AWS CloudTrail を使用した Aurora DSQL オペレーションのログ記録
Amazon Aurora DSQL は、ユーザー、ロール、または AWS のサービス が実行したアクションの記録を提供するサービスである AWS CloudTrail と統合されています。CloudTrail には、2 種類のイベント (管理イベント、データイベント) があります。管理イベントは、AWS リソース設定の変更を監査するために出力されます。データイベントは、通常、サービスデータプレーンで AWS リソースの使用状況をキャプチャします。
CloudTrail は、Aurora DSQL のすべての API コールをイベントとしてキャプチャします。Aurora DSQL はコンソールアクティビティを管理イベントとして記録します。また、クラスターへの認証された接続試行をデータイベントとしてキャプチャします。
CloudTrail で収集された情報を使用すると、Aurora DSQL に対して発行されたリクエスト、リクエスト元の IP アドレス、リクエスト作成日時、リクエスト作成者のユーザー ID、その他の詳細情報などを確認できます。
アカウントを作成すると、AWS アカウントで CloudTrail がデフォルトで有効になり、CloudTrail の[イベント履歴] にアクセスできるようになります。CloudTrail の [イベント履歴] では、AWS リージョン で過去 90 日間に記録された 管理イベントの表示、検索、およびダウンロードが可能で、変更不可能な記録を確認できます。詳細については、「AWS CloudTrail ユーザーガイド」の「CloudTrail イベント履歴の使用」を参照してください。[イベント履歴] の記録には CloudTrail の料金はかかりません。
Aurora DSQL のイベントなど、AWS アカウント内のイベントの継続的な記録を作成するには、証跡または AWS CloudTrail Lake イベントデータストア (AWS CloudTrail イベントの一元化されたストレージおよび分析ソリューション) を作成します。証跡の作成に関する詳細については、「CloudTrail 証跡の使用」を参照してください。イベントデータストアのセットアップと管理の詳細については、「CloudTrail Lake イベントデータストア」を参照してください。
CloudTrail での Aurora DSQL 管理イベント
CloudTrail 管理イベントでは、AWS アカウントのリソースで実行される管理オペレーションについての情報が得られます。これらのイベントは、コントロールプレーンオペレーションとも呼ばれます。デフォルトでは、CloudTrail は管理イベントをイベント履歴にキャプチャします。
Amazon Aurora DSQL は、すべての Aurora DSQL コントロールプレーンオペレーションを管理イベントとして記録します。Amazon Aurora DSQL が CloudTrail にログ記録する Aurora DSQL コントロールプレーンオペレーションのリストについては、「Aurora DSQL API リファレンス」を参照してください。
コントロールプレーンのログ
Amazon Aurora DSQL は、次の Aurora DSQL コントロールプレーンオペレーションを管理イベントとして CloudTrail に記録します。
バックアップと復元ログ
Amazon Aurora DSQL は、次の Aurora DSQL のバックアップおよび復元オペレーションを管理イベントとして CloudTrail に記録します。
-
StartBackupJob -
StopBackupJob -
GetBackupJob -
StartRestoreJob -
StopRestoreJob -
GetRestoreJob
AWS Backup を使用して Aurora DSQL クラスターを保護する方法の詳細については、「Amazon Aurora DSQL のバックアップと復元」を参照してください。
AWS KMS ログ
Amazon Aurora DSQL は、次の AWS KMS オペレーションを管理イベントとして CloudTrail に記録します。
GenerateDataKeyDecrypt
Aurora DSQL がユーザーに代わって AWS KMS に送信するリクエストを CloudTrail がどのようにログに記録するかの詳細については、「Aurora DSQL と AWS KMS のインタラクションのモニタリング」を参照してください。
CloudTrail での Aurora DSQL データイベント
CloudTrail データイベントでは通常、リソース上またはリソース内で実行されたリソースオペレーションについての情報が得られます。これらは、サービスのデータプレーンオペレーションをキャプチャするためにも使用されます。データイベントは、多くの場合、高ボリュームのアクティビティです。デフォルトでは、CloudTrail はデータイベントをログ記録しません。CloudTrail [イベント履歴] にはデータイベントは記録されません。
データイベントをログに記録する方法の詳細については、「AWS CloudTrail ユーザーガイド」の「AWS Management Console を使用したデータイベントのログ記録」および「AWS Command Line Interface を使用したデータイベントのログ記録」を参照してください。
追加の変更がイベントデータに適用されます。CloudTrail の料金の詳細については、「AWS CloudTrail の料金
Aurora DSQL の場合、CloudTrail は Aurora DSQL クラスターへの接続試行をデータイベントとしてキャプチャします。次の表に、データイベントをログに記録できる Aurora DSQL リソースタイプを示します。リソースタイプ (コンソール) 列には、CloudTrail コンソールの [リソースタイプ] リストから選択する値が表示されます。resources.type 値列には、AWS CLI または CloudTrail API を使用して高度なイベントセレクタを設定するときに指定する resources.type 値が表示されます。CloudTrail に記録されたデータ API 列には、リソース タイプの CloudTrail にログ記録された API コールが表示されます。
| リソースタイプ (コンソール) | resources.type 値 | CloudTrail にログ記録されたデータ API |
|---|---|---|
| Amazon Aurora DSQL |
|
|
高度なイベントセレクタを設定して、eventName、および resources.ARN フィールドをフィルタリングし、フィルタリングされたイベントのみをログ記録することができます。オブジェクトの詳細については、「AWS CloudTrail API リファレンス」の「AdvancedFieldSelector」を参照してください。
次の例は、AWS CLI を使用して、Aurora DSQL のデータイベントを受信するように dsql-data-events-trail を設定する方法を示しています。
aws cloudtrail put-event-selectors \ --region us-east-1 \ --trail-name dsql-data-events-trail \ --advanced-event-selectors '[{ "Name": "Log DSQL Data Events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::DSQL::Cluster"] } ]}]'
