Pencatatan lintas akun CloudTrail - AWS Lake Formation
Termasuk identitas utama dalam log lintas akun CloudTrail Menanyakan CloudTrail log untuk akses lintas akun Amazon S3

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pencatatan lintas akun CloudTrail

Lake Formation menyediakan jejak audit terpusat dari semua akses lintas akun ke data di danau data Anda. Saat AWS akun penerima mengakses data dalam tabel bersama, Lake Formation menyalin CloudTrail peristiwa tersebut ke log akun pemilik. CloudTrail Peristiwa yang disalin mencakup kueri terhadap data oleh layanan terintegrasi seperti Amazon Athena dan Amazon Redshift Spectrum, dan akses data oleh AWS Glue pekerjaan.

CloudTrail peristiwa untuk operasi lintas akun pada sumber daya Katalog Data disalin dengan cara yang sama.

Sebagai pemilik sumber daya, jika Anda mengaktifkan pencatatan tingkat objek di Amazon S3, Anda dapat menjalankan kueri yang menggabungkan CloudTrail peristiwa S3 dengan peristiwa CloudTrail Lake Formation untuk menentukan akun yang telah mengakses bucket S3 Anda.

Termasuk identitas utama dalam log lintas akun CloudTrail

Secara default, CloudTrail peristiwa lintas akun yang ditambahkan ke log penerima sumber daya bersama dan disalin ke log pemilik sumber daya hanya berisi ID AWS utama prinsip akun eksternal—bukan Nama ARN Sumber Daya Amazon () yang dapat dibaca manusia dari prinsipal (prinsipal). ARN Saat berbagi sumber daya dalam batas-batas tepercaya, seperti dalam organisasi atau tim yang sama, Anda dapat memilih untuk memasukkan prinsipal ARN dalam CloudTrail acara. Akun pemilik sumber daya kemudian dapat melacak prinsipal di akun penerima yang mengakses sumber daya milik mereka.

penting

Sebagai penerima sumber daya bersama, untuk melihat prinsipal ARN dalam peristiwa di CloudTrail log Anda sendiri, Anda harus memilih untuk membagikan prinsipal ARN dengan akun pemilik.

Jika akses data terjadi melalui tautan sumber daya, dua peristiwa dicatat di akun penerima sumber daya bersama: satu untuk akses tautan sumber daya dan satu untuk akses sumber daya target. Acara untuk akses tautan sumber daya memang mencakup prinsipalARN. Acara untuk akses sumber daya target tidak termasuk prinsipal ARN tanpa keikutsertaan. Acara akses tautan sumber daya tidak disalin ke akun pemilik.

Berikut ini adalah kutipan dari CloudTrail acara lintas akun default (tanpa keikutsertaan). Akun yang melakukan akses data adalah 1111-2222-3333. Ini adalah log yang ditampilkan di akun panggilan dan akun pemilik sumber daya. Lake Formation mengisi log di kedua akun dalam kasus lintas akun.

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "AROAQGFTBBBGOBWV2EMZA:GlueJobRunnerSession",
        "accountId": "111122223333"
    },
    "eventSource": "lakeformation.amazonaws.com",
    "eventName": "GetDataAccess",
...
...
    "additionalEventData": {
        "requesterService": "GLUE_JOB",
        "lakeFormationRoleSessionName": "AWSLF-00-GL-111122223333-G13T0Rmng2"
    },
...
}

Sebagai konsumen sumber daya bersama, ketika Anda memilih untuk memasukkan prinsipalARN, kutipan menjadi sebagai berikut. lakeFormationPrincipalBidang mewakili peran akhir atau pengguna yang melakukan kueri melalui Amazon Athena, Amazon Redshift Spectrum, atau AWS Glue pekerjaan.

