122CCDD4455HHJJ1",
"arn": "arn:aws:iam::111122223333:role/Admin",
"accountId": "905418114790",
"userName": "111122223333"
},
"attributes": {
"creationDate": "2024-08-16T17:55:01Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "signin.amazonaws.com"
},
"eventTime": "2024-08-16T17:55:54Z",
"eventSource": "pca-connector-scep.amazonaws.com",
"eventName": "GetChallengePassword",
"awsRegion": "us-east-1",
"sourceIPAddress": "10.0.0.0",
"userAgent": "Python/3.11.8 Darwin/22.6.0 exe/x86_64",
"requestParameters": {
"ChallengeArn": "arn:aws:pca-connector-scep:us-east-1:111122223333:challenge/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333"
},
"responseElements": null,
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
**Contoh 4: Peristiwa data, `PkiOperationPost`**
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `PkiOperationPost` panggilan gagal. Log menyertakan kode kesalahan dan pesan kesalahan dengan penjelasan kegagalan.
```
{
"eventVersion": "1.10",
"userIdentity": {
"type": "FederatedUser",
"principalId": "111122223333",
"accountId": "111122223333"
},
"eventTime": "2024-08-16T17:40:09Z",
"eventSource": "pca-connector-scep.amazonaws.com",
"eventName": "PkiOperationPost",
"awsRegion": "us-east-1",
"sourceIPAddress": "10.0.0.0",
"userAgent": "Python/3.11.8 Darwin/22.6.0 exe/x86_64",
"errorCode": "BadRequestException",
"errorMessage": "The certificate authority is not in a valid state for issuing certificates (Service: AcmPca, Status Code: 400, Request ID: a1b2c3d4-5678-90ab-cdef-EXAMPLE55555)",
"requestParameters": null,
"responseElements": null,
"requestID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
"eventID": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::PCAConnectorSCEP::Connector",
"ARN": "arn:aws:pca-connector-scep:us-east-1:111122223333:connector/a1b2c3d4-5678-90ab-cdef-EXAMPLE33333"
}
],
"eventType": "AwsApiCall",
"managementEvent": false,
"recipientAccountId": "905418114790",
"eventCategory": "Data",
"tlsDetails": {
"clientProvidedHostHeader": "111122223333-a1b2c3d4-5678-90ab-cdef-EXAMPLE33333.enroll.pca-connector-scep.us-east-1.api.aws"
}
}
```