¿Cómo puedo comprobar quién modificó una función de Lambda y qué cambios se hicieron?

Resolución

Puede usar AWS CloudTrail para rastrear qué usuarios modifican las funciones de Lambda y qué cambios se hicieron. CloudTrail está activado de forma predeterminada en su cuenta de AWS.

Para obtener un registro continuo de los eventos en su cuenta de AWS, cree un seguimiento. Mediante un seguimiento, CloudTrail crea registros de las llamadas a la API hechas en su cuenta. Estos registros se envían a un bucket de Amazon Simple Storage Service (Amazon S3) que especifique. Si no configura un seguimiento, aún puede ver los eventos más recientes en la consola de CloudTrail, en Event history (Historial de eventos).

Historial de eventos

1.    Abra la consola de CloudTrail.

2.    En el panel de navegación, seleccione Event history (Historial de eventos).

3.    Siga las instrucciones para ver, mostrar y filtrar los eventos de CloudTrail para su caso de uso.

También puede descargar el historial de eventos registrados como un archivo en formato CSV o JSON.

Para ver un ejemplo de entrada de registro de CloudTrail de las acciones GetFunction y DeleteFunction de la API, consulte Understanding Lambda log file entries (Comprender las entradas del archivo de registro de Lambda) en la Guía para desarrolladores de Lambda.

Importante: eventName puede incluir información sobre la fecha y la versión, como “getFunction20150331", pero sigue haciendo referencia a la misma API pública.

Para obtener una lista de todas las API de Lambda compatibles, consulte Actions (Acciones) en la Guía para desarrolladores de Lambda.

Registros de CloudTrail

1.    Abra la consola de CloudTrail.

2.    En el panel de navegación, seleccioneSeguimientos.

3.    Seleccione el valor del bucket de S3 para el seguimiento que quiere ver. Se abre la consola de Amazon S3 y muestra ese bucket, en el nivel superior de los archivos de registro.

4.    Elija la carpeta de la región de AWS en la que quiere revisar los archivos de registro.

5.    Navegue por la estructura de carpetas de los buckets hasta el año, el mes y el día en los que quiera revisar los registros de actividad de esa región.

6.    Seleccione el nombre del archivo y, a continuación, elija Download (Descargar).

7.    Descomprima el archivo y, a continuación, utilice su visor de archivos JSON favorito para ver el registro.

El registro contiene información sobre las solicitudes de recursos de su cuenta. Por ejemplo, quién hizo la solicitud, los servicios que se usaron y las acciones realizadas. Para obtener más información, consulte Understanding Lambda log file entries (Comprender las entradas del archivo de registro de Lambda).

Información relacionada

Using AWS Lambda with AWS CloudTrail (Uso de AWS Lambda con AWS CloudTrail)

Logging Lambda API calls with CloudTrail (Registro de llamadas a la API de Lambda con CloudTrail)

How do I know which user made a particular change to my AWS infrastructure? (¿Cómo puedo saber qué usuario hizo un cambio concreto en mi infraestructura de AWS?)