Registro multicuenta CloudTrail - AWS Lake Formation

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Registro multicuenta CloudTrail

Lake Formation proporciona un registro de auditoría centralizado de todos los accesos entre cuentas a los datos de su lago de datos. Cuando una AWS cuenta de destinatario accede a los datos de una tabla compartida, Lake Formation copia el CloudTrail evento en los registros de CloudTrail la cuenta propietaria. Los eventos copiados incluyen consultas a los datos por parte de servicios integrados, como Amazon Redshift Spectrum, Amazon Athena y accesos a los datos por parte de AWS Glue trabajos.

CloudTrail los eventos de las operaciones entre cuentas en los recursos del catálogo de datos se copian de forma similar.

Como propietario del recurso, si habilita el registro a nivel de objeto en Amazon S3, puede ejecutar consultas que unan los eventos de S3 con CloudTrail los eventos de Lake Formation CloudTrail para determinar las cuentas que han accedido a sus buckets de S3.

Incluir las identidades principales en los registros entre cuentas CloudTrail

De forma predeterminada, CloudTrail los eventos multicuenta que se añaden a los registros del destinatario del recurso compartido y se copian en los registros del propietario del recurso contienen solo el ID AWS principal de la cuenta externa, no el nombre de recurso de Amazon legible para los humanos (ARN) del principal (principal). ARN Al compartir recursos dentro de límites de confianza, como dentro de la misma organización o equipo, puede optar por incluir al director en los eventos. ARN CloudTrail A continuación, las cuentas de propietarios de recursos pueden hacer un seguimiento de las entidades principales de las cuentas de destinatarios que acceden a sus recursos en propiedad.

importante

Como destinatario de recursos compartidos, para ver el director de los eventos ARN en tus propios CloudTrail registros, debes optar por compartir el principal ARN con la cuenta del propietario.

Si el acceso a los datos se produce a través de un enlace de recursos, se registran dos eventos en la cuenta del destinatario del recurso compartido: uno para el acceso al enlace de recursos y otro para el acceso al recurso de destino. El evento de acceso al enlace al recurso incluye al principalARN. El evento del acceso al recurso de destino no incluye al principal ARN sin la autorización. El evento de acceso al enlace de recursos no se copia en la cuenta del propietario.

El siguiente es un extracto de un CloudTrail evento multicuenta predeterminado (sin suscripción). La cuenta que efectúa el acceso a los datos es 1111-2222-3333. Este es el registro que se muestra en la cuenta de llamada y en la cuenta del propietario del recurso. Lake Formation rellena los registros de ambas cuentas en el caso entre cuentas.

{ "eventVersion": "1.05", "userIdentity": { "type": "AWSAccount", "principalId": "AROAQGFTBBBGOBWV2EMZA:GlueJobRunnerSession", "accountId": "111122223333" }, "eventSource": "lakeformation.amazonaws.com", "eventName": "GetDataAccess", ... ... "additionalEventData": { "requesterService": "GLUE_JOB", "lakeFormationRoleSessionName": "AWSLF-00-GL-111122223333-G13T0Rmng2" }, ... }

Como consumidor de recursos compartidos, si optas por incluir al directorARN, el extracto pasa a ser el siguiente. El lakeFormationPrincipal campo representa la función o el usuario final que realiza la consulta a través de Amazon Athena, Amazon Redshift Spectrum o AWS Glue trabajos.

{ "eventVersion": "1.05", "userIdentity": { "type": "AWSAccount", "principalId": "AROAQGFTBBBGOBWV2EMZA:GlueJobRunnerSession", "accountId": "111122223333" }, "eventSource": "lakeformation.amazonaws.com", "eventName": "GetDataAccess", ... ... "additionalEventData": { "requesterService": "GLUE_JOB", "lakeFormationPrincipal": "arn:aws:iam::111122223333:role/ETL-Glue-Role", "lakeFormationRoleSessionName": "AWSLF-00-GL-111122223333-G13T0Rmng2" }, ... }
Para optar por incluir el capital ARNs en los registros de varias cuentas CloudTrail
  1. Abra la consola de Lake Formation en https://console.aws.amazon.com/lakeformation/.

