Ringkasan Prasyarat dan batasan Arsitektur Alat Epik Sumber daya terkait Lampiran

Visualisasikan log audit Amazon Redshift menggunakan Amazon Athena dan Amazon QuickSight

Sanket Sirsikar dan Gopal Krishna Bhatia, Amazon Web Services

Ringkasan

Keamanan merupakan bagian integral dari operasi database di Amazon Web Services (AWS) Cloud. Organisasi Anda harus memastikan bahwa ia memantau aktivitas dan koneksi pengguna basis data untuk mendeteksi potensi insiden dan risiko keamanan. Pola ini membantu Anda memantau database Anda untuk tujuan keamanan dan pemecahan masalah, yang merupakan proses yang dikenal sebagai audit basis data.

Pola ini menyediakan skrip SQL yang mengotomatiskan pembuatan tabel Amazon Athena dan tampilan untuk dasbor pelaporan di Amazon yang membantu Anda QuickSight mengaudit log Amazon Redshift. Ini memastikan bahwa pengguna yang bertanggung jawab untuk memantau aktivitas database memiliki akses mudah ke fitur keamanan data.

Prasyarat dan batasan

Prasyarat

Akun AWS yang aktif.
Cluster Amazon Redshift yang ada. Untuk informasi selengkapnya tentang ini, lihat Membuat klaster Amazon Redshift di dokumentasi Amazon Redshift.
Akses ke workgroup Athena yang ada. Untuk informasi selengkapnya, lihat Cara kerja kelompok kerja di dokumentasi Amazon Athena.
Bucket sumber Amazon Simple Storage Service (Amazon S3) yang sudah ada dengan izin AWS Identity and Access Management (IAM) yang diperlukan. Untuk informasi selengkapnya, lihat Izin Bucket untuk pencatatan audit Amazon Redshift dari pencatatan audit Database di dokumentasi Amazon Redshift.

Arsitektur

Data flow diagram showing Amazon Redshift, logs, S3 bucket, Amazon Athena, and Amazon Quick Suite.

Tumpukan teknologi

Athena
Amazon Redshift
Amazon S3
QuickSight

Alat

Amazon Athena - Athena adalah layanan kueri interaktif yang memudahkan untuk menganalisis data di Amazon S3 menggunakan SQL standar.
Amazon QuickSight - QuickSight adalah layanan intelijen bisnis (BI) yang dapat diskalakan, tanpa server, dapat disematkan, dan didukung pembelajaran mesin.
Amazon Redshift — Amazon Redshift adalah layanan pergudangan data tingkat perusahaan, skala petabyte, dan terkelola sepenuhnya.
Amazon S3 - Amazon Simple Storage Service (Amazon S3) Simple Storage Service adalah penyimpanan untuk internet.

Epik

Tugas Deskripsi Keterampilan yang dibutuhkan

Aktifkan pencatatan audit untuk klaster Amazon Redshift.

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Aktifkan pencatatan audit untuk klaster Amazon Redshift.	Masuk ke AWS Management Console, buka konsol Amazon Redshift, pilih CLUSTERS, lalu pilih klaster yang ingin Anda aktifkan pencatatan. Pilih tab Properti dan kemudian aktifkan audit dengan mengikuti petunjuk dari Mengonfigurasi audit menggunakan konsol dalam dokumentasi Amazon Redshift.	DBA, Insinyur data
Aktifkan logging di grup parameter cluster Amazon Redshift.	Anda dapat mengaktifkan audit log koneksi, log pengguna, dan log aktivitas pengguna secara bersamaan dengan menggunakan AWS Management Console, referensi Amazon Redshift API, atau AWS Command Line Interface (AWS CLI). Untuk mengaudit log aktivitas pengguna, Anda harus mengaktifkan parameter `enable_user_activity_logging` database. Jika Anda hanya mengaktifkan fitur audit logging tetapi bukan parameter terkait, audit database mencatat informasi logging untuk koneksi dan log pengguna tetapi tidak untuk log aktivitas pengguna. `enable_user_activity_logging`Parameter tidak diaktifkan secara default, tetapi Anda dapat mengaktifkannya dengan mengubahnya dari `false` ke`true`. penting Anda perlu membuat grup parameter cluster baru dengan `user_activity_logging` parameter diaktifkan dan melampirkannya ke cluster Amazon Redshift Anda. Untuk informasi selengkapnya tentang hal ini, lihat Memodifikasi klaster di dokumentasi Amazon Redshift. Untuk informasi selengkapnya tentang tugas ini, lihat grup parameter Amazon Redshift dan Mengonfigurasi audit menggunakan konsol dalam dokumentasi Amazon Redshift.	DBA, Insinyur data
Konfigurasikan izin bucket S3 untuk pencatatan klaster Amazon Redshift.	Saat Anda mengaktifkan logging, Amazon Redshift mengumpulkan informasi pencatatan dan mengunggahnya ke file log yang disimpan dalam bucket S3. Anda dapat menggunakan bucket S3 yang sudah ada atau membuat bucket baru. penting Pastikan Amazon Redshift memiliki izin IAM yang diperlukan untuk mengakses bucket S3. Untuk informasi selengkapnya tentang hal ini, lihat Izin Bucket untuk pencatatan audit Amazon Redshift dari pencatatan audit Database di dokumentasi Amazon Redshift.	DBA, Insinyur data

