AWS CloudTrail을 사용하여 Aurora DSQL 작업 로깅 - Amazon Aurora DSQL
관리 이벤트데이터 이벤트

AWS CloudTrail을 사용하여 Aurora DSQL 작업 로깅

Amazon Aurora DSQL은 사용자, 역할 또는 AWS 서비스가 수행한 작업에 대한 레코드를 제공하는 서비스인 AWS CloudTrail과 통합됩니다. CloudTrail에는 두 가지 유형의 이벤트, 즉 관리 이벤트와 데이터 이벤트가 있습니다. 관리 이벤트는 AWS 리소스 구성 변경을 감사하기 위해 내보내집니다. 데이터 이벤트는 일반적으로 서비스 데이터 플레인에서 AWS 리소스 사용량을 캡처합니다.

CloudTrail은 Aurora DSQL에 대한 모든 API 직접 호출을 이벤트로 캡처합니다. Aurora DSQL은 콘솔 활동을 관리 이벤트로 기록합니다. 또한 클러스터에 대한 인증된 연결 시도를 데이터 이벤트로 캡처합니다.

CloudTrail에서 수집한 정보를 사용하여 Aurora DSQL에 수행된 요청, 요청이 수행된 IP 주소, 요청을 수행한 시점, 요청을 수행한 사용자 ID 및 추가 세부 정보를 확인할 수 있습니다.

계정을 생성할 때 AWS 계정에서 CloudTrail이 기본적으로 활성화되며, CloudTrail 이벤트 기록에 자동으로 액세스할 수 있습니다. CloudTrail 이벤트 기록은 지난 90일 간 AWS 리전의 관리 이벤트에 대해 보기, 검색 및 다운로드가 가능하고, 수정이 불가능한 레코드를 제공합니다. 자세한 설명은 AWS CloudTrail 사용 설명서의 CloudTrail 이벤트 기록 작업을 참조하세요. 이벤트 기록 레코드 생성에는 CloudTrail 요금이 부과되지 않습니다.

Aurora DSQL에 대한 이벤트를 포함하여 AWS 계정에 이벤트에 대한 지속적인 레코드를 생성하려면 추적 또는 AWS CloudTrail Lake 이벤트 데이터 저장소(AWS CloudTrail 이벤트에 대한 중앙 집중식 스토리지 및 분석 솔루션)를 생성합니다. 추적 생성에 대한 자세한 내용은 Working with CloudTrail trails을 참조하세요. 이벤트 데이터 저장소 설정 및 관리에 대한 자세한 내용은 CloudTrail Lake event data stores를 참조하세요.

CloudTrail의 Aurora DSQL 관리 이벤트

CloudTrail 관리 이벤트는 AWS 계정의 리소스에 대해 수행되는 관리 작업에 대한 정보를 제공합니다. 이를 컨트롤 플레인 작업이라고도 합니다. 기본적으로 CloudTrail은 이벤트 기록에 관리 이벤트를 캡처합니다.

Amazon Aurora DSQL은 모든 Aurora DSQL 컨트롤 플레인 작업을 관리 이벤트로 로깅합니다. Aurora DSQL이 CloudTrail에 로깅하는 Amazon Aurora DSQL 컨트롤 플레인 작업의 목록은 Aurora DSQL API reference를 참조하세요.

컨트롤 플레인 로그

Amazon Aurora DSQL은 다음 Aurora DSQL 컨트롤 플레인 작업을 CloudTrail에 관리 이벤트로 로깅합니다.

백업 및 복원 로그

Amazon Aurora DSQL은 다음 Aurora DSQL 백업 및 복원 작업을 CloudTrail에 관리 이벤트로 로깅합니다.

  • StartBackupJob

  • StopBackupJob

  • GetBackupJob

  • StartRestoreJob

  • StopRestoreJob

  • GetRestoreJob

AWS Backup을 사용하여 Aurora DSQL 클러스터를 보호하는 방법에 대한 자세한 내용은 Amazon Aurora DSQL의 백업 및 복원 섹션을 참조하세요.

AWS KMS 로그

Amazon Aurora DSQL은 다음 AWS KMS 작업을 CloudTrail에 관리 이벤트로 로깅합니다.

  • GenerateDataKey

  • Decrypt

CloudTrail 로그가 Aurora DSQL이 사용자를 대신하여 AWS KMS에 보내는 요청을 추적하는 방법에 대한 자세한 내용은 AWS KMS와 Aurora DSQL 상호 작용 모니터링 섹션을 참조하세요.

CloudTrail의 Aurora DSQL 데이터 이벤트

CloudTrail 데이터 이벤트는 일반적으로 리소스상에서 또는 리소스 내에서 수행되는 리소스 작업에 대한 정보를 제공합니다. 또한 서비스의 데이터 플레인 작업을 캡처하는 데에도 사용됩니다. 데이터 이벤트가 대량 활동인 경우도 있습니다. 기본적으로 CloudTrail은 데이터 이벤트를 로깅하지 않습니다. CloudTrail 이벤트 기록은 데이터 이벤트를 기록하지 않습니다.

데이터 이벤트를 로깅하는 방법에 대한 자세한 내용은 AWS CloudTrail 사용 설명서의 Logging data events with the AWS Management ConsoleLogging data events with the AWS Command Line Interface를 참조하세요.

데이터 이벤트에는 추가 요금이 적용됩니다. CloudTrail 요금에 대한 자세한 내용은 AWS CloudTrail 요금을 참조하세요.

Aurora DSQL의 경우 CloudTrail은 Aurora DSQL 클러스터에 대한 연결 시도를 데이터 이벤트로 캡처합니다. 다음 표에는 데이터 이벤트를 로깅할 수 있는 Aurora DSQL 리소스 유형이 나와 있습니다. 리소스 유형(콘솔) 열에는 CloudTrail 콘솔의 리소스 유형 목록에서 선택할 값이 표시됩니다. resources.type 값 열에는 AWS CLI 또는 CloudTrail API를 사용하여 고급 이벤트 선택기를 구성할 때 지정하는 resources.type 값이 표시됩니다. CloudTrail에 로깅되는 데이터 API 열에는 리소스 유형에 대해 CloudTrail에 로깅된 API 호출이 표시됩니다.

리소스 유형(콘솔) resources.type 값 CloudTrail에 로깅되는 데이터 API
Amazon Aurora DSQL

AWS::DSQL::Cluster

  • DbConnect

  • DbConnectAdmin

고급 이벤트 선택기를 구성하여 필터링된 이벤트만 로깅하도록 eventNameresources.ARN 필드를 기준으로 필터링할 수 있습니다. 이러한 필드에 대한 자세한 내용은 AWS CloudTrail API 참조의 AdvancedFieldSelector 섹션을 참조하세요.

다음 예시에서는 AWS CLI를 사용하여 Aurora DSQL에 대한 데이터 이벤트를 수신하도록 dsql-data-events-trail을 구성하는 방법을 보여줍니다.

aws cloudtrail put-event-selectors \
--region us-east-1 \
--trail-name dsql-data-events-trail \
--advanced-event-selectors '[{
"Name": "Log DSQL Data Events",
    "FieldSelectors": [
       { "Field": "eventCategory", "Equals": ["Data"] },
       { "Field": "resources.type", "Equals": ["AWS::DSQL::Cluster"] } ]}]'