Resumen Requisitos previos y limitaciones Arquitectura Herramientas Epics Recursos relacionados Conexiones

Visualice los registros de auditoría de Amazon Redshift con Amazon Athena y Amazon QuickSight

Creado por Sanket Sirsikar (AWS) y Gopal Krishna Bhatia () AWS

Entorno: PoC o piloto

Tecnologías: análisis, macrodatos, lagos de datos

AWSservicios: Amazon Athena; Amazon Redshift; Amazon S3; Amazon QuickSight

Resumen

La seguridad es una parte integral de las operaciones de bases de datos en la nube de Amazon Web Services (AWS). Su organización debe asegurarse de supervisar las actividades y las conexiones de los usuarios de la base de datos para detectar posibles incidentes y riesgos de seguridad. Este patrón ayuda a supervisar las bases de datos con fines de seguridad y solución de problemas, un proceso que suele denominarse auditoría de base de datos.

Este patrón proporciona un SQL script que automatiza la creación de una tabla de Amazon Athena y vistas para un panel de informes en Amazon que le ayuda a auditar los registros de QuickSight Amazon Redshift. Esto garantiza que los usuarios responsables de supervisar las actividades de la base de datos tengan un acceso cómodo a las características de seguridad de los datos.

Requisitos previos y limitaciones

Requisitos previos

Una cuenta de AWS activa.
Un clúster de Amazon Redshift existente. Para obtener más información, consulte Create an Amazon Redshift cluster (Crear un clúster de Amazon Redshift) en la documentación de Amazon Redshift.
Acceso a un grupo de trabajo de Athena existente. Para obtener más información, consulte How workgroups work (Cómo funcionan los grupos de trabajo) en la documentación de Amazon Athena.
Un bucket de origen existente de Amazon Simple Storage Service (Amazon S3) con los permisos de Identity and Access Management IAM () AWS necesarios. Para obtener más información, consulte Bucket permissions for Amazon Redshift audit logging (Permisos de bucket para el registro de auditoría de Amazon Redshift) en Database audit logging (Registros de auditoría de bases de datos) de la documentación de Amazon Redshift.

Arquitectura

Data flow diagram showing Amazon Redshift, logs, S3 bucket, Amazon Athena, and Amazon QuickSight.

Pila de tecnología

Athena
Amazon Redshift
Amazon S3
QuickSight

Herramientas

Amazon Athena: Athena es un servicio de consultas interactivo que facilita el análisis de datos en Amazon S3 de forma estándar. SQL
Amazon QuickSight: QuickSight es un servicio de inteligencia empresarial (BI) escalable, sin servidor, integrable y basado en el aprendizaje automático.
Amazon Redshift: Amazon Redshift es un servicio de almacenamiento de datos completamente administrado, de nivel empresarial y de escala de petabytes.
Amazon S3: Amazon Simple Storage Service (Amazon S3) es un servicio de almacenamiento para Internet.

Epics

Tarea Descripción Habilidades requeridas

Habilite el registro de auditoría para el clúster de Amazon Redshift.

Tarea	Descripción	Habilidades requeridas
Habilite el registro de auditoría para el clúster de Amazon Redshift.	Inicie sesión en la consola AWS de administración, abra la consola de Amazon Redshift, elija y CLUSTERS, a continuación, elija el clúster para el que desea habilitar el registro. Seleccione la pestaña Properties (Propiedades) y, a continuación, active la auditoría; para ello, siga las instrucciones de Configuring auditing using the console (Configurar la auditoría mediante la consola) en la documentación de Amazon Redshift.	DBA, ingeniero de datos
Habilite el registro en el grupo de parámetros del clúster de Amazon Redshift.	Puede habilitar la auditoría de los registros de conexión, los registros de usuarios y los registros de actividad de los usuarios al mismo tiempo mediante la consola de AWS administración, la API referencia de Amazon Redshift o la interfaz de línea de AWS comandos () AWSCLI. Para auditar los registros de actividad de los usuarios, también debe habilitar el parámetro `enable_user_activity_logging` de la base de datos. Si habilita solo la característica de registro de auditoría y no el parámetro asociado, los registros de auditoría de la base de datos registrarán únicamente la información de los registros de conexión y de usuario, pero no la del registro de actividad del usuario. El parámetro `enable_user_activity_logging` no está habilitado de forma predeterminada, pero puede activarlo cambiándolo de `false` a`true`. Importante: Debe crear un nuevo grupo de parámetros de clúster con el parámetro `user_activity_logging` activado y adjuntarlo a su clúster de Amazon Redshift. Para obtener más información, consulte Modifying a cluster (Cómo modificar un clúster) en la documentación de Amazon Redshift. Para obtener más información sobre esta tarea, consulte Amazon Redshift parameter groups (Grupos de parámetros de Amazon Redshift) y Configuring auditing using the console (Configurar la auditoría mediante la consola) en la documentación de Amazon Redshift.	DBA, ingeniero de datos
Configure los permisos del bucket de S3 para el registro de clúster de Amazon Redshift.	Al habilitar el registro, Amazon Redshift recopila la información de los registros y la carga en los archivos de registro almacenados en el bucket de S3. Puede crear un nuevo bucket de S3 o utilizar un bucket existente. Importante: Asegúrese de que Amazon Redshift tenga los IAM permisos necesarios para acceder al bucket de S3. Para obtener más información al respecto, consulte Bucket permissions for Amazon Redshift audit logging (Permisos de bucket para el registro de auditoría de Amazon Redshift) en Database audit logging (Registros de auditoría de bases de datos) de la documentación de Amazon Redshift.	DBA, ingeniero de datos

