Pencatatan log operasi DynamoDB menggunakan AWS CloudTrail

DynamoDB terintegrasi AWS CloudTrail dengan, layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau AWS layanan di DynamoDB. CloudTrail menangkap semua panggilan API untuk DynamoDB sebagai peristiwa. Panggilan yang ditangkap mencakup panggilan dari konsol DynamoDB dan panggilan kode ke operasi DynamoDB API, menggunakan PartiQL dan API klasik. Jika Anda membuat jejak, Anda dapat mengaktifkan pengiriman acara secara terus menerus ke bucket Amazon S3, termasuk CloudTrail peristiwa untuk DynamoDB. Jika Anda tidak mengonfigurasi jejak, Anda masih dapat melihat peristiwa terbaru di CloudTrail konsol dalam Riwayat acara. Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuat ke DynamoDB, alamat IP dari mana permintaan dibuat, siapa yang membuat permintaan, kapan dibuat, dan detail tambahan.

Untuk pemantauan dan peringatan yang kuat, Anda juga dapat mengintegrasikan CloudTrail peristiwa dengan Amazon CloudWatch Logs. Untuk meningkatkan analisis aktivitas layanan DynamoDB dan mengidentifikasi perubahan aktivitas untuk AWS akun, Anda dapat melakukan AWS CloudTrail kueri log menggunakan Amazon Athena. Misalnya, Anda dapat menggunakan kueri untuk mengidentifikasi tren dan mengisolasi aktivitas lebih lanjut berdasarkan atribut seperti alamat IP sumber atau pengguna.

Untuk mempelajari selengkapnya CloudTrail, termasuk cara mengonfigurasi dan mengaktifkannya, lihat Panduan AWS CloudTrail Pengguna.

Topik

• Informasi DynamoDB di CloudTrail
• Memahami entri file log DynamoDB

Informasi DynamoDB di CloudTrail

CloudTrail diaktifkan di AWS akun Anda saat Anda membuat akun. Ketika aktivitas peristiwa yang didukung terjadi di DynamoDB, aktivitas tersebut direkam dalam CloudTrail suatu peristiwa bersama dengan peristiwa layanan AWS lainnya dalam riwayat Acara. Anda dapat melihat, mencari, dan mengunduh acara terbaru di AWS akun Anda. Untuk informasi selengkapnya, lihat Bekerja dengan riwayat CloudTrail Acara.

Untuk catatan peristiwa yang sedang berlangsung di AWS akun Anda, termasuk acara untuk DynamoDB, buat jejak. Jejak memungkinkan CloudTrail untuk mengirimkan file log ke bucket Amazon S3. Secara default, saat Anda membuat jejak di konsol, jejak tersebut berlaku untuk semua AWS Wilayah. Jejak mencatat peristiwa dari semua Wilayah di AWS partisi dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Selain itu, Anda dapat mengonfigurasi AWS layanan lain untuk menganalisis lebih lanjut dan menindaklanjuti data peristiwa yang dikumpulkan dalam CloudTrail log. Untuk informasi selengkapnya, lihat berikut:

• Gambaran umum untuk membuat jejak

• CloudTrail layanan dan integrasi yang didukung

• Mengonfigurasi notifikasi Amazon SNS untuk CloudTrail

• Menerima file CloudTrail log dari beberapa wilayah dan Menerima file CloudTrail log dari beberapa akun

Kontrol peristiwa pesawat di CloudTrail

Tindakan API berikut dicatat secara default sebagai peristiwa dalam CloudTrail file:

Amazon DynamoDB

• CreateBackup

• CreateGlobalTable

• CreateTable

• DeleteBackup

• DeleteTable

• DescribeBackup

• DescribeContinuousBackups

• DescribeGlobalTable

• DescribeLimits

• DescribeTable

• DescribeTimeToLive

• ListBackups

• ListTables

• ListTagsOfResource

• ListGlobalTables

• RestoreTableFromBackup

• RestoreTableToPointInTime

• TagResource

• UntagResource

• UpdateGlobalTable

• UpdateTable

• UpdateTimeToLive

• DescribeReservedCapacity

• DescribeReservedCapacityOfferings

• PurchaseReservedCapacityOfferings

• DescribeScalableTargets

• RegisterScalableTarget

DynamoDB Streams

• DescribeStream

• ListStreams

DynamoDB Accelerator (DAX)

• CreateCluster

• CreateParameterGroup

• CreateSubnetGroup

• DecreaseReplicationFactor

• DeleteCluster

• DeleteParameterGroup

• DeleteSubnetGroup

• DescribeClusters

• DescribeDefaultParameters

• DescribeEvents

• DescribeParameterGroups

• DescribeParameters

• DescribeSubnetGroups

• IncreaseReplicationFactor

• ListTags

• RebootNode

• TagResource

• UntagResource

• UpdateCluster

• UpdateParameterGroup

• UpdateSubnetGroup

Peristiwa bidang data DynamoDB di CloudTrail

Untuk mengaktifkan pencatatan tindakan API berikut dalam CloudTrail file, Anda harus mengaktifkan pencatatan aktivitas API bidang data CloudTrail. Lihat Pencatatan log peristiwa data untuk jejak untuk informasi selengkapnya.

Peristiwa bidang data dapat difilter berdasarkan jenis sumber daya, untuk kontrol terperinci atas panggilan DynamoDB API yang ingin Anda log dan bayar secara selektif. CloudTrail Misalnya, dengan menentukan AWS::DynamoDB::Stream sebagai jenis sumber daya, Anda hanya dapat mencatat panggilan ke API aliran DynamoDB. Untuk tabel dengan aliran yang diaktifkan, bidang sumber daya dalam peristiwa bidang data berisi AWS::DynamoDB::Stream dan AWS::DynamoDB::Table. Jika Anda menentukan AWS::DynamoDB::Table sebagai jenis sumber daya, tabel DynamoDB dan peristiwa aliran DynamoDB akan dicatat secara default. Anda dapat menambahkan filter tambahan untuk mengecualikan peristiwa aliran, jika tidak ingin peristiwa aliran dicatat. Untuk informasi selengkapnya, lihat DataResourcedi Referensi AWS CloudTrail API.

Amazon DynamoDB

• BatchExecuteStatement

• BatchGetItem

• BatchWriteItem

• DeleteItem

• ExecuteStatement

• ExecuteTransaction

• GetItem

• PutItem

• Kueri

• Scan

• TransactGetItems

• TransactWriteItems

• UpdateItem

catatan

DynamoDB Time to Live tindakan pesawat data tidak dicatat oleh CloudTrail

DynamoDB Streams

• GetRecords

• GetShardIterator