Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Kontoübergreifende Protokollierung CloudTrail
Lake Formation bietet einen zentralen Prüfpfad für alle kontenübergreifenden Zugriffe auf Daten in Ihrem Data Lake. Wenn ein AWS Empfängerkonto auf Daten in einer gemeinsam genutzten Tabelle zugreift, kopiert Lake Formation das CloudTrail Ereignis in die Protokolle des Eigentümerkontos CloudTrail . Zu den kopierten Ereignissen gehören Abfragen von Daten durch integrierte Services wie Amazon Athena Amazon Redshift Spectrum und Datenzugriffe durch AWS Glue Jobs.
CloudTrail Ereignisse für kontenübergreifende Operationen mit Datenkatalogressourcen werden auf ähnliche Weise kopiert.
Wenn Sie als Ressourcenbesitzer die Protokollierung auf Objektebene in Amazon S3 aktivieren, können Sie Abfragen ausführen, die CloudTrail S3-Ereignisse mit Lake Formation CloudTrail Formation-Ereignissen verknüpfen, um die Konten zu ermitteln, die auf Ihre S3-Buckets zugegriffen haben.
Themen
Einbeziehung von Hauptidentitäten in kontoübergreifende Protokolle CloudTrail
Standardmäßig enthalten kontoübergreifende CloudTrail Ereignisse, die zu den Protokollen des Empfängers der gemeinsam genutzten Ressource hinzugefügt und in die Protokolle des Ressourcenbesitzers kopiert wurden, nur die AWS Prinzipal-ID des externen Kontoprinzipals — nicht den menschenlesbaren Amazon-Ressourcennamen (ARN) des Prinzipals (Principal-ARN). Wenn Sie Ressourcen innerhalb vertrauenswürdiger Grenzen gemeinsam nutzen, z. B. innerhalb derselben Organisation oder desselben Teams, können Sie sich dafür entscheiden, den Haupt-ARN in die CloudTrail Ereignisse aufzunehmen. Mit Konten von Ressourcenbesitzern können dann die Principals in den Empfängerkonten nachverfolgt werden, die auf ihre eigenen Ressourcen zugreifen.
Wichtig
Wenn Sie als Empfänger gemeinsam genutzter Ressourcen den Prinzipal-ARN in Ereignissen in Ihren eigenen CloudTrail Protokollen sehen möchten, müssen Sie sich dafür entscheiden, den Prinzipal-ARN mit dem Besitzerkonto zu teilen.
Wenn der Datenzugriff über einen Ressourcenlink erfolgt, werden zwei Ereignisse im Empfängerkonto der gemeinsam genutzten Ressource protokolliert: eines für den Zugriff auf die Ressourcenverknüpfung und eines für den Zugriff auf die Zielressource. Das Ereignis für den Resource Link-Zugriff beinhaltet den Prinzipal-ARN. Das Ereignis für den Zugriff auf die Zielressource beinhaltet nicht den Prinzipal-ARN ohne das Opt-In. Das Ereignis für den Zugriff auf den Ressourcenlink wird nicht auf das Besitzerkonto kopiert.
Im Folgenden finden Sie einen Auszug aus einem kontoübergreifenden CloudTrail Standardereignis (ohne Opt-In). Das Konto, das den Datenzugriff durchführt, ist 1111-2222-3333. Dies ist das Protokoll, das sowohl im anrufenden Konto als auch im Konto des Ressourcenbesitzers angezeigt wird. Lake Formation füllt im kontenübergreifenden Fall Logs in beiden Konten aus.
{ "eventVersion": "1.05", "userIdentity": { "type": "AWSAccount", "principalId": "AROAQGFTBBBGOBWV2EMZA:GlueJobRunnerSession", "accountId": "111122223333" }, "eventSource": "lakeformation.amazonaws.com", "eventName": "GetDataAccess", ... ... "additionalEventData": { "requesterService": "GLUE_JOB", "lakeFormationRoleSessionName": "AWSLF-00-GL-111122223333-G13T0Rmng2" }, ... }
Wenn Sie sich als Nutzer gemeinsam genutzter Ressourcen dafür entscheiden, den Haupt-ARN einzubeziehen, lautet der Auszug wie folgt. Das lakeFormationPrincipal Feld steht für die Endrolle oder den Benutzer, der die Abfrage über Amazon Athena, Amazon Redshift Spectrum oder AWS Glue Jobs ausführt.