Masuk ke AWS Management Console, buka konsol Amazon Redshift, pilih CLUSTERS, lalu pilih klaster yang ingin Anda aktifkan pencatatan.
Pilih tab Properti dan kemudian aktifkan audit dengan mengikuti petunjuk dari Mengonfigurasi audit menggunakan konsol dalam dokumentasi Amazon Redshift.

DBA, Insinyur data

Aktifkan logging di grup parameter cluster Amazon Redshift.

Anda dapat mengaktifkan audit log koneksi, log pengguna, dan log aktivitas pengguna secara bersamaan dengan menggunakan AWS Management Console, referensi Amazon Redshift API, atau AWS Command Line Interface (AWS CLI).

Untuk mengaudit log aktivitas pengguna, Anda harus mengaktifkan parameter enable_user_activity_logging database. Jika Anda hanya mengaktifkan fitur audit logging tetapi bukan parameter terkait, audit database mencatat informasi logging untuk koneksi dan log pengguna tetapi tidak untuk log aktivitas pengguna. enable_user_activity_loggingParameter tidak diaktifkan secara default, tetapi Anda dapat mengaktifkannya dengan mengubahnya dari false ketrue.

penting

Anda perlu membuat grup parameter cluster baru dengan user_activity_logging parameter diaktifkan dan melampirkannya ke cluster Amazon Redshift Anda. Untuk informasi selengkapnya tentang hal ini, lihat Memodifikasi klaster di dokumentasi Amazon Redshift.

Untuk informasi selengkapnya tentang tugas ini, lihat grup parameter Amazon Redshift dan Mengonfigurasi audit menggunakan konsol dalam dokumentasi Amazon Redshift.

DBA, Insinyur data

Konfigurasikan izin bucket S3 untuk pencatatan klaster Amazon Redshift.

Saat Anda mengaktifkan logging, Amazon Redshift mengumpulkan informasi pencatatan dan mengunggahnya ke file log yang disimpan dalam bucket S3. Anda dapat menggunakan bucket S3 yang sudah ada atau membuat bucket baru.

penting

Pastikan Amazon Redshift memiliki izin IAM yang diperlukan untuk mengakses bucket S3. Untuk informasi selengkapnya tentang hal ini, lihat Izin Bucket untuk pencatatan audit Amazon Redshift dari pencatatan audit Database di dokumentasi Amazon Redshift.

DBA, Insinyur data

Tugas Deskripsi Keterampilan yang dibutuhkan

Buat tabel Athena dan tampilan untuk menanyakan data log audit Amazon Redshift dari bucket S3.

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Buat tabel Athena dan tampilan untuk menanyakan data log audit Amazon Redshift dari bucket S3.	Buka konsol Amazon Athena dan gunakan kueri bahasa definisi data (DDL) dari skrip `AuditLogging.sql` SQL (terlampir) untuk membuat tabel dan tampilan untuk log aktivitas pengguna, log pengguna, dan log koneksi. Untuk informasi dan petunjuk selengkapnya, lihat tutorial Buat tabel dan jalankan kueri dari Amazon Athena Workshop.	Insinyur data

Buka konsol Amazon Athena dan gunakan kueri bahasa definisi data (DDL) dari skrip AuditLogging.sql SQL (terlampir) untuk membuat tabel dan tampilan untuk log aktivitas pengguna, log pengguna, dan log koneksi.

Untuk informasi dan petunjuk selengkapnya, lihat tutorial Buat tabel dan jalankan kueri dari Amazon Athena Workshop.

Insinyur data

Tugas	Deskripsi	Keterampilan yang dibutuhkan
Buat QuickSight dasbor menggunakan Athena sebagai sumber data.	Buka QuickSight konsol Amazon dan buat QuickSight dasbor dengan mengikuti petunjuk di Visualize with QuickSight using Athena tutorial dari Amazon Athena Workshop.	DBA, Insinyur data

Sumber daya terkait

Lampiran

Untuk mengakses konten tambahan yang terkait dengan dokumen ini, unzip file berikut: attachment.zip

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Tiga jenis pekerjaan AWS Glue untuk mengonversi data

Visualisasikan laporan kredensi IAM menggunakan Amazon QuickSight