Inicie sesión en la consola AWS de administración, abra la consola de Amazon Redshift, elija y CLUSTERS, a continuación, elija el clúster para el que desea habilitar el registro.
Seleccione la pestaña Properties (Propiedades) y, a continuación, active la auditoría; para ello, siga las instrucciones de Configuring auditing using the console (Configurar la auditoría mediante la consola) en la documentación de Amazon Redshift.

DBA, ingeniero de datos

Habilite el registro en el grupo de parámetros del clúster de Amazon Redshift.

Puede habilitar la auditoría de los registros de conexión, los registros de usuarios y los registros de actividad de los usuarios al mismo tiempo mediante la consola de AWS administración, la API referencia de Amazon Redshift o la interfaz de línea de AWS comandos () AWSCLI.

Para auditar los registros de actividad de los usuarios, también debe habilitar el parámetro enable_user_activity_logging de la base de datos. Si habilita solo la característica de registro de auditoría y no el parámetro asociado, los registros de auditoría de la base de datos registrarán únicamente la información de los registros de conexión y de usuario, pero no la del registro de actividad del usuario. El parámetro enable_user_activity_logging no está habilitado de forma predeterminada, pero puede activarlo cambiándolo de false atrue.

Importante: Debe crear un nuevo grupo de parámetros de clúster con el parámetro user_activity_logging activado y adjuntarlo a su clúster de Amazon Redshift. Para obtener más información, consulte Modifying a cluster (Cómo modificar un clúster) en la documentación de Amazon Redshift.

Para obtener más información sobre esta tarea, consulte Amazon Redshift parameter groups (Grupos de parámetros de Amazon Redshift) y Configuring auditing using the console (Configurar la auditoría mediante la consola) en la documentación de Amazon Redshift.

DBA, ingeniero de datos

Configure los permisos del bucket de S3 para el registro de clúster de Amazon Redshift.

Al habilitar el registro, Amazon Redshift recopila la información de los registros y la carga en los archivos de registro almacenados en el bucket de S3. Puede crear un nuevo bucket de S3 o utilizar un bucket existente.

Importante: Asegúrese de que Amazon Redshift tenga los IAM permisos necesarios para acceder al bucket de S3. Para obtener más información al respecto, consulte Bucket permissions for Amazon Redshift audit logging (Permisos de bucket para el registro de auditoría de Amazon Redshift) en Database audit logging (Registros de auditoría de bases de datos) de la documentación de Amazon Redshift.

DBA, ingeniero de datos

Tarea Descripción Habilidades requeridas

Cree la tabla y las vistas de Athena para consultar los datos del registro de auditoría de Amazon Redshift desde el bucket de S3.

Tarea	Descripción	Habilidades requeridas
Cree la tabla y las vistas de Athena para consultar los datos del registro de auditoría de Amazon Redshift desde el bucket de S3.	Abra la consola de Amazon Athena y utilice la consulta del lenguaje de definición de datos (DDL) del `AuditLogging.sql` SQL script (adjunto) para crear la tabla y las vistas de los registros de actividad de los usuarios, los registros de usuarios y los registros de conexión. Para obtener más información e instrucciones, consulte el tutorial Create tables and run queries (Crear tablas y ejecutar consultas) del taller de Amazon Athena.	Ingeniero de datos

Abra la consola de Amazon Athena y utilice la consulta del lenguaje de definición de datos (DDL) del AuditLogging.sql SQL script (adjunto) para crear la tabla y las vistas de los registros de actividad de los usuarios, los registros de usuarios y los registros de conexión.

Para obtener más información e instrucciones, consulte el tutorial Create tables and run queries (Crear tablas y ejecutar consultas) del taller de Amazon Athena.

Ingeniero de datos

Tarea	Descripción	Habilidades requeridas
Cree un QuickSight cuadro de mando con Athena como fuente de datos.	Abre la QuickSight consola de Amazon y crea un QuickSight panel de control siguiendo las instrucciones del tutorial Visualiza QuickSight con Athena del taller de Amazon Athena.	DBA, ingeniero de datos

Recursos relacionados

Create tables and run queries in Athena (Crear crear tablas y ejecutar consultas en Athena)
Visualice QuickSight con Athena

Conexiones

Para acceder al contenido adicional asociado a este documento, descomprima el archivo: attachment.zip

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Tres tipos de trabajos de AWS Glue para convertir datos

Visualice los informes de IAM credenciales con Amazon QuickSight