Riepilogo Prerequisiti e limitazioni Architettura Strumenti Epiche Risorse correlate Allegati

Visualizza i log di controllo di Amazon Redshift utilizzando Amazon Athena e Amazon QuickSight

Creato da Sanket Sirsikar (AWS) e Gopal Krishna Bhatia (AWS)

Ambiente: PoC o pilota

Tecnologie: analisi; Big data; data lake

Servizi AWS: Amazon Athena; Amazon Redshift; Amazon S3; Amazon QuickSight

Riepilogo

La sicurezza è parte integrante delle operazioni di database sul cloud Amazon Web Services (AWS). L'organizzazione deve assicurarsi di monitorare le attività e le connessioni degli utenti del database per rilevare potenziali incidenti e rischi di sicurezza. Questo modello consente di monitorare i database per scopi di sicurezza e risoluzione dei problemi, un processo noto come controllo del database.

Questo modello fornisce uno script SQL che automatizza la creazione di una tabella Amazon Athena e viste per una dashboard di reporting in Amazon che ti aiuta a controllare i log di QuickSight Amazon Redshift. Ciò garantisce che gli utenti responsabili del monitoraggio delle attività del database abbiano un comodo accesso alle funzionalità di sicurezza dei dati.

Prerequisiti e limitazioni

Prerequisiti

Un account AWS attivo.
Un cluster Amazon Redshift esistente. Per ulteriori informazioni su questo argomento, consulta Creare un cluster Amazon Redshift nella documentazione di Amazon Redshift.
Accesso a un gruppo di lavoro Athena esistente. Per ulteriori informazioni, consulta Come funzionano i gruppi di lavoro nella documentazione di Amazon Athena.
Un bucket sorgente Amazon Simple Storage Service (Amazon S3) Simple Storage Service (IAM) esistente con le autorizzazioni AWS Identity and Access Management (IAM) richieste. Per ulteriori informazioni, consulta le autorizzazioni Bucket per la registrazione di audit di Amazon Redshift da Database audit logging nella documentazione di Amazon Redshift.

Architettura

Stack tecnologico

Athena
Amazon Redshift
Amazon S3
QuickSight

Strumenti

Amazon Athena — Athena è un servizio di query interattivo che semplifica l'analisi dei dati in Amazon S3 utilizzando SQL standard.
Amazon QuickSight: QuickSight è un servizio di business intelligence (BI) scalabile, senza server, incorporabile e basato sull'apprendimento automatico.
Amazon Redshift — Amazon Redshift è un servizio di data warehousing di livello aziendale, su scala petabyte, completamente gestito.
Amazon S3 — Amazon Simple Storage Service (Amazon S3) è uno storage per Internet.

Epiche

Attività Descrizione Competenze richieste

Abilita la registrazione di controllo per il cluster Amazon Redshift.

Attività	Descrizione	Competenze richieste
Abilita la registrazione di controllo per il cluster Amazon Redshift.	Accedi alla Console di gestione AWS, apri la console Amazon Redshift, scegli CLUSTERS, quindi scegli il cluster per cui desideri abilitare la registrazione. Scegli la scheda Proprietà e abilita il controllo seguendo le istruzioni di Configurazione del controllo utilizzando la console nella documentazione di Amazon Redshift.	DBA, ingegnere dei dati
Abilita la registrazione nel gruppo di parametri del cluster Amazon Redshift.	Puoi abilitare il controllo dei log di connessione, dei log degli utenti e dei log delle attività degli utenti contemporaneamente utilizzando la Console di gestione AWS, il riferimento all'API Amazon Redshift o AWS Command Line Interface (AWS CLI). Per il controllo dei log delle attività degli utenti, devi abilitare il parametro del database. `enable_user_activity_logging` Se si abilita solo la funzionalità di registrazione di controllo ma non il parametro associato, l'audit del database registra le informazioni di registrazione per la connessione e i registri degli utenti ma non per i registri delle attività dell'utente. Il `enable_user_activity_logging` parametro non è abilitato per impostazione predefinita, ma è possibile abilitarlo modificandolo da a. `false` `true` Importante: devi creare un nuovo gruppo di parametri del cluster con il `user_activity_logging` parametro abilitato e collegarlo al tuo cluster Amazon Redshift. Per ulteriori informazioni su questo argomento, consulta Modificare un cluster nella documentazione di Amazon Redshift. Per ulteriori informazioni su questa attività, consulta i gruppi di parametri di Amazon Redshift e Configuring auditing using the console nella documentazione di Amazon Redshift.	DBA, ingegnere dei dati
Configura le autorizzazioni del bucket S3 per la registrazione dei cluster Amazon Redshift.	Quando abiliti la registrazione, Amazon Redshift raccoglie le informazioni di registrazione e le carica in file di registro archiviati in un bucket S3. Puoi utilizzare un bucket S3 esistente o crearne uno nuovo. Importante: assicurati che Amazon Redshift disponga delle autorizzazioni IAM necessarie per accedere al bucket S3. Per ulteriori informazioni su questo argomento, consulta le autorizzazioni Bucket per la registrazione di audit di Amazon Redshift da Database audit logging nella documentazione di Amazon Redshift.	DBA, ingegnere dei dati