    Inicie sesión como el Administrator usuario o como un usuario con la Administrator Access IAM política.

  2. En el panel de navegación, seleccione Configuración.

  3. En la página de configuración del catálogo de datos, en la AWS CloudTrail sección Permisos predeterminados para los propietarios de los recursos, introduzca una o más cuentas de propietario del AWS recursoIDs.

    Pulse Intro después de cada ID de cuenta.

  4. Seleccione Guardar.

    Ahora, CloudTrail los eventos entre cuentas almacenados en los registros tanto para el destinatario del recurso compartido como para el propietario del recurso contienen el principalARN.

Consulta de CloudTrail registros para el acceso entre cuentas de Amazon S3

Como propietario de un recurso compartido, puede consultar CloudTrail los registros de S3 para determinar las cuentas que han accedido a sus buckets de Amazon S3 (siempre que haya habilitado el registro a nivel de objeto en Amazon S3). Esto solo se aplica a las ubicaciones S3 que haya registrado en Lake Formation. Si los consumidores de recursos compartidos optan por incluir el capital ARNs en los CloudTrail registros de Lake Formation, puede determinar las funciones o los usuarios que accedieron a los depósitos.

Al ejecutar consultas con Amazon Athena, puede unir los eventos de Lake Formation y CloudTrail los eventos de S3 CloudTrail en la propiedad del nombre de la sesión. Las consultas también pueden filtrar los eventos de Lake Formation en eventName="GetDataAccess" y los eventos de S3 en eventName="Get Object" oeventName="Put Object".

El siguiente es un extracto de un CloudTrail evento entre cuentas de Lake Formation en el que se accedió a los datos de una ubicación S3 registrada.

{ "eventSource": "lakeformation.amazonaws.com", "eventName": "GetDataAccess", .............. .............. "additionalEventData": { "requesterService": "GLUE_JOB", "lakeFormationPrincipal": "arn:aws:iam::111122223333:role/ETL-Glue-Role", "lakeFormationRoleSessionName": "AWSLF-00-GL-111122223333-B8JSAjo5QA" } }

El valor lakeFormationRoleSessionName clave,AWSLF-00-GL-111122223333-B8JSAjo5QA, se puede unir al nombre de la sesión en la principalId clave del evento de S3 CloudTrail . El siguiente es un extracto del CloudTrail evento S3. Muestra la ubicación del nombre de la sesión.

{ "eventSource": "s3.amazonaws.com", "eventName": "Get Object" .............. .............. "principalId": "AROAQSOX5XXUR7D6RMYLR:AWSLF-00-GL-111122223333-B8JSAjo5QA", "arn": "arn:aws:sets::111122223333:assumed-role/Deformationally/AWSLF-00-GL-111122223333-B8JSAjo5QA", "session Context": { "session Issuer": { "type": "Role", "principalId": "AROAQSOX5XXUR7D6RMYLR", "arn": "arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/Deformationally", "accountId": "111122223333", "user Name": "Deformationally" }, .............. .............. }

El nombre de la base de datos se forma de la siguiente manera:

AWSLF-<version-number>-<query-engine-code>-<account-id->-<suffix>
version-number

La versión de este formato, actualmente 00. Si cambia el formato del nombre de la sesión, la siguiente versión será la 01.

query-engine-code

Indica la entidad que ha accedido a los datos. Los valores actuales son:

GL AWS Glue ETLtrabajo
AT Athena
RE Amazon Redshift Spectrum
account-id

El identificador de la AWS cuenta que solicitó las credenciales de Lake Formation.

suffix

Una cadena generada aleatoriamente.