Resumo Pré-requisitos e limitações Arquitetura Ferramentas Épicos Recursos relacionados Anexos

Visualize os logs de auditoria do Amazon Redshift usando o Amazon Athena e o Amazon QuickSight

Criado por Sanket Sirsikar (AWS) e Gopal Krishna Bhatia (AWS)

Resumo

A segurança é parte integrante das operações de banco de dados na Amazon Web Services (AWS) Cloud. Sua organização deve garantir o monitoramento das atividades e conexões dos usuários do banco de dados para detectar possíveis incidentes e riscos de segurança. Esse padrão ajuda a monitorar os seus bancos de dados para fins de segurança e solução de problemas, que é um processo conhecido como auditoria de banco de dados.

Esse padrão fornece um script SQL que automatiza a criação de uma tabela e visualizações do Amazon Athena para um painel de relatórios na Amazon que ajuda você a auditar os logs do QuickSight Amazon Redshift. Isso garante que os usuários responsáveis pelo monitoramento das atividades do banco de dados tenham acesso conveniente aos recursos de segurança de dados.

Pré-requisitos e limitações

Pré-requisitos

Uma conta AWS ativa
Um cluster existente do Amazon Redshift. Para obter mais informações , consulte Criar um cluster do Amazon Redshift na documentação do Amazon Redshift.
Acesso a um grupo de trabalho existente do Athena. Para obter mais informações, consulte Como os grupos de trabalho funcionam na documentação do Amazon Athena.
Um bucket de origem do Amazon Simple Storage Service (Amazon S3) existente com as permissões necessárias do AWS Identity and Access Management (IAM) necessárias. Para obter mais informações, consulte Permissões de bucket para o registro em log do Amazon Redshift do Registro em log do banco de dados e auditoria na documentação do Amazon Redshift.

Arquitetura

Data flow diagram showing Amazon Redshift, logs, S3 bucket, Amazon Athena, and Amazon QuickSight.

Pilha de tecnologia

Athena
Amazon Redshift
Amazon S3
QuickSight

Ferramentas

O Amazon Athena: o Athena é um serviço de consultas interativas que facilita a análise de dados no Amazon S3 usando SQL padrão.
Amazon QuickSight — QuickSight é um serviço de inteligência de negócios (BI) escalável, sem servidor, incorporável e baseado em aprendizado de máquina.
Amazon Redshift: o Amazon Redshift é um serviço de data warehousing em escala de petabytes e em nível empresarial totalmente gerenciado.
Amazon S3: o Amazon Simple Storage Service (Amazon S3) serve como armazenamento para a internet.

Épicos

Tarefa Descrição Habilidades necessárias

Habilitar o registro em log de auditoria para o cluster do Amazon Redshift.

Tarefa	Descrição	Habilidades necessárias
Habilitar o registro em log de auditoria para o cluster do Amazon Redshift.	Faça login no Console de Gerenciamento da AWS, abra o console do Amazon Redshift, escolha CLUSTERS e, em seguida, escolha o cluster para o qual você deseja habilitar o registro em log. Escolha a guia Propriedades e habilite auditoria seguindo as instruções em Configuração da auditoria usando o console na documentação do Amazon Redshift.	DBA, engenheiro de dados
Ative o registro em log no grupo de parâmetros de cluster do Amazon Redshift.	Você pode habilitar a auditoria de logs de conexão, logs de usuário e logs de atividade de usuário ao mesmo tempo usando o Console de Gerenciamento da AWS, a referência de API do Amazon Redshift ou a AWS Command Line Interface (AWS CLI). Para auditorar os logs de atividade do usuário, você também deve habilitar o parâmetro `enable_user_activity_logging` do banco de dados. Se você habilitar somente o atributo de registro em log da auditoria, mas não o parâmetro associado, os logs de auditoria do banco de dados registram em log as informações de conexão e de usuários, mas não os logs de atividades do usuário. O parâmetro `enable_user_activity_logging` não está ativado por padrão, mas você pode ativá-lo alterando-o de `false` para `true`. Importante Você precisa criar um novo grupo de parâmetros de cluster com o `user_activity_logging` parâmetro ativado e anexá-lo ao seu cluster do Amazon Redshift. Para obter mais informações , consulte Modificar um cluster na documentação do Amazon Redshift. Para obter mais informações sobre essa tarefa, consulte Grupos de parâmetros do Amazon Redshift e Configuração da auditoria usando o console na documentação do Amazon Redshift.	DBA, engenheiro de dados
Configure permissões de bucket do S3 para registro em log de cluster do Amazon Redshift.	Quando você ativa o registro em log, o Amazon Redshift coleta informações de registro em log e as carrega para os arquivos de log armazenados no bucket do S3. Você pode criar um bucket do S3 novo ou usar um existente. Importante Certifique-se de que o Amazon Redshift tenha as permissões do IAM necessárias para acessar o bucket do S3. Para obter mais informações, consulte Permissões de bucket para o registro em log de auditoria do Amazon Redshift do Registro em log de auditoria do banco de dados na documentação do Amazon Redshift.	DBA, engenheiro de dados

