Journalisation des opérations de DynamoDB à l'aide d' AWS CloudTrail

DynamoDB est intégré AWS CloudTrailà un service qui fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un AWS service dans DynamoDB. CloudTrail capture tous les appels d'API pour DynamoDB sous forme d'événements. Les appels capturés incluent les appels de la console DynamoDB et les appels de code aux opérations d'API DynamoDB, en utilisant à la fois PartiQL et l'API classique. Si vous créez un suivi, vous pouvez activer la diffusion continue des CloudTrail événements vers un compartiment Amazon S3, y compris des événements pour DynamoDB. Si vous ne configurez pas de suivi, vous pouvez toujours consulter les événements les plus récents dans la CloudTrail console dans Historique des événements. À l'aide des informations collectées par CloudTrail, vous pouvez déterminer la demande envoyée à DynamoDB, l'adresse IP à partir de laquelle la demande a été effectuée, l'auteur de la demande, la date à laquelle elle a été faite, ainsi que des informations supplémentaires.

Pour une surveillance et des alertes robustes, vous pouvez également intégrer CloudTrail des événements à Amazon CloudWatch Logs. Pour améliorer votre analyse de l'activité des services DynamoDB et identifier les modifications apportées aux activités d' AWS un compte, vous pouvez AWS CloudTrail interroger les journaux à l'aide d'Amazon Athena. Par exemple, vous pouvez utiliser des requêtes pour identifier des tendances et isoler davantage l'activité par attributs, comme l'adresse IP source ou l'utilisateur.

Pour en savoir plus CloudTrail, notamment comment le configurer et l'activer, consultez le guide de AWS CloudTrail l'utilisateur.

Rubriques

• Informations DynamoDB dans CloudTrail
• Présentation des entrées de fichier journal DynamoDB

Informations DynamoDB dans CloudTrail

CloudTrail est activé sur votre AWS compte lorsque vous le créez. Lorsqu'une activité événementielle prise en charge se produit dans DynamoDB, cette activité est enregistrée dans CloudTrail un événement avec d' AWS autres événements de service dans l'historique des événements. Vous pouvez consulter, rechercher et télécharger les événements récents dans votre AWS compte. Pour plus d'informations, consultez la section Affichage des événements avec l'historique des CloudTrail événements.

Pour un enregistrement continu des événements de votre AWS compte, y compris des événements pour DynamoDB, créez une trace. Un suivi permet CloudTrail de fournir des fichiers journaux à un compartiment Amazon S3. Par défaut, lorsque vous créez un parcours dans la console, celui-ci s'applique à toutes les AWS régions. Le journal enregistre les événements de toutes les régions de la AWS partition et transmet les fichiers journaux au compartiment Amazon S3 que vous spécifiez. En outre, vous pouvez configurer d'autres AWS services pour analyser plus en détail les données d'événements collectées dans les CloudTrail journaux et agir en conséquence. Pour plus d’informations, consultez les ressources suivantes :

• Présentation de la création d’un journal de suivi

• CloudTrail services et intégrations pris en charge

• Configuration des notifications Amazon SNS pour CloudTrail

• Réception de fichiers CloudTrail journaux de plusieurs régions et réception de fichiers CloudTrail journaux de plusieurs comptes

Événements du plan de contrôle dans CloudTrail

Les actions d'API suivantes sont enregistrées par défaut sous forme d'événements dans CloudTrail des fichiers :

Amazon DynamoDB

• CreateBackup

• CreateGlobalTable

• CreateTable

• DeleteBackup

• DeleteTable

• DescribeBackup

• DescribeContinuousBackups

• DescribeGlobalTable

• DescribeLimits

• DescribeTable

• DescribeTimeToLive

• ListBackups

• ListTables

• ListTagsOfResource

• ListGlobalTables

• RestoreTableFromBackup

• RestoreTableToPointInTime

• TagResource

• UntagResource

• UpdateGlobalTable

• UpdateTable

• UpdateTimeToLive

• DescribeReservedCapacity

• DescribeReservedCapacityOfferings

• PurchaseReservedCapacityOfferings

• DescribeScalableTargets

• RegisterScalableTarget

DynamoDB Streams

• DescribeStream

• ListStreams

DynamoDB Accelerator (DAX)

• CreateCluster

• CreateParameterGroup

• CreateSubnetGroup

• DecreaseReplicationFactor

• DeleteCluster

• DeleteParameterGroup

• DeleteSubnetGroup

• DescribeClusters

• DescribeDefaultParameters

• DescribeEvents

• DescribeParameterGroups

• DescribeParameters

• DescribeSubnetGroups

• IncreaseReplicationFactor

• ListTags

• RebootNode

• TagResource

• UntagResource

• UpdateCluster

• UpdateParameterGroup

• UpdateSubnetGroup

Événements du plan de données DynamoDB dans CloudTrail

Pour activer la journalisation des actions d'API suivantes dans CloudTrail les fichiers, vous devez activer la journalisation de l'activité de l'API du plan de données dans CloudTrail. Pour plus d'informations, consultez Consignation d'événements de données pour les journaux d'activité.

Les événements du plan de données peuvent être filtrés par type de ressource, afin de contrôler avec précision les appels d'API DynamoDB auxquels vous souhaitez vous connecter et payer de manière sélective. CloudTrail Par exemple, en spécifiant AWS::DynamoDB::Stream comme type de ressource, vous pouvez journaliser uniquement les appels aux API de flux DynamoDB. Pour les tables ayant les flux activés, le champ de ressource dans l'événement de plan de données contient à la fois AWS::DynamoDB::Stream et AWS::DynamoDB::Table. Si vous spécifiez AWS::DynamoDB::Table comme type de ressource, les événements de table DynamoDB et les événements de flux DynamoDB sont journalisés par défaut. Vous pouvez ajouter un filtre supplémentaire pour exclure les événements de flux si vous ne voulez pas que ceux-ci soient journalisés. Pour plus d'informations, consultez DataResourcela référence de CloudTrail AWS CloudTrail l'API.

Amazon DynamoDB

• BatchExecuteStatement

• BatchGetItem

• BatchWriteItem

• DeleteItem

• ExecuteStatement

• ExecuteTransaction

• GetItem

• PutItem

• Interrogation

• Analyser

• TransactGetItems

• TransactWriteItems

• UpdateItem

Note

Les actions du plan de données DynamoDB Time to Live ne sont pas enregistrées par CloudTrail

DynamoDB Streams

• GetRecords

• GetShardIterator