AWS CloudTrail を使用して DynamoDB オペレーションをログに記録する - Amazon DynamoDB

AWS CloudTrail を使用して DynamoDB オペレーションをログに記録する

DynamoDB は、DynamoDB のユーザー、ロール、または AWS のサービスによって実行されたアクションをレコードするサービスである AWS CloudTrail と統合されています。CloudTrail は、DynamoDB のすべての API コールをイベントとしてキャプチャします。キャプチャされた呼び出しには、DynamoDB コンソールからの呼び出しと PartiQL とクラシック API の両方を使用した DynamoDB API オペレーションへのコード呼び出しが含まれます。証跡を作成する場合は、DynamoDB のイベントなど、Amazon S3 バケットへの CloudTrail イベントの継続的な配信を有効にすることができます。証跡を設定しない場合でも、CloudTrail コンソールの [イベント履歴] で最新のイベントを表示できます。CloudTrail で収集された情報を使用して、DynamoDB に対するリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細を確認できます。

堅牢な監視とアラートのために、CloudTrail イベントを Amazon CloudWatch Logs と統合することもできます。DynamoDB サービスアクティビティの分析を強化し、AWS アカウントのアクティビティの変更を特定するには、Amazon Athena を使用して、AWS CloudTrail をクエリできます。例えば、クエリを使用して傾向を識別したり、アクティビティを属性 (ソース IP アドレスやユーザーなど) でさらに分離したりできます。

設定や有効化の方法など、CloudTrail の詳細については、「 AWS CloudTrail ユーザーガイド」を参照してください。

CloudTrail 内の DynamoDB 情報

CloudTrail は、アカウントを作成すると AWS アカウントで有効になります。DynamoDB でサポートされているイベントアクティビティが発生すると、そのアクティビティは [イベント履歴] の他の AWS のサービスのイベントとともに CloudTrail イベントにレコードされます。最近のイベントは、AWS アカウントで表示、検索、ダウンロードできます。詳細については、「CloudTrail イベント履歴でのイベントの表示」を参照してください。

DynamoDB のイベントなど、AWS アカウントのイベントの継続的なレコードについては、証跡を作成します。証跡により、CloudTrail はログファイルを Amazon S3 バケットに配信できます。デフォルトでは、コンソールで証跡を作成するときに、証跡がすべての AWS リージョンに適用されます。証跡は、AWS パーティションのすべてのリージョンからのイベントをログに記録し、指定した Amazon S3 バケットにログファイルを配信します。さらに、その他の AWS サービスを設定して、CloudTrail ログで収集したデータをより詳細に分析し、それに基づく対応を行うことができます。詳細については、以下を参照してください。

CloudTrail のコントロールプレーンイベント

デフォルトで、以下の API アクションはイベントとして CloudTrail ファイルに記録されます。

Amazon DynamoDB

DynamoDB Streams

DynamoDB Accelerator (DAX)

CloudTrail の DynamoDB データプレーンイベント

CloudTrail ファイルで以下の API アクションのロギングを有効にするには、CloudTrail でデータプレーン API アクティビティのログ記録を有効にする必要があります。詳細については、「トレイルのデータイベントのログ記録」を参照してください。

Amazon DynamoDB

注記

CloudTrail では DynamoDB の有効期限 (TTL) データプレーンのアクションはログに記録されません。

DynamoDB Streams