기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
로깅AWSLake Formation API 호출 사용AWS CloudTrail
AWSLake Formation 포메이션은AWS CloudTrail, 사용자, 역할 또는 사용자가 수행한 작업 기록을 제공하는 서비스AWS레이크 포메이션의 서비스. CloudTrail은 모든 Lake Formation API 호출을 이벤트로 캡처합니다. 캡처된 호출에는 Lake Formation 콘솔의 호출이 포함됩니다.AWS Command Line Interface및 Lake Formation API 액션에 대한 코드 호출입니다. 추적을 생성하면 Lake Formation에 대한 이벤트를 비롯하여 CloudTrail 이벤트를 Amazon S3 버킷으로 지속적으로 배포할 수 있습니다. 추적을 구성하지 않은 경우에도 CloudTrail 콘솔의 이벤트 기록(Event history)에서 최신 이벤트를 볼 수 있습니다. CloudTrail에서 수집하는 정보를 사용하여 Lake Formation Formation에 수행된 요청, 요청이 수행된 IP 주소, 요청을 수행한 사람, 요청이 수행된 시간, 요청이 수행된 IP 주소, 요청이 수행된 IP 주소, 요청이 수행된 시간, 요청이 수행된 IP 주소, 요청이 수행된
CloudTrail에 대한 자세한 내용은 AWS CloudTrail 사용 설명서를 참조하세요.
CloudTrail Lake Formation 정보
CloudTrail은 새 CloudTrail을 생성할 때 기본적으로 활성화됩니다.AWS계정. Lake Formation (Lake Formation) 에서 활동이 발생하면, 해당 활동이 다른 작업과 함께 CloudTrail 이벤트로 기록됩니다.AWS서비스 이벤트이벤트 기록. 이벤트는 모든 소스로부터의 단일 요청을 나타내며 요청 작업, 작업 날짜와 시간, 요청 파라미터에 대한 정보가 들어 있습니다. 또한 모든 이벤트 및 로그 항목에는 요청을 생성한 사용자에 대한 정보가 들어 있습니다. 자격 증명 정보를 이용하면 다음을 쉽게 판단할 수 있습니다.
-
요청을 루트로 했는지 아니면 AWS Identity and Access Management(IAM) 사용자 자격 증명으로 했는지.
-
역할 또는 페더레이션 사용자에 대한 임시 보안 자격 증명을 사용하여 요청이 생성되었는지 여부.
-
다른 AWS 서비스에서 요청했는지 여부.
자세한 내용은 CloudTrail userIdentity 요소를 참조하세요.
AWS 계정에 대한 최신 이벤트를 확인, 검색 및 다운로드할 수 있습니다. 자세한 내용은 단원을 참조하십시오.CloudTrail 이벤트 기록에서 이벤트 보기.
귀하의 이벤트를 지속적으로 기록하려면AWSLake Formation Formation에 대한 이벤트를 비롯하여 계정이 추적을 생성하십시오. CloudTrail은 추적을 사용하여 Amazon S3 버킷으로 로그 파일을 전송할 수 있습니다. 콘솔에서 추적을 생성하면 기본적으로 모든 AWS 리전에 추적이 적용됩니다. 추적은 AWS 파티션에 있는 모든 리전의 이벤트를 로깅하고 지정된 Amazon S3 버킷으로 로그 파일을 전송합니다. 또한 기타를 구성할 수 있습니다.AWS서비스 (예:Amazon AthenaCloudTrail 로그에 수집된 이벤트 데이터를 좀 더 분석하고 작업하려면 또한 CloudTrail은 Amazon CloudWatch 로그 및 CloudWatch 이벤트로 로그 파일을 전송할 수 있습니다.
자세한 내용은 다음 자료를 참조하세요.
Lake Formation 이벤트 이해
모든 Lake Formation API 작업은 CloudTrail에서 로깅되며AWS Lake Formation개발자 안내서. 예를 들어 PutDataLakeSettings, GrantPermissions 및 RevokePermissions 작업을 호출하면 CloudTrail 로그 파일에 항목이 생성됩니다.
다음 예제는 에 대한 CloudTrail 이벤트를 보여줍니다.GrantPermissionsaction. 이 항목에는 권한을 부여한 사용자가 포함됩니다 (datalake_admin), 권한이 부여된 주체 (datalake_user1) 및 부여된 권한 (CREATE_TABLE). 이 항목에는 대상 데이터베이스가 에 지정되지 않았기 때문에 부여가 실패했음을 보여 줍니다.resource인수.
{ "eventVersion": "1.08", "userIdentity": { "type": "IAMUser", "principalId": "AIDAZKE67KM3P775X74U2", "arn": "arn:aws:iam::111122223333:user/datalake_admin", "accountId": "111122223333", "accessKeyId": "...", "userName": "datalake_admin" }, "eventTime": "2021-02-06T00:43:21Z", "eventSource": "lakeformation.amazonaws.com", "eventName": "GrantPermissions", "awsRegion": "us-east-1", "sourceIPAddress": "72.21.198.65", "userAgent": "aws-cli/1.19.0 Python/3.6.12 Linux/4.9.230-0.1.ac.223.84.332.metal1.x86_64 botocore/1.20.0", "errorCode": "InvalidInputException", "errorMessage": "Resource must have one of the have either the catalog, table or database field populated.", "requestParameters": { "principal": { "dataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1" }, "resource": {}, "permissions": [ "CREATE_TABLE" ] }, "responseElements": null, "requestID": "b85e863f-e75d-4fc0-9ff0-97f943f706e7", "eventID": "8d2ccef0-55f3-42d3-9ede-3a6faedaa5c1", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "111122223333" }
다음 예제는 에 대한 CloudTrail 로그 항목을 표시합니다.GetDataAccessaction. 보안 주체는 이 API를 직접 호출하지 않습니다. 오히려GetDataAccess보안 주체 또는 통합될 때마다 기록됩니다.AWS서비스는 Lake Formation에 등록된 데이터 Lake Formation의 데이터에 액세스하기 위해 임시 자격 증명을 요청합니다.
{ "eventVersion": "1.05", "userIdentity": { "type": "AWSAccount", "principalId": "AROAQGFTBBBGOBWV2EMZA:GlueJobRunnerSession", "accountId": "111122223333" }, "eventSource": "lakeformation.amazonaws.com", "eventName": "GetDataAccess", ... ... "additionalEventData": { "requesterService": "GLUE_JOB", "lakeFormationPrincipal": "arn:aws:iam::111122223333:role/ETL-Glue-Role", "lakeFormationRoleSessionName": "AWSLF-00-GL-111122223333-G13T0Rmng2" }, ... }
참고 항목
