Registrar em log as operações do DynamoDB usando o AWS CloudTrail

O DynamoDB é integrado ao AWS CloudTrail, um serviço que fornece um registro das ações tomadas por um usuário, uma função ou um serviço da AWS no DynamoDB. O CloudTrail captura todas as chamadas de API para o DynamoDB na forma de eventos. As chamadas capturadas incluem chamadas do console do DynamoDB e chamadas de código para as operações da API do DynamoDB usando tanto PartiQL quanto a API clássica. Se você criar uma trilha, poderá habilitar a entrega contínua de eventos do CloudTrail para um bucket do Amazon S3, incluindo eventos para o DynamoDB. Se você não configurar uma trilha, ainda poderá visualizar os eventos mais recentes no console do CloudTrail em Event history (Histórico de eventos). Usando as informações coletadas pelo CloudTrail, é possível determinar a solicitação feita para o DynamoDB, o endereço IP no qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita, além de detalhes adicionais.

Para monitoramento e alertas robustos, você também pode integrar eventos do CloudTrail ao Amazon CloudWatch Logs. Para aprimorar sua análise da atividade de serviço do DynamoDB e identificar alterações nas atividades de uma conta da AWS, você pode consultar os logs do AWS CloudTrail usando o Amazon Athena. Por exemplo, é possível usar consultas para identificar tendências e isolar ainda mais a atividade por atributos, como endereço IP de origem ou usuário.

Para saber mais sobre o CloudTrail, incluindo como configurá-lo e ativá-lo, consulte o Guia do usuário do AWS CloudTrail.

Informações do DynamoDB no CloudTrail

O CloudTrail é habilitado em sua AWS conta ao criá-la. Quando a atividade do evento compatível ocorrer no DynamoDB, ela será registrada em um evento do CloudTrail juntamente com outros eventos de serviços da AWS no Event history (Histórico de eventos). Você pode visualizar, pesquisar e baixar eventos recentes em sua AWS conta. Para ter mais informações, consulte Working with CloudTrail Event history.

Para obter um registro contínuo de eventos na sua conta da AWS, incluindo eventos do DynamoDB, crie uma trilha. Uma trilha permite que o CloudTrail entregue arquivos de log a um bucket Amazon S3. Por padrão, ao criar uma trilha no console, a mesma é aplicada a todas as AWSRegiões. A trilha registra logs de eventos de todas as Regiões na AWS divisória e entrega os arquivos do log para o bucket Amazon S3 especificado. Além disso, é possível configurar outros AWS serviços para melhor analisar e agir de acordo com dados coletados do evento nos logs CloudTrail. Para mais informações, consulte:

Eventos do ambiente de gerenciamento no CloudTrail

As seguintes ações da API são registradas por padrão como eventos nos arquivos do CloudTrail:

Amazon DynamoDB

DynamoDB Streams

DynamoDB Accelerator (DAX)

Eventos do plano de dados do DynamoDB no CloudTrail

Para habilitar o registro das ações de API a seguir nos arquivos do CloudTrail, você precisará ativar o registro de atividades da API do plano de dados no CloudTrail. Para obter mais informações, consulte Log de eventos de dados para trilhas.

Os eventos do plano de dados podem ser filtrados por tipo de recurso para permitir um controle detalhado sobre quais chamadas de API do DynamoDB você deseja registrar seletivamente em log e pagar no CloudTrail. Por exemplo, ao especificar AWS::DynamoDB::Stream como um tipo de recurso, você pode registrar em log somente chamadas para as APIs do DynamoDB. Para tabelas com fluxos habilitados, o campo de recurso no evento do plano de dados contém AWS::DynamoDB::Stream e AWS::DynamoDB::Table. Se você especificar AWS::DynamoDB::Table como tipo de recurso, ele registrará os eventos da tabela do DynamoDB e dos fluxos do DynamoDB por padrão. Você pode adicionar mais um filtro para excluir os eventos de fluxo, se não quiser que os eventos de fluxo sejam registrados. Para ter mais informações, consulte DataResource na AWS CloudTrail API Reference.

Amazon DynamoDB

DynamoDB Streams