Informações sobre Lake Formation em CloudTrail Noções básicas de eventos do Lake Formation

Registrando chamadas da API AWS Lake Formation usando AWS CloudTrail

AWS O Lake Formation é integrado com AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, função ou AWS serviço no Lake Formation. CloudTrail captura todas as chamadas da API Lake Formation como eventos. As chamadas capturadas incluem chamadas do console do Lake Formation AWS Command Line Interface, do e chamadas de código para as ações da API do Lake Formation. Se você criar uma trilha, poderá habilitar a entrega contínua de CloudTrail eventos para um bucket do Amazon S3, incluindo eventos para Lake Formation. Se você não configurar uma trilha, ainda poderá ver os eventos mais recentes no CloudTrail console no Histórico de eventos. Usando as informações coletadas por CloudTrail, você pode determinar a solicitação que foi feita ao Lake Formation, o endereço IP do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e detalhes adicionais.

Para saber mais sobre isso CloudTrail, consulte o Guia AWS CloudTrail do usuário.

Informações sobre Lake Formation em CloudTrail

CloudTrail é ativado por padrão quando você cria uma nova AWS conta. Quando a atividade ocorre no Lake Formation, essa atividade é registrada como um CloudTrail evento junto com outros eventos AWS de serviço no histórico de eventos. Um evento representa uma única solicitação de qualquer origem e inclui informações sobre a ação solicitada, a data e a hora da ação e os parâmetros de solicitação. Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar o seguinte:

Se a solicitação foi feita com credenciais de usuário root ou AWS Identity and Access Management (IAM).
Se a solicitação foi feita com credenciais de segurança temporárias de um perfil ou de um usuário federado.
Se a solicitação foi feita por outro AWS serviço.

Para obter mais informações, consulte Elemento userIdentity do CloudTrail .

Você pode visualizar, pesquisar e baixar eventos recentes para sua AWS conta. Para obter mais informações, consulte Visualização de eventos com histórico de CloudTrail eventos.

Para um registro contínuo dos eventos em sua AWS conta, incluindo eventos do Lake Formation, crie uma trilha. Uma trilha permite CloudTrail entregar arquivos de log para um bucket do Amazon S3. Por padrão, quando você cria uma trilha no console, ela é aplicada a todas as regiões do AWS . A trilha registra eventos de todas as regiões na AWS partição e entrega os arquivos de log ao bucket do Amazon S3 que você especificar. Além disso, você pode configurar outros AWS serviços, como Amazon Athena, para analisar e agir com base nos dados de eventos coletados nos CloudTrail registros. CloudTrail também pode entregar arquivos de log para Amazon CloudWatch Logs and CloudWatch Events.

Para saber mais, consulte:

Noções básicas de eventos do Lake Formation

Todas as ações da API Lake Formation são registradas CloudTrail e documentadas no Guia do AWS Lake Formation Desenvolvedor. Por exemplo, chamadas para as RevokePermissions ações PutDataLakeSettingsGrantPermissions, e geram entradas nos arquivos de CloudTrail log.

O exemplo a seguir mostra um CloudTrail evento para a GrantPermissions ação. A entrada inclui o usuário que concedeu a permissão (datalake_admin), a entidade principal à qual a permissão foi concedida (datalake_user1) e a permissão que foi concedida (CREATE_TABLE). A entrada também mostra que a concessão falhou porque o banco de dados de destino não foi especificado no argumento resource.


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AIDAZKE67KM3P775X74U2",
        "arn": "arn:aws:iam::111122223333:user/datalake_admin",
        "accountId": "111122223333",
        "accessKeyId": "...",
        "userName": "datalake_admin"
    },
    "eventTime": "2021-02-06T00:43:21Z",
    "eventSource": "lakeformation.amazonaws.com",
    "eventName": "GrantPermissions",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "72.21.198.65",
    "userAgent": "aws-cli/1.19.0 Python/3.6.12 Linux/4.9.230-0.1.ac.223.84.332.metal1.x86_64 botocore/1.20.0",
    "errorCode": "InvalidInputException",
    "errorMessage": "Resource must have one of the have either the catalog, table or database field populated.",
    "requestParameters": {
        "principal": {
            "dataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1"
        },
        "resource": {},
        "permissions": [
            "CREATE_TABLE"
        ]
    },
    "responseElements": null,
    "requestID": "b85e863f-e75d-4fc0-9ff0-97f943f706e7",
    "eventID": "8d2ccef0-55f3-42d3-9ede-3a6faedaa5c1",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333"
}

O próximo exemplo mostra uma entrada de CloudTrail registro para a GetDataAccess ação. As entidades principais não chamam essa API diretamente. Em vez disso, GetDataAccess é registrado sempre que um AWS serviço principal ou integrado solicita credenciais temporárias para acessar dados em um local de data lake registrado no Lake Formation.


