AWS CloudTrail을 사용하여 DynamoDB 작업 로깅

DynamoDB는 DynamoDB에서 사용자, 역할 또는 서비스가 수행한 작업의 기록을 제공하는 AWS 서비스와 AWS CloudTrail통합됩니다. CloudTrail DynamoDB에 대한 모든 API 호출을 이벤트로 캡처합니다. 캡처되는 호출에는 DynamoDB 콘솔의 호출과 PartiQL 및 Classic API를 모두 사용한 DynamoDB API 작업에 대한 코드 호출이 포함됩니다. 트레일을 생성하면 DynamoDB에 대한 CloudTrail 이벤트를 포함하여 Amazon S3 버킷에 이벤트를 지속적으로 전송할 수 있습니다. 트레일을 구성하지 않아도 CloudTrail 콘솔의 이벤트 기록에서 가장 최근 이벤트를 계속 볼 수 있습니다. 에서 수집한 CloudTrail 정보를 사용하여 DynamoDB에 대한 요청, 요청이 이루어진 IP 주소, 요청한 사람, 요청 시기 및 추가 세부 정보를 확인할 수 있습니다.

강력한 모니터링 및 알림을 위해 CloudTrail 이벤트를 Amazon CloudWatch Logs와 통합할 수도 있습니다. DynamoDB 서비스 활동 분석을 개선하고 계정 활동의 변화를 식별하기 위해 AWS Amazon Athena를 사용하여 로그를 AWS CloudTrail 쿼리할 수 있습니다. 예를 들어 쿼리를 사용하여 트렌드를 식별하고 소스 IP 주소나 사용자 등의 속성별로 활동을 추가로 격리할 수 있습니다.

구성 및 활성화 방법을 CloudTrail 포함하여 자세한 내용은 사용 설명서를 참조하십시오.AWS CloudTrail

주제

• 의 DynamoDB 정보 CloudTrail
• DynamoDB 로그 파일 항목 이해

의 DynamoDB 정보 CloudTrail

CloudTrail 계정을 생성할 때 AWS 계정에서 활성화됩니다. 지원되는 이벤트 활동이 DynamoDB에서 발생하면 해당 활동이 이벤트 기록의 CloudTrail AWS 다른 서비스 이벤트와 함께 이벤트에 기록됩니다. AWS 계정에서 최근 이벤트를 보고, 검색하고, 다운로드할 수 있습니다. 자세한 내용은 이벤트 기록으로 CloudTrail 이벤트 보기를 참조하십시오.

DynamoDB 이벤트를 포함하여 AWS 계정 내 진행 중인 이벤트 기록을 보려면 트레일을 생성하십시오. 트레일을 사용하면 CloudTrail Amazon S3 버킷으로 로그 파일을 전송할 수 있습니다. 기본적으로 콘솔에서 트레일을 생성하면 트레일이 모든 AWS 지역에 적용됩니다. 트레일은 AWS 파티션에 있는 모든 지역의 이벤트를 기록하고 지정한 Amazon S3 버킷으로 로그 파일을 전송합니다. 또한 CloudTrail 로그에서 수집된 이벤트 데이터를 추가로 분석하고 이에 따라 조치를 취하도록 다른 AWS 서비스를 구성할 수 있습니다. 자세한 내용은 다음을 참조하십시오.

• 추적 생성 개요

• CloudTrail 지원되는 서비스 및 통합

• 에 대한 Amazon SNS 알림 구성 CloudTrail

• 여러 지역에서 CloudTrail 로그 파일 수신 및 여러 계정으로부터 CloudTrail 로그 파일 수신

의 컨트롤 플레인 이벤트 CloudTrail

다음 API 작업은 기본적으로 CloudTrail 파일에 이벤트로 기록됩니다.

Amazon DynamoDB

• CreateBackup

• CreateGlobalTable

• CreateTable

• DeleteBackup

• DeleteTable

• DescribeBackup

• DescribeContinuousBackups

• DescribeGlobalTable

• DescribeLimits

• DescribeTable

• DescribeTimeToLive

• ListBackups

• ListTables

• ListTagsOfResource

• ListGlobalTables

• RestoreTableFromBackup

• RestoreTableToPointInTime

• TagResource

• UntagResource

• UpdateGlobalTable

• UpdateTable

• UpdateTimeToLive

• DescribeReservedCapacity

• DescribeReservedCapacityOfferings

• PurchaseReservedCapacityOfferings

• DescribeScalableTargets

• RegisterScalableTarget

DynamoDB Streams

• DescribeStream

• ListStreams

DynamoDB Accelerator(DAX)

• CreateCluster

• CreateParameterGroup

• CreateSubnetGroup

• DecreaseReplicationFactor

• DeleteCluster

• DeleteParameterGroup

• DeleteSubnetGroup

• DescribeClusters

• DescribeDefaultParameters

• DescribeEvents

• DescribeParameterGroups

• DescribeParameters

• DescribeSubnetGroups

• IncreaseReplicationFactor

• ListTags

• RebootNode

• TagResource

• UntagResource

• UpdateCluster

• UpdateParameterGroup

• UpdateSubnetGroup

의 DynamoDB 데이터 플레인 이벤트 CloudTrail

CloudTrail 파일에서 다음 API 작업의 로깅을 활성화하려면 에서 데이터 플레인 API 활동 로깅을 활성화해야 합니다. CloudTrail 자세한 내용은 추적을 위한 데이터 이벤트 로깅 단원을 참조하세요.

데이터 플레인 이벤트를 리소스 유형별로 필터링하여 선택적으로 로그인하고 비용을 지불하려는 DynamoDB API 호출을 세밀하게 제어할 수 있습니다. CloudTrail 예를 들어 리소스 유형으로 AWS::DynamoDB::Stream을 지정하면 DynamoDB 스트림 API에 대한 호출만 로깅할 수 있습니다. 스트림이 활성화된 테이블의 경우 데이터 영역 이벤트의 리소스 필드에 AWS::DynamoDB::Stream과 AWS::DynamoDB::Table이 모두 포함됩니다. 리소스 유형으로 AWS::DynamoDB::Table을 지정하는 경우 기본적으로 DynamoDB 테이블과 DynamoDB 스트림 이벤트가 모두 로깅됩니다. 스트림 이벤트가 로깅되지 않도록 하려면 스트림 이벤트를 제외하는 필터를 추가합니다. 자세한 내용은 API DataResource참조를 참조하십시오. CloudTrail AWS CloudTrail

Amazon DynamoDB

• BatchExecuteStatement

• BatchGetItem

• BatchWriteItem

• DeleteItem

• ExecuteStatement

• ExecuteTransaction

• GetItem

• PutItem

• Query

• Scan

• TransactGetItems

• TransactWriteItems

• UpdateItem

참고

DynamoDB To Live 데이터 플레인 작업은 다음과 같이 기록되지 않습니다. CloudTrail

DynamoDB Streams

• GetRecords

• GetShardIterator