Journalisation des opérations SQL Aurora à l'aide de AWS CloudTrail - Amazon Aurora DSQL
Événements de gestionÉvénements de données

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Journalisation des opérations SQL Aurora à l'aide de AWS CloudTrail

Amazon Aurora DSQL est intégré à AWS CloudTrailun service qui fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un Service AWS. Il existe deux types d'événements CloudTrail : les événements de gestion et les événements de données. Des événements de gestion sont émis pour auditer les modifications de configuration des AWS ressources. Les événements de données capturent l'utilisation AWS des ressources généralement dans le plan de données du service.

CloudTrail capture tous les appels d'API pour Aurora DSQL sous forme d'événements. Aurora DSQL enregistre l'activité de la console sous forme d'événements de gestion. Il capture également les tentatives de connexion authentifiées aux clusters sous forme d'événements de données.

À l'aide des informations collectées par CloudTrail, vous pouvez déterminer la demande envoyée à Aurora DSQL, l'adresse IP à partir de laquelle la demande a été effectuée, la date à laquelle elle a été faite, l'identité de l'utilisateur à l'origine de la demande et des informations supplémentaires.

CloudTrail est activé par défaut dans votre compte Compte AWS lorsque vous créez le compte et que vous avez accès à l'historique des CloudTrail événements. L'historique des CloudTrail événements fournit un enregistrement consultable, consultable, téléchargeable et immuable des 90 derniers jours des événements de gestion enregistrés dans un. Région AWS Pour plus d'informations, consultez la section Utilisation de l'historique des CloudTrail événements dans le guide de AWS CloudTrail l'utilisateur. L'enregistrement de CloudTrail l'historique des événements est gratuit.

Pour créer un enregistrement continu des événements de votre AWS compte, y compris des événements pour Aurora DSQL, créez un journal ou un magasin de données d'événements AWS CloudTrail Lake (une solution centralisée de stockage et d'analyse des AWS CloudTrail événements). Pour plus d'informations sur la création de sentiers, consultez la section Utilisation des CloudTrail sentiers. Pour en savoir plus sur la configuration et la gestion des magasins de données d'événements, consultez la section Stockages de données d'événements CloudTrail Lake.

Événements de gestion Aurora DSQL dans CloudTrail

CloudTrail Les événements de gestion fournissent des informations sur les opérations de gestion effectuées sur les ressources de votre AWS compte. Ils sont également connus sous le nom opérations de plan de contrôle. Par défaut, CloudTrail capture les événements de gestion dans l'historique des événements.

Amazon Aurora DSQL enregistre toutes les opérations du plan de contrôle Aurora DSQL en tant qu'événements de gestion. Pour obtenir la liste des opérations du plan de contrôle Amazon Aurora DSQL auxquelles Aurora DSQL se connecte CloudTrail, consultez la référence de l'API Aurora DSQL.

Journaux du plan de contrôle

Amazon Aurora DSQL enregistre les opérations du plan de contrôle Aurora DSQL suivantes en CloudTrail tant qu'événements de gestion.

Logs de sauvegarde et de restauration

Amazon Aurora DSQL enregistre les opérations de sauvegarde et de restauration Aurora DSQL suivantes en CloudTrail tant qu'événements de gestion.

  • StartBackupJob

  • StopBackupJob

  • GetBackupJob

  • StartRestoreJob

  • StopRestoreJob

  • GetRestoreJob

Pour en savoir plus sur la protection de vos clusters SQL Aurora à l'aide de AWS Backup, consultezBackup et restauration pour Amazon Aurora DSQL.

Journaux AWS KMS

Amazon Aurora DSQL enregistre les AWS KMS opérations suivantes en CloudTrail tant qu'événements de gestion.

  • GenerateDataKey

  • Decrypt

Pour en savoir plus sur la façon dont CloudTrail les journaux suivent les demandes qu'Aurora DSQL envoie AWS KMS en votre nom, consultezSurveillance de l'interaction SQL d'Aurora avec AWS KMS.

Événements de données Aurora DSQL dans CloudTrail

CloudTrail Les événements de données fournissent généralement des informations sur les opérations de ressources effectuées sur ou dans une ressource. Ils sont également utilisés pour capturer les opérations du plan de données du service. Les événements de données sont souvent des activités dont le volume est élevé. Par défaut, CloudTrail n'enregistre pas les événements liés aux données. L'historique des CloudTrail événements n'enregistre pas les événements liés aux données.

Pour plus d’informations sur la façon de journaliser les événements de données, consultez Journalisation des événements de données avec la AWS Management Console et Journalisation des événements de données avec l’ AWS Command Line Interface dans le Guide de l’utilisateur AWS CloudTrail .

Des frais supplémentaires s’appliquent pour les événements de données. Pour plus d'informations sur la CloudTrail tarification, consultez la section AWS CloudTrail Tarification.

Pour Aurora DSQL, CloudTrail capture toute tentative de connexion effectuée à un cluster Aurora DSQL en tant qu'événement de données. Le tableau suivant répertorie les types de ressources Aurora DSQL pour lesquels vous pouvez enregistrer des événements de données. La colonne Type de ressource (console) indique la valeur à choisir dans la liste des types de ressources de la CloudTrail console. La colonne de valeur resources.type indique la resources.type valeur que vous devez spécifier lors de la configuration de sélecteurs d'événements avancés à l'aide du ou. AWS CLI CloudTrail APIs La CloudTrail colonne Données APIs enregistrées indique les appels d'API enregistrés CloudTrail pour le type de ressource.

Type de ressource (console) valeur resources.type Données APIs enregistrées sur CloudTrail
Amazon Aurora DSQL

AWS::DSQL::Cluster

  • DbConnect

  • DbConnectAdmin

Vous pouvez configurer des sélecteurs d'événements avancés pour filtrer eventName et des resources.ARN champs pour enregistrer uniquement les événements filtrés. Pour plus d’informations sur ces champs, consultez AdvancedFieldSelector dans la Référence d’API AWS CloudTrail .

L'exemple suivant montre comment utiliser la configuration AWS CLI pour dsql-data-events-trail recevoir des événements de données pour Aurora DSQL.

aws cloudtrail put-event-selectors \
--region us-east-1 \
--trail-name dsql-data-events-trail \
--advanced-event-selectors '[{
"Name": "Log DSQL Data Events",
    "FieldSelectors": [
       { "Field": "eventCategory", "Equals": ["Data"] },
       { "Field": "resources.type", "Equals": ["AWS::DSQL::Cluster"] } ]}]'