Accedi alla Console di gestione AWS, apri la console Amazon Redshift, scegli CLUSTERS, quindi scegli il cluster per cui desideri abilitare la registrazione.
Scegli la scheda Proprietà e abilita il controllo seguendo le istruzioni di Configurazione del controllo utilizzando la console nella documentazione di Amazon Redshift.

DBA, ingegnere dei dati

Abilita la registrazione nel gruppo di parametri del cluster Amazon Redshift.

Puoi abilitare il controllo dei log di connessione, dei log degli utenti e dei log delle attività degli utenti contemporaneamente utilizzando la Console di gestione AWS, il riferimento all'API Amazon Redshift o AWS Command Line Interface (AWS CLI).

Per il controllo dei log delle attività degli utenti, devi abilitare il parametro del database. enable_user_activity_logging Se si abilita solo la funzionalità di registrazione di controllo ma non il parametro associato, l'audit del database registra le informazioni di registrazione per la connessione e i registri degli utenti ma non per i registri delle attività dell'utente. Il enable_user_activity_logging parametro non è abilitato per impostazione predefinita, ma è possibile abilitarlo modificandolo da a. false true

Importante: devi creare un nuovo gruppo di parametri del cluster con il user_activity_logging parametro abilitato e collegarlo al tuo cluster Amazon Redshift. Per ulteriori informazioni su questo argomento, consulta Modificare un cluster nella documentazione di Amazon Redshift.

Per ulteriori informazioni su questa attività, consulta i gruppi di parametri di Amazon Redshift e Configuring auditing using the console nella documentazione di Amazon Redshift.

DBA, ingegnere dei dati

Configura le autorizzazioni del bucket S3 per la registrazione dei cluster Amazon Redshift.

Quando abiliti la registrazione, Amazon Redshift raccoglie le informazioni di registrazione e le carica in file di registro archiviati in un bucket S3. Puoi utilizzare un bucket S3 esistente o crearne uno nuovo.

Importante: assicurati che Amazon Redshift disponga delle autorizzazioni IAM necessarie per accedere al bucket S3. Per ulteriori informazioni su questo argomento, consulta le autorizzazioni Bucket per la registrazione di audit di Amazon Redshift da Database audit logging nella documentazione di Amazon Redshift.

DBA, ingegnere dei dati

Attività Descrizione Competenze richieste

Crea la tabella e le viste Athena per interrogare i dati del log di controllo di Amazon Redshift dal bucket S3.

Attività	Descrizione	Competenze richieste
Crea la tabella e le viste Athena per interrogare i dati del log di controllo di Amazon Redshift dal bucket S3.	Apri la console Amazon Athena e usa la query DDL (Data Definition Language) dallo script `AuditLogging.sql` SQL (allegato) per creare la tabella e le viste per i log delle attività degli utenti, i log degli utenti e i log delle connessioni. Per ulteriori informazioni e istruzioni, consulta il tutorial Crea tabelle ed esegui query da Amazon Athena Workshop.	Ingegnere dei dati

Apri la console Amazon Athena e usa la query DDL (Data Definition Language) dallo script AuditLogging.sql SQL (allegato) per creare la tabella e le viste per i log delle attività degli utenti, i log degli utenti e i log delle connessioni.

Per ulteriori informazioni e istruzioni, consulta il tutorial Crea tabelle ed esegui query da Amazon Athena Workshop.

Ingegnere dei dati

Attività	Descrizione	Competenze richieste
Crea una QuickSight dashboard utilizzando Athena come origine dati.	Apri la QuickSight console Amazon e crea una QuickSight dashboard seguendo le istruzioni nel tutorial Visualizza con Athena del QuickSight Workshop di Amazon Athena.	DBA, ingegnere dei dati

Risorse correlate

Allegati

Per accedere a contenuti aggiuntivi associati a questo documento, decomprimi il seguente file: attachment.zip

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Tre tipi di job AWS Glue per la conversione dei dati

Visualizza i report sulle credenziali IAM utilizzando Amazon QuickSight