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "AROAQGFTBBBGOBWV2EMZA:GlueJobRunnerSession",
        "accountId": "111122223333"
    },
    "eventSource": "lakeformation.amazonaws.com",
    "eventName": "GetDataAccess",
...
...
    "additionalEventData": {
        "requesterService": "GLUE_JOB",
        "lakeFormationPrincipal": "arn:aws:iam::111122223333:role/ETL-Glue-Role",
        "lakeFormationRoleSessionName": "AWSLF-00-GL-111122223333-G13T0Rmng2"
    },
...
}
Untuk ikut serta untuk menyertakan prinsipal ARNs dalam log lintas akun CloudTrail

  1. Buka konsol Lake Formation di https://console.aws.amazon.com/lakeformation/.

    Masuk sebagai Administrator pengguna, atau pengguna dengan Administrator Access IAM kebijakan.

  2. Pada panel navigasi, silakan pilih Pengaturan.

  3. Pada halaman Pengaturan katalog data, di AWS CloudTrail bagian Izin default untuk, untuk pemilik Sumber Daya, masukkan satu atau beberapa akun IDs pemilik AWS sumber daya.

    Tekan Enter setelah setiap ID akun.

  4. Pilih Simpan.

    Sekarang CloudTrail peristiwa lintas akun yang disimpan di log untuk penerima sumber daya bersama dan pemilik sumber daya berisi prinsipalARN.

Menanyakan CloudTrail log untuk akses lintas akun Amazon S3

Sebagai pemilik sumber daya bersama, Anda dapat melakukan kueri CloudTrail log S3 untuk menentukan akun yang telah mengakses bucket Amazon S3 Anda (asalkan Anda mengaktifkan pencatatan tingkat objek di Amazon S3). Ini hanya berlaku untuk lokasi S3 yang Anda daftarkan di Lake Formation. Jika konsumen sumber daya bersama memilih untuk menyertakan Rans utama dalam CloudTrail log Lake Formation, Anda dapat menentukan peran atau pengguna yang mengakses bucket.

Saat menjalankan kueri Amazon Athena, Anda dapat bergabung dengan acara Lake Formation dan CloudTrail acara S3 CloudTrail di properti nama sesi. Kueri juga dapat memfilter acara Lake FormationeventName="GetDataAccess", dan acara S3 pada eventName="Get Object" atau. eventName="Put Object"

Berikut ini adalah kutipan dari CloudTrail acara lintas akun Lake Formation di mana data di lokasi S3 terdaftar diakses.

{
  "eventSource": "lakeformation.amazonaws.com",
  "eventName": "GetDataAccess",
  ..............
  ..............
  "additionalEventData": {
    "requesterService": "GLUE_JOB",
    "lakeFormationPrincipal": "arn:aws:iam::111122223333:role/ETL-Glue-Role",
    "lakeFormationRoleSessionName": "AWSLF-00-GL-111122223333-B8JSAjo5QA"
   }
}

Nilai lakeFormationRoleSessionName kunci,AWSLF-00-GL-111122223333-B8JSAjo5QA, dapat digabungkan dengan nama sesi di principalId kunci CloudTrail acara S3. Berikut ini adalah kutipan dari acara CloudTrail S3. Ini menunjukkan lokasi nama sesi.


{
   "eventSource": "s3.amazonaws.com",
   "eventName": "Get Object"
   ..............
   ..............
   "principalId": "AROAQSOX5XXUR7D6RMYLR:AWSLF-00-GL-111122223333-B8JSAjo5QA",
   "arn": "arn:aws:sets::111122223333:assumed-role/Deformationally/AWSLF-00-GL-111122223333-B8JSAjo5QA",  
   "session Context": {
     "session Issuer": {
       "type": "Role",
       "principalId": "AROAQSOX5XXUR7D6RMYLR",
       "arn": "arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/Deformationally",
       "accountId": "111122223333",
       "user Name": "Deformationally"
     },
   ..............
   ..............
}

Nama sesi diformat sebagai berikut:

AWSLF-<version-number>-<query-engine-code>-<account-id->-<suffix>
version-number

Versi format ini, saat ini00. Jika format nama sesi berubah, versi berikutnya adalah01.

query-engine-code

Menunjukkan entitas yang mengakses data. Nilai saat ini adalah:

GL AWS Glue ETLpekerjaan
AT Athena
RE Amazon Redshift Spectrum
account-id

ID AWS akun yang meminta kredensi dari Lake Formation.

suffix

String yang dihasilkan secara acak.