{ "eventVersion": "1.05", "userIdentity": { "type": "AWSAccount", "principalId": "AROAQGFTBBBGOBWV2EMZA:GlueJobRunnerSession", "accountId": "111122223333" }, "eventSource": "lakeformation.amazonaws.com", "eventName": "GetDataAccess", ... ... "additionalEventData": { "requesterService": "GLUE_JOB", "lakeFormationPrincipal": "arn:aws:iam::111122223333:role/ETL-Glue-Role", "lakeFormationRoleSessionName": "AWSLF-00-GL-111122223333-G13T0Rmng2" }, ... }
Um die Aufnahme von Haupt-ARNs in kontoübergreifende Logs zu aktivieren CloudTrail
-
Öffnen Sie die Lake-Formation-Konsole unter https://console.aws.amazon.com/lakeformation/
. Melden Sie sich als
AdministratorBenutzer oder als Benutzer mit derAdministrator AccessIAM-Richtlinie an. -
Wählen Sie im Navigationsbereich Settings (Einstellungen).
-
Geben Sie auf der Seite mit den Datenkatalogeinstellungen im AWS CloudTrail Abschnitt Standardberechtigungen für für Ressourcenbesitzer eine oder mehrere Konto-IDs für AWS Ressourcenbesitzer ein.
Drücken Sie nach jeder Konto-ID die Eingabetaste.
-
Wählen Sie Speichern.
Jetzt enthalten kontenübergreifende CloudTrail Ereignisse, die in den Protokollen sowohl für den Empfänger der gemeinsam genutzten Ressource als auch für den Ressourcenbesitzer gespeichert sind, den Haupt-ARN.
CloudTrail Logs für den kontoübergreifenden Zugriff auf Amazon S3 abfragen
Als Eigentümer gemeinsam genutzter Ressourcen können Sie CloudTrail S3-Protokolle abfragen, um die Konten zu ermitteln, die auf Ihre Amazon S3-Buckets zugegriffen haben (vorausgesetzt, Sie haben die Protokollierung auf Objektebene in Amazon S3 aktiviert). Dies gilt nur für S3-Standorte, die Sie bei Lake Formation registriert haben. Wenn Benutzer gemeinsam genutzter Ressourcen sich dafür entscheiden, Principal-Rans in Lake Formation CloudTrail Formation-Logs aufzunehmen, können Sie die Rollen oder Benutzer bestimmen, die auf die Buckets zugegriffen haben.
Wenn Sie Abfragen mit ausführen Amazon Athena, können Sie Lake Formation CloudTrail Formation-Ereignisse und CloudTrail S3-Ereignisse in der Eigenschaft Sitzungsname verknüpfen. Abfragen können auch Lake Formation Formation-Ereignisse nach eventName="GetDataAccess" und S3-Ereignisse nach eventName="Get Object" oder filterneventName="Put Object".
Im Folgenden finden Sie einen Auszug aus einem kontoübergreifenden CloudTrail Ereignis in Lake Formation, bei dem auf Daten an einem registrierten S3-Standort zugegriffen wurde.
{ "eventSource": "lakeformation.amazonaws.com", "eventName": "GetDataAccess", .............. .............. "additionalEventData": { "requesterService": "GLUE_JOB", "lakeFormationPrincipal": "arn:aws:iam::111122223333:role/ETL-Glue-Role", "lakeFormationRoleSessionName": "AWSLF-00-GL-111122223333-B8JSAjo5QA" } }
Der lakeFormationRoleSessionName Schlüsselwert,AWSLF-00-GL-111122223333-B8JSAjo5QA, kann mit dem Sitzungsnamen im principalId Schlüssel des CloudTrail S3-Ereignisses verknüpft werden. Das Folgende ist ein Auszug aus dem CloudTrail S3-Ereignis. Es zeigt den Speicherort des Sitzungsnamens.
{ "eventSource": "s3.amazonaws.com", "eventName": "Get Object" .............. .............. "principalId": "AROAQSOX5XXUR7D6RMYLR:AWSLF-00-GL-111122223333-B8JSAjo5QA", "arn": "arn:aws:sets::111122223333:assumed-role/Deformationally/AWSLF-00-GL-111122223333-B8JSAjo5QA", "session Context": { "session Issuer": { "type": "Role", "principalId": "AROAQSOX5XXUR7D6RMYLR", "arn": "arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/Deformationally", "accountId": "111122223333", "user Name": "Deformationally" }, .............. .............. }
Der Sitzungsname ist wie folgt formatiert:
AWSLF-<version-number>-<query-engine-code>-<account-id->-<suffix>
version-number-
Die aktuelle Version dieses Formats.
00Wenn sich das Format des Sitzungsnamens ändert, wird es die nächste Version sein01. query-engine-code-
Gibt die Entität an, die auf die Daten zugegriffen hat. Aktuelle Werte sind:
GLAWS GlueETL-Job ATAthena REAmazon Redshift Spectrum account-id-
Die AWS Konto-ID, die Anmeldeinformationen von Lake Formation angefordert hat.
suffix-
Eine zufällig generierte Zeichenfolge.