Faça login no Console de Gerenciamento da AWS, abra o console do Amazon Redshift, escolha CLUSTERS e, em seguida, escolha o cluster para o qual você deseja habilitar o registro em log.
Escolha a guia Propriedades e habilite auditoria seguindo as instruções em Configuração da auditoria usando o console na documentação do Amazon Redshift.

DBA, engenheiro de dados

Ative o registro em log no grupo de parâmetros de cluster do Amazon Redshift.

Você pode habilitar a auditoria de logs de conexão, logs de usuário e logs de atividade de usuário ao mesmo tempo usando o Console de Gerenciamento da AWS, a referência de API do Amazon Redshift ou a AWS Command Line Interface (AWS CLI).

Para auditorar os logs de atividade do usuário, você também deve habilitar o parâmetro enable_user_activity_logging do banco de dados. Se você habilitar somente o atributo de registro em log da auditoria, mas não o parâmetro associado, os logs de auditoria do banco de dados registram em log as informações de conexão e de usuários, mas não os logs de atividades do usuário. O parâmetro enable_user_activity_logging não está ativado por padrão, mas você pode ativá-lo alterando-o de false para true.

Importante

Você precisa criar um novo grupo de parâmetros de cluster com o user_activity_logging parâmetro ativado e anexá-lo ao seu cluster do Amazon Redshift. Para obter mais informações , consulte Modificar um cluster na documentação do Amazon Redshift.

Para obter mais informações sobre essa tarefa, consulte Grupos de parâmetros do Amazon Redshift e Configuração da auditoria usando o console na documentação do Amazon Redshift.

DBA, engenheiro de dados

Configure permissões de bucket do S3 para registro em log de cluster do Amazon Redshift.

Quando você ativa o registro em log, o Amazon Redshift coleta informações de registro em log e as carrega para os arquivos de log armazenados no bucket do S3. Você pode criar um bucket do S3 novo ou usar um existente.

Importante

Certifique-se de que o Amazon Redshift tenha as permissões do IAM necessárias para acessar o bucket do S3. Para obter mais informações, consulte Permissões de bucket para o registro em log de auditoria do Amazon Redshift do Registro em log de auditoria do banco de dados na documentação do Amazon Redshift.

DBA, engenheiro de dados

Tarefa Descrição Habilidades necessárias

Criar a tabela e as visualizações do Athena para consultar os dados do log de auditoria do Amazon Redshift no bucket do S3.

Tarefa	Descrição	Habilidades necessárias
Criar a tabela e as visualizações do Athena para consultar os dados do log de auditoria do Amazon Redshift no bucket do S3.	Abra o console do Amazon Athena e use a consulta da linguagem de definição de dados (DDL) do script SQL `AuditLogging.sql` (em anexo) para criar a tabela e as visualizações dos registros de atividades do usuário, logs do usuário e logs de conexão. Para obter mais informações e instruções, consulte o tutorial Criar tabelas e executar consultas do Amazon Athena Workshop.	Engenheiro de dados

Abra o console do Amazon Athena e use a consulta da linguagem de definição de dados (DDL) do script SQL AuditLogging.sql (em anexo) para criar a tabela e as visualizações dos registros de atividades do usuário, logs do usuário e logs de conexão.

Para obter mais informações e instruções, consulte o tutorial Criar tabelas e executar consultas do Amazon Athena Workshop.

Engenheiro de dados

Tarefa	Descrição	Habilidades necessárias
Crie um QuickSight painel usando o Athena como fonte de dados.	Abra o QuickSight console da Amazon e crie um QuickSight painel seguindo as instruções no tutorial Visualize QuickSight usando o Athena do Amazon Athena Workshop.	DBA, engenheiro de dados

Recursos relacionados

Anexos

Para acessar o conteúdo adicional associado a este documento, descompacte o seguinte arquivo: attachment.zip

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Três tipos de trabalho de ETL do AWS Glue para converter dados

Visualize relatórios de credenciais do IAM usando a Amazon QuickSight