기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Lake Formation API 호출을 사용하여 로깅하기 AWS CloudTrail
AWS Lake Formation은 Lake Formation에서 사용자, 역할 또는 AWS 서비스가 취한 작업의 기록을 제공하는 서비스와 통합되어 있습니다. AWS CloudTrail CloudTrail 모든 Lake Formation API 호출을 이벤트로 캡처합니다. 캡처된 호출에는 Lake Formation 콘솔의 호출 AWS Command Line Interface, 및 Lake Formation API 작업에 대한 코드 호출이 포함됩니다. 트레일을 생성하면 Lake Formation CloudTrail 이벤트를 포함하여 Amazon S3 버킷으로 이벤트를 지속적으로 전송할 수 있습니다. 트레일을 구성하지 않아도 CloudTrail 콘솔의 이벤트 기록에서 가장 최근 이벤트를 계속 볼 수 있습니다. 에서 수집한 CloudTrail 정보를 사용하여 Lake Formation에 이루어진 요청, 요청이 이루어진 IP 주소, 요청한 사람, 요청 시기 및 추가 세부 정보를 확인할 수 있습니다.
자세한 CloudTrail 내용은 AWS CloudTrail 사용 설명서를 참조하십시오.
레이크 포메이션 정보 CloudTrail
CloudTrail 새 AWS 계정을 만들면 기본적으로 활성화됩니다. Lake Formation에서 활동이 발생하면 해당 활동은 CloudTrail 이벤트 기록에 다른 AWS 서비스 이벤트와 함께 이벤트로 기록됩니다. 이벤트는 모든 소스로부터의 단일 요청을 나타내며 요청 작업, 작업 날짜와 시간, 요청 파라미터에 관한 정보가 들어 있습니다. 또한, 모든 이벤트 및 로그 항목에는 요청을 생성한 사용자에 대한 정보가 들어 있습니다. 신원 정보를 이용하면 다음을 쉽게 알아볼 수 있습니다.
-
요청이 루트 또는 AWS Identity and Access Management (IAM) 사용자 자격 증명으로 이루어졌는지 여부.
-
역할 또는 연동 사용자를 위한 임시 보안 인증으로 요청을 생성하였는지.
-
다른 AWS 서비스에서 요청했는지 여부.
자세한 내용은 CloudTrail UserIdentity 요소를 참조하십시오.
계정의 최근 이벤트를 보고, 검색하고, 다운로드할 수 있습니다. AWS 자세한 내용은 이벤트 기록으로 CloudTrail 이벤트 보기를 참조하십시오.
Lake Formation 이벤트를 포함하여 AWS 계정에서 진행 중인 이벤트 기록을 보려면 트레일을 생성하십시오. 트레일을 사용하면 CloudTrail Amazon S3 버킷으로 로그 파일을 전송할 수 있습니다. 콘솔에서 추적을 생성하면 기본적으로 모든 AWS 리전에 추적이 적용됩니다. 트레일은 AWS 파티션에 있는 모든 지역의 이벤트를 기록하고 지정한 Amazon S3 버킷으로 로그 파일을 전송합니다. 또한 CloudTrail 로그에서 수집된 이벤트 데이터를 추가로 분석하고 이에 Amazon Athena따라 조치를 취하도록 등의 다른 AWS 서비스를 구성할 수 있습니다. CloudTrail Amazon CloudWatch 로그 및 CloudWatch 이벤트에 로그 파일을 전송할 수도 있습니다.
자세한 내용은 다음을 참조하십시오.
Lake Formation 이벤트 이해하기
모든 Lake Formation API 작업은 개발자 가이드에 의해 CloudTrail 기록되며 AWS Lake Formation 개발자 안내서에 문서화되어 있습니다. 예를 들어, PutDataLakeSettings
GrantPermissions
, 및 RevokePermissions
작업을 호출하면 CloudTrail 로그 파일에 항목이 생성됩니다.
다음 예제는 해당 GrantPermissions
작업에 대한 CloudTrail 이벤트를 보여줍니다. 이 항목에는 권한을 부여한 사용자(datalake_admin
), 권한이 부여된 보안 주체(datalake_user1
), 부여된 권한(CREATE_TABLE
)이 포함됩니다. 또한 이 항목에는 대상 데이터베이스가 resource
인수에 지정되지 않아 권한 부여가 실패했음을 알 수 있습니다.
{ "eventVersion": "1.08", "userIdentity": { "type": "IAMUser", "principalId": "AIDAZKE67KM3P775X74U2", "arn": "arn:aws:iam::111122223333:user/datalake_admin", "accountId": "111122223333", "accessKeyId": "...", "userName": "datalake_admin" }, "eventTime": "2021-02-06T00:43:21Z", "eventSource": "lakeformation.amazonaws.com", "eventName": "GrantPermissions", "awsRegion": "us-east-1", "sourceIPAddress": "72.21.198.65", "userAgent": "aws-cli/1.19.0 Python/3.6.12 Linux/4.9.230-0.1.ac.223.84.332.metal1.x86_64 botocore/1.20.0", "errorCode": "InvalidInputException", "errorMessage": "Resource must have one of the have either the catalog, table or database field populated.", "requestParameters": { "principal": { "dataLakePrincipalIdentifier": "arn:aws:iam::111122223333:user/datalake_user1" }, "resource": {}, "permissions": [ "CREATE_TABLE" ] }, "responseElements": null, "requestID": "b85e863f-e75d-4fc0-9ff0-97f943f706e7", "eventID": "8d2ccef0-55f3-42d3-9ede-3a6faedaa5c1", "readOnly": false, "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "111122223333" }
다음 예제는 GetDataAccess
작업에 대한 CloudTrail 로그 항목을 보여줍니다. 보안 주체는 이 API를 직접 호출하지 않습니다. 그보다는 주 AWS 서비스 또는 통합 서비스가 Lake Formation에 등록된 데이터 레이크 위치의 데이터에 액세스하기 위해 임시 자격 증명을 요청할 때마다 기록됩니다. GetDataAccess
{ "eventVersion": "1.05", "userIdentity": { "type": "AWSAccount", "principalId": "AROAQGFTBBBGOBWV2EMZA:GlueJobRunnerSession", "accountId": "111122223333" }, "eventSource": "lakeformation.amazonaws.com", "eventName": "GetDataAccess", ... ... "additionalEventData": { "requesterService": "GLUE_JOB", "lakeFormationPrincipal": "arn:aws:iam::111122223333:role/ETL-Glue-Role", "lakeFormationRoleSessionName": "AWSLF-00-GL-111122223333-G13T0Rmng2" }, ... }