AWS CloudTrail を使用して DynamoDB オペレーションをログに記録する - Amazon DynamoDB

AWS CloudTrail を使用して DynamoDB オペレーションをログに記録する

DynamoDB は、DynamoDB のユーザー、ロール、または AWS のサービスによって実行されたアクションをレコードするサービスである AWS CloudTrail と統合されています。CloudTrail は、DynamoDB のすべての API コールをイベントとしてキャプチャします。キャプチャされた呼び出しには、DynamoDB コンソールからの呼び出しと PartiQL とクラシック API の両方を使用した DynamoDB API オペレーションへのコード呼び出しが含まれます。証跡を作成する場合は、DynamoDB のイベントなど、Amazon S3 バケットへの CloudTrail イベントの継続的な配信を有効にすることができます。追跡を設定しない場合でも、CloudTrail コンソールの [Event history] (イベント履歴) で最新のイベントを表示できます。CloudTrail で収集された情報を使用して、DynamoDB に対するリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細を確認できます。

堅牢なモニタリングとアラートのために、CloudTrail イベントを Amazon CloudWatch Logs と統合することもできます。DynamoDB サービスアクティビティの分析を強化し、AWS アカウントのアクティビティの変更を特定するには、Amazon Athena を使用して、AWS CloudTrail をクエリできます。例えば、クエリを使用して傾向を識別したり、アクティビティを属性 (ソース IP アドレスやユーザーなど) でさらに分離したりできます。

設定や有効化の方法など、CloudTrail の詳細については、「 AWS CloudTrail ユーザーガイド」を参照してください。

CloudTrail 内の DynamoDB 情報

AWS アカウントを作成すると、そのアカウントに対して CloudTrail が有効になります。DynamoDB でサポートされているイベントアクティビティが発生すると、そのアクティビティは [イベント履歴] の他の AWS のサービスのイベントとともに CloudTrail イベントにレコードされます。AWS アカウントで最近のイベントを表示、検索、ダウンロードできます。詳細については、「CloudTrail イベント履歴の操作」を参照してください。

DynamoDB のイベントなど、AWS アカウントのイベントの継続的なレコードについては、証跡を作成します。追跡により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成すると、すべての AWS リージョンに証跡が適用されます。証跡は、AWSパーティションのすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、CloudTrail ログで収集したイベントデータをより詳細に分析し、それに基づいて対応するため、他の AWS サービスを構成できます。詳細については、次を参照してください:

CloudTrail のコントロールプレーンイベント

デフォルトで、以下の API アクションはイベントとして CloudTrail ファイルに記録されます。

Amazon DynamoDB

DynamoDB Streams

DynamoDB Accelerator (DAX)

CloudTrail の DynamoDB データプレーンイベント

CloudTrail ファイルで以下の API アクションのロギングを有効にするには、CloudTrail でデータプレーン API アクティビティのログ記録を有効にする必要があります。詳細については、「Logging data events for trails」を参照してください。

データプレーンイベントは、リソースタイプ別にフィルタリングして、CloudTrail でログと支払いを選択的に実行する DynamoDB API 呼び出しをきめ細かくコントロールできます。例えば、リソースタイプに AWS::DynamoDB::Stream を指定することで、DynamoDB ストリーム API への呼び出しのみをログに記録できます。ストリームが有効になっているテーブルの場合、データプレーンイベントのリソースフィールドには AWS::DynamoDB::StreamAWS::DynamoDB::Table 両方が含まれます。リソースタイプに AWS::DynamoDB::Table を指定すると、デフォルトで DynamoDB テーブルと DynamoDB ストリームイベントの両方がログに記録されます。ストリームイベントをログに記録しない場合、ストリームイベントを除外するフィルターを追加できます。詳細については、「AWS CloudTrail API リファレンス」の「DataResource」を参照してください。

Amazon DynamoDB

注記

CloudTrail では DynamoDB の有効期限 (TTL) データプレーンのアクションはログに記録されません。

DynamoDB Streams