{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "AROAQGFTBBBGOBWV2EMZA:GlueJobRunnerSession",
        "accountId": "111122223333"
    },
    "eventSource": "lakeformation.amazonaws.com",
    "eventName": "GetDataAccess",
...
...
    "additionalEventData": {
        "requesterService": "GLUE_JOB",
        "lakeFormationPrincipal": "arn:aws:iam::111122223333:role/ETL-Glue-Role",
        "lakeFormationRoleSessionName": "AWSLF-00-GL-111122223333-G13T0Rmng2"
    },
...
}

Rastreando o acesso aos dados CloudTrail com o Lake Formation

O Lake Formation emite credenciais temporárias com escopo reduzido para mecanismos de consulta, como Amazon EMR AWS Glue e, para acessar locais de dados de tabelas no Amazon S3. O Lake Formation usa a função do IAM que você especifica ao registrar um local de dados no Lake Formation para vender essas credenciais.

Mudança no comportamento da CloudTrail exploração madeireira (fevereiro de 2026)

Antes de fevereiro de 2026, quando um mecanismo de consulta fazia uma s3:GetObject chamada para buscar dados da consulta, os CloudTrail registros exibiam a função IAM do registro do Lake Formation como principal.

A partir de fevereiro de 2026, CloudTrail os registros de s3:GetObject chamadas também incluem o identificador exclusivo do IAM (começando comAROA) da função do IAM que iniciou a consulta. Esse identificador corresponde à função do IAM que iniciou a consulta, ao trabalho do Amazon EMR ou ao trabalho de AWS Glue ETL.

Rastreando o acesso aos dados desde o início da consulta até o Amazon S3

Cada s3:GetObject chamada recebida CloudTrail corresponde a uma lakeformation:GetDataAccess chamada. Você pode usar o identificador de função do IAM que está presente nas duas entradas de registro para rastrear a função do IAM do chamador desde o início da consulta até o acesso aos dados no Amazon S3.

Para habilitar as informações de identidade de origem nos CloudTrail registros de eventos de dados do Amazon S3, siga as etapas abaixo. Para habilitar eventos de dados do Amazon S3 CloudTrail, consulte Habilitar CloudTrail o registro de eventos para buckets e objetos do Amazon S3.

Importante

A ativação de eventos de dados do Amazon S3 CloudTrail incorre em cobranças adicionais.

Para habilitar o rastreamento de identidade de origem nos CloudTrail registros

Usando, execute o get-data-lake-settings comando. Na resposta, edite o Parameters campo a ser adicionado"SET_SOURCE_IDENTITY": "TRUE".

Execute o comando put-data-lake-settings.
```
"Parameters": {
    "CROSS_ACCOUNT_VERSION": "4",
    "SET_SOURCE_IDENTITY": "TRUE"
},
```

Na política de confiança da função do IAM usada para registrar sua localização de dados do Amazon S3 no Lake Formation, adicione: sts:SetSourceIdentity


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "lakeformation.amazonaws.com"
                ]
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetSourceIdentity"
            ]
        }
    ]
}

O registro a seguir mostra as informações de identidade de origem em um s3:GetObject CloudTrail registro de exemplo.


"sessionContext": {
    "sessionIssuer": {
        "type": "Role",
        "principalId": "AROA2EXAMPLEXYZ3AB6CDKLM",
        "arn": "arn:aws:iam::111122223333:role/LFRegistrationRole",
        "accountId": "111122223333",
        "userName": "LFRegistrationRole"
    },
    "sourceIdentity": "V2.111122223333.AROA3EXAMPLEPQR7ST9UVWXY"
},
"invokedBy": "glue.amazonaws.com"

Consulte também

Para obter informações sobre como rastrear o contexto do usuário do IAM Identity Center em CloudTrail registros, consulteIntegrar o Centro de Identidade do IAM.

Monitoramento do acesso ao catálogo federado do Amazon Redshift

Os catálogos federados do Amazon Redshift no não geram eventos nos AWS Glue Data Catalog registros do GetDataAccess Lake Formation. CloudTrail Para acompanhar às tabelas do Amazon Redshift no Data Catalog, monitore eventos GetTable e BatchGetTable, que capturam padrões de acesso a metadados para tabelas federadas do Redshift, incluindo nome da tabela, nome do banco de dados e informações de ID do catálogo.

Consulte também

Registro em várias contas CloudTrail

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

AWS CloudTrail Lago

Práticas recomendadas, considerações e limitações do Lake Formation