Journalisation des opérations Aurora DSQL à l’aide d’AWS CloudTrail - Amazon Aurora DSQL
Événements de gestionÉvénements de données

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Journalisation des opérations Aurora DSQL à l’aide d’AWS CloudTrail

Amazon Aurora DSQL est intégré à AWS CloudTrail, un service qui fournit un registre des actions prises par un utilisateur, un rôle ou un Service AWS. Il existe deux types d’événements dans CloudTrail : les événements de gestion et les événements de données. Des événements de gestion sont émis pour auditer les modifications de configuration des ressources AWS. Les événements de données capturent l’utilisation des ressources AWS généralement dans le plan de données du service.

CloudTrail capture les appels d’API pour Aurora DSQL en tant qu’événements. Aurora DSQL enregistre l’activité de la console sous forme d’événements de gestion. Aurora DSQL capture également les tentatives de connexion authentifiées aux clusters sous forme d’événements de données.

En utilisant les informations collectées par CloudTrail, vous pouvez déterminer la demande qui a été envoyée à Aurora DSQL, l’adresse IP depuis laquelle la demande a été faite et à quelle moment elle a été faite, l’identité de l’utilisateur qui a fait la demande et d’autres détails.

CloudTrail est actif par défaut dans votre Compte AWS lorsque vous créez le compte et vous avez accès à l’historique des événements CloudTrail. L’historique des événements de CloudTrail permet de visualiser, de rechercher, de télécharger et d’enregistrer de façon immuable les événements de gestion enregistrés au cours des 90 derniers jours dans un Région AWS. Pour plus d’informations, consultez Travailler avec l’historique des événements CloudTrail dans le AWS CloudTrailGuide de l’utilisateur. L’enregistrement de l’historique des événements ne génère aucuns frais CloudTrail.

Pour créer un enregistrement continu des événements de votre compte AWS, y compris des événements pour Aurora DSQL, créez un journal ou un magasin de données d’événements AWS CloudTrail Lake (une solution centralisée de stockage et d’analyse des événements AWS CloudTrail). Pour plus d’informations sur la création de journaux de suivi, consultez Utilisation des journaux de suivi CloudTrail. Pour plus d’informations sur la configuration et la gestion des magasins de données d’événements, consultez Magasins de données d’événements CloudTrail Lake.

Événements de gestion Aurora DSQL dans CloudTrail

Les événements de gestion CloudTrail fournissent des informations sur les opérations de gestion exécutées sur les ressources de votre compte AWS. Ils sont également connus sous le nom opérations de plan de contrôle. Par défaut, CloudTrail capture les événements de gestion dans l’historique des événements.

Amazon Aurora DSQL journalise toutes les opérations du plan de contrôle Aurora DSQL en tant qu’événements de gestion. Pour obtenir la liste des opérations de plan de contrôle Amazon Aurora DSQL qu’Aurora DSQL journalise dans CloudTrail, consultez la référence de l’API Aurora DSQL.

Journaux de plan de contrôle

Amazon Aurora DSQL journalise les opérations du plan de contrôle Aurora DSQL suivantes vers CloudTrail en tant qu’événements de gestion.

Journaux de sauvegarde et de restauration

Amazon Aurora DSQL journalise les opérations de sauvegarder et de restauration Aurora DSQL suivantes vers CloudTrail en tant qu’événements de gestion.

  • StartBackupJob

  • StopBackupJob

  • GetBackupJob

  • StartRestoreJob

  • StopRestoreJob

  • GetRestoreJob

Pour en savoir plus sur la protection de vos clusters Aurora DSQL à l’aide d’AWS Backup, consultez Sauvegarde et restauration pour Amazon Aurora DSQL.

Journaux AWS KMS

Amazon Aurora DSQL journalise les opérations AWS KMS Aurora DSQL suivantes vers CloudTrail en tant qu’événements de gestion.

  • GenerateDataKey

  • Decrypt

Pour en savoir plus sur la façon dont les journaux CloudTrail suivent les demandes qu’Aurora DSQL envoie à AWS KMS en votre nom, consultez Surveillance de l’interaction d’Aurora DSQL avec AWS KMS.

Événements de données Aurora DSQL dans CloudTrail

Les événements de données CloudTrail fournissent généralement des informations sur les opérations de ressource exécutées sur ou dans une ressource. Ils sont également utilisés pour capturer les opérations du plan de données du service. Les événements de données sont souvent des activités dont le volume est élevé. Par défaut, CloudTrail ne journalise pas les événements de données. L’historique des événements CloudTrail n’enregistre pas les événements de données.

Pour plus d’informations sur la façon de journaliser les événements de données, consultez Journalisation des événements de données avec la AWS Management Console et Journalisation des événements de données avec l’AWS Command Line Interface dans le Guide de l’utilisateur AWS CloudTrail.

Des frais supplémentaires s’appliquent pour les événements de données. Pour en savoir plus sur la tarification CloudTrail, consultez Tarification d’AWS CloudTrail.

Pour Aurora DSQL, CloudTrail capture toute tentative de connexion effectuée avec un cluster Aurora DSQL en tant qu’événement de données. Le tableau suivant répertorie les types de ressources Aurora DSQL pour lesquels vous pouvez journaliser les événements de données. La colonne Type de ressource (console) indique la valeur à choisir dans la liste Type de ressource de la console CloudTrail. La colonne resources.type value indique la valeur de resources.type, que vous devez spécifier lors de la configuration des sélecteurs d’événements avancés à l’aide de l’AWS CLI ou des API CloudTrail. La colonne API de données journalisées dans CloudTrail indique les appels d’API journalisés dans CloudTrail pour le type de ressource.

Type de ressource (console) valeur resources.type API de données journalisées dans CloudTrail
Amazon Aurora DSQL

AWS::DSQL::Cluster

  • DbConnect

  • DbConnectAdmin

Vous pouvez configurer des sélecteurs d’événements avancés pour filtrer les champs eventName et resources.ARN afin de ne journaliser que les événements filtrés. Pour plus d’informations sur ces champs, consultez AdvancedFieldSelector dans la Référence d’API AWS CloudTrail.

L’exemple suivant montre comment utiliser AWS CLI pour configurer dsql-data-events-trail afin de recevoir des événements de données pour Aurora DSQL.

aws cloudtrail put-event-selectors \
--region us-east-1 \
--trail-name dsql-data-events-trail \
--advanced-event-selectors '[{
"Name": "Log DSQL Data Events",
    "FieldSelectors": [
       { "Field": "eventCategory", "Equals": ["Data"] },
       { "Field": "resources.type", "Equals": ["AWS::DSQL::Cluster"] } ]}]'