Registrar las operaciones de DynamoDB mediante AWS CloudTrail

DynamoDB se integra con AWS CloudTrail, un servicio que proporciona un registro de las acciones llevadas a cabo por un usuario, un rol o un servicio de AWS en DynamoDB. CloudTrail captura todas las llamadas a la API para DynamoDB como eventos. Las llamadas capturadas incluyen las llamadas desde la consola de DynamoDB y las llamadas desde el código a las operaciones de la API de DynamoDB, utilizando tanto PartiQL como la API clásica. Si crea un registro de seguimiento, puede habilitar la entrega continua de eventos de CloudTrail a un bucket de Amazon S3, incluidos los eventos de DynamoDB. Si no configura un registro de seguimiento, puede ver los eventos más recientes en la consola de CloudTrail en el Historial de eventos. Mediante la información recopilada por CloudTrail, puede determinar la solicitud que se realizó a DynamoDB, la dirección IP desde la que se realizó, quién la realizó y cuándo, etc.

Para conseguir un monitoreo y alertas robustos, también puede integrar eventos de CloudTrail con Amazon CloudWatch Logs. Para mejorar el análisis de la actividad de servicio de DynamoDB e identificar cambios en las actividades de una cuenta de AWS, puede consultar los registros de AWS CloudTrail utilizando Amazon Athena. Por ejemplo, puede ejecutar consultas que identifiquen tendencias y aislar la actividad por atributos, como el usuario o la dirección IP de origen.

Para obtener más información acerca de CloudTrail, incluso cómo configurarlo y habilitarlo, consulte la Guía del usuario de AWS CloudTrail.

Temas

• Información de DynamoDB en CloudTrail
• Descripción de las entradas del archivo de registros de DynamoDB

Información de DynamoDB en CloudTrail

CloudTrail se habilita en su cuenta de AWS cuando la crea. Cuando se produce una actividad de eventos compatible en DynamoDB, la actividad se registra en un evento de CloudTrail junto con otros eventos de servicios de AWS en Event history (Historial de eventos). Puede ver, buscar y descargar los últimos eventos de la cuenta de AWS. Para obtener más información, consulte Trabajar con el historial de eventos de CloudTrail.

Para mantener un registro continuo de eventos en su cuenta de AWS, incluyendo los eventos de DynamoDB, cree un seguimiento. Un registro de seguimiento permite a CloudTrail enviar archivos de registro a un bucket de Amazon S3. De manera predeterminada, cuando se crea un registro de seguimiento en la consola, el registro de seguimiento se aplica a todas las regiones de AWS. El registro de seguimiento registra los eventos de todas las regiones de la partición de AWS y envía los archivos de registro al bucket de Amazon S3 especificado. También es posible configurar otros servicios de AWS para analizar en profundidad y actuar en función de los datos de eventos recopilados en los registros de CloudTrail. Para más información, consulte los siguientes temas:

• Introducción a la creación de registros de seguimiento

• Servicios e integraciones compatibles con CloudTrail

• Configuración de notificaciones de Amazon SNS para CloudTrail

• Recibir archivos de registro de CloudTrail de varias regiones y Recibir archivos de registro de CloudTrail de varias cuentas

Eventos del plano de control en CloudTrail

Las siguientes acciones de la API se registran de forma predeterminada como eventos en archivos de CloudTrail:

Amazon DynamoDB

• CreateBackup

• CreateGlobalTable

• CreateTable

• DeleteBackup

• DeleteTable

• DescribeBackup

• DescribeContinuousBackups

• DescribeGlobalTable

• DescribeLimits

• DescribeTable

• DescribeTimeToLive

• ListBackups

• ListTables

• ListTagsOfResource

• ListGlobalTables

• RestoreTableFromBackup

• RestoreTableToPointInTime

• TagResource

• UntagResource

• UpdateGlobalTable

• UpdateTable

• UpdateTimeToLive

• DescribeReservedCapacity

• DescribeReservedCapacityOfferings

• PurchaseReservedCapacityOfferings

• DescribeScalableTargets

• RegisterScalableTarget

DynamoDB Streams

• DescribeStream

• ListStreams

DynamoDB Accelerator (DAX)

• CreateCluster

• CreateParameterGroup

• CreateSubnetGroup

• DecreaseReplicationFactor

• DeleteCluster

• DeleteParameterGroup

• DeleteSubnetGroup

• DescribeClusters

• DescribeDefaultParameters

• DescribeEvents

• DescribeParameterGroups

• DescribeParameters

• DescribeSubnetGroups

• IncreaseReplicationFactor

• ListTags

• RebootNode

• TagResource

• UntagResource

• UpdateCluster

• UpdateParameterGroup

• UpdateSubnetGroup

Eventos del plano de datos de DynamoDB en CloudTrail

Para habilitar el registro de las siguientes acciones de API en los archivos de CloudTrail, debe habilitar el registro de la actividad de la API del plano de datos en CloudTrail. Para obtener más información, consulte Registro de eventos de datos para seguimiento.

Los eventos del plano de datos pueden filtrarse por tipo de recurso, para tener un control pormenorizado de las llamadas a la API de DynamoDB que desea registrar y pagar de forma selectiva en CloudTrail. Por ejemplo, al especificar AWS::DynamoDB::Stream como tipo de recurso, puede registrar solo las llamadas a las API de flujos de DynamoDB. Para las tablas con flujos habilitados, el campo de recursos del evento del plano de datos contiene AWS::DynamoDB::Stream y AWS::DynamoDB::Table. Si lo especifica AWS::DynamoDB::Table como tipo de recurso, registrará tanto los eventos de la tabla de DynamoDB como los de los flujos de DynamoDB de forma predeterminada. Puede agregar un filtro adicional para excluir los eventos de flujo, si no desea que se registren los eventos de flujo. Para obtener más información, consulte DataResource en la Referencia de la API de AWS CloudTrail.

Amazon DynamoDB

• BatchExecuteStatement

• BatchGetItem

• BatchWriteItem

• DeleteItem

• ExecuteStatement

• ExecuteTransaction

• GetItem

• PutItem

• Query

• Scan

• TransactGetItems

• TransactWriteItems

• UpdateItem

nota

CloudTrail no registra las acciones del plano de datos de período de vida de DynamoDB

DynamoDB Streams

• GetRecords

• GetShardIterator