Registro de operaciones de Aurora DSQL mediante AWS CloudTrail

Amazon Aurora DSQL está integrado con AWS CloudTrail, un servicio que proporciona un registro de las acciones realizadas por un usuario, un rol o un Servicio de AWS. Existen dos tipos de eventos en CloudTrail: eventos de administración y eventos de datos. Los eventos de administración se emiten para auditar los cambios de configuración de los recursos de AWS. Los eventos de datos capturan el uso de los recursos de AWS normalmente en el plano de datos de servicio.

CloudTrail captura todas las llamadas a la API para Aurora DSQL como eventos. Aurora DSQL registra la actividad de la consola como eventos de administración. También captura los intentos de conexión autenticados a los clústeres como eventos de datos.

Mediante la información que recopila CloudTrail, puede determinar la solicitud que se hizo a Aurora DSQL, la dirección IP desde la que se hizo la solicitud, cuándo se hizo, la identidad del usuario que hizo la solicitud y detalles adicionales.

CloudTrail está habilitado de forma predeterminada en la Cuenta de AWS cuando crea la cuenta y tiene acceso al Historial de eventos de CloudTrail. El Historial de eventos de CloudTrail proporciona un registro visible e inmutable, que se puede buscar y descargar, de los últimos 90 días de eventos de gestión registrados en una Región de AWS. Para obtener más información, consulte Trabajar con el historial de eventos de CloudTrail en la Guía del usuario de AWS CloudTrail. No se cobran cargos de CloudTrail por registrar el Historial de eventos.

Para crear un registro continuo de eventos en la cuenta de AWS, incluidos eventos para Aurora DSQL, cree un registro de seguimiento o un almacén de datos de eventos de AWS CloudTrail Lake (una solución centralizada de almacenamiento y análisis de eventos de AWS CloudTrail). Para obtener más información sobre la creación de registros de seguimiento, consulte Trabajar con registros de seguimiento de CloudTrail. Para obtener información sobre cómo configurar y administrar almacenes de datos de eventos, consulte Almacenes de datos de eventos de CloudTrail Lake.

Eventos de administración de Aurora DSQL en CloudTrail

Los eventos de administración de CloudTrail proporcionan información sobre las operaciones de administración que se realizan en los recursos de la cuenta de AWS. Se denominan también operaciones del plano de control. De forma predeterminada, CloudTrail captura los eventos de administración en el Historial de eventos.

Amazon Aurora DSQL registra todas las operaciones del plano de control de Aurora DSQL como eventos de administración. Para obtener una lista de las operaciones del plano de control de Amazon Aurora DSQL que Aurora DSQL registra en CloudTrail, consulte la referencia de la API de Aurora DSQL.

Registros del plano de control

Amazon Aurora DSQL registra las siguientes operaciones del plano de control de Aurora DSQL en CloudTrail como eventos de administración.

Registros de copia de seguridad y restauración

Amazon Aurora DSQL registra las siguientes operaciones de copia de seguridad y restauración de Aurora DSQL en CloudTrail como eventos de administración.

Para obtener más información sobre la protección de los clústeres de Aurora DSQL mediante AWS Backup, consulte Copia de seguridad y restauración para Amazon Aurora DSQL.

Registros de AWS KMS

Amazon Aurora DSQL registra las siguientes operaciones de AWS KMS en CloudTrail como eventos de administración.

Para obtener más información sobre cómo los registros de CloudTrail rastrean las solicitudes que Aurora DSQL envía a AWS KMS en su nombre, consulte Supervisión de la interacción de Aurora DSQL con AWS KMS.

Eventos de datos DSQL de Aurora en CloudTrail

Los eventos de datos de CloudTrail suelen proporcionar información sobre las operaciones realizadas en un recurso o dentro de él. También se utilizan para capturar las operaciones del plano de datos del servicio. Los eventos de datos suelen ser actividades de gran volumen. De forma predeterminada, CloudTrail no registra eventos de datos. El Historial de eventos de CloudTrail no registra los eventos de datos.

Para obtener más información sobre cómo registrar los eventos de datos, consulte Registro de eventos de datos con la AWS Management Console y Registro de eventos de datos con la AWS Command Line Interface en la Guía del usuario de AWS CloudTrail.

Se aplican cargos adicionales a los eventos de datos. Para obtener más información sobre los precios de CloudTrail, consulte Precios de AWS CloudTrail.

Para Aurora DSQL, CloudTrail captura cualquier intento de conexión realizado a un clúster de Aurora DSQL como un evento de datos. En la siguiente tabla se muestran los tipos de recursos de Aurora DSQL para los que puede registrar eventos de datos. La columna Tipo de recurso (consola) muestra el valor que se debe elegir en la lista Tipo de recurso en la consola de CloudTrail. La columna resources.type value muestra el valor de resources.type, que especificaría al configurar los selectores de eventos avanzados mediante la AWS CLI o las API de CloudTrail. La columna API de datos registradas en CloudTrail muestra las llamadas a la API registradas en CloudTrail para el tipo de recurso.

Puede configurar los selectores de eventos avanzados para filtrar en función de los campos eventName y resources.ARN y registrar solo los eventos filtrados. Para obtener más información acerca de estos campos, consulte AdvancedFieldSelector en la Referencia de la API de AWS CloudTrail.

En el siguiente ejemplo se muestra cómo utilizar AWS CLI para configurar dsql-data-events-trail y recibir eventos de datos para Aurora DSQL.

aws cloudtrail put-event-selectors \
--region us-east-1 \
--trail-name dsql-data-events-trail \
--advanced-event-selectors '[{
"Name": "Log DSQL Data Events",
    "FieldSelectors": [
       { "Field": "eventCategory", "Equals": ["Data"] },
       { "Field": "resources.type", "Equals": ["AWS::DSQL::Cluster"] } ]}]'