Database audit logging - Amazon Redshift

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

Database audit logging

Overview

Amazon Redshift는 연결 및 사용자 작업에 대한 정보를 데이터베이스에 기록합니다. 이렇게 기록되는 로그는 보안 및 문제 해결을 목적으로 데이터베이스를 모니터링하는 데 효과적입니다. 이러한 프로세스를 종종 데이터베이스 감사라고 부릅니다. 로그는 Amazon S3 버킷에 저장됩니다. 로그는 데이터베이스의 모니터링 작업을 담당하는 사용자를 위해 데이터 보안 기능으로 편리하게 액세스할 수 있습니다.

Amazon Redshift logs

Amazon Redshift가 정보를 기록하는 로그 파일은 다음과 같습니다.

  • Connection log — logs authentication attempts, and connections and disconnections.

  • User log — logs information about changes to database user definitions.

  • User activity log — logs each query before it is run on the database.

연결 및 사용자 로그는 주로 보안 목적으로 사용하기 좋습니다. 연결 로그를 사용하여 데이터베이스에 연결 중인 사용자에 대한 정보 및 관련 연결 정보를 모니터링할 수 있습니다. 이 정보는 IP 주소, 요청한 시기, 사용한 인증 유형 등이 될 수 있습니다. 그리고 사용자 로그는 데이터베이스 사용자의 정의 변경 여부를 모니터링하는 데 사용됩니다.

사용자 작업 로그는 주로 문제 해결 목적으로 사용하기 좋습니다. 이 로그는 사용자와 시스템 모두 데이터베이스에서 실행하는 쿼리 유형에 대한 정보를 추적합니다.

연결 로그와 사용자 로그는 모두 데이터베이스의 시스템 테이블에 저장되는 정보와 일치합니다. 따라서 시스템 테이블을 사용해 동일한 정보를 얻을 수도 있지만 로그 파일이 가져오거나 살펴보는 데 더욱 쉬운 메커니즘을 가지고 있습니다. 로그 파일은 데이터베이스 권한이 아닌 Amazon S3 권한을 이용하여 테이블에 대한 쿼리를 실행합니다. 또한 시스템 테이블에 대해 쿼리를 실행하기보다는 로그 파일의 정보를 확인하여 데이터베이스에 미치는 영향을 최소화합니다.

참고

로그 파일이 기본 시스템 로그 테이블 STL_USERLOGSTL_CONNECTION_LOG처럼 최신 상태가 아닙니다. 최신 레코드를 제외하고 이보다 오래된 레코드를 로그 파일에 복사하였습니다.

Connection log

인증 시도 횟수와 연결 및 차단 정보를 기록합니다. 다음 표는 연결 로그에 기록되는 정보를 설명한 것입니다.

열 이름 설명
event 연결 또는 인증 이벤트
recordtime 이벤트 발생 시간
remotehost 원격 호스트의 이름 또는 IP 주소
remoteport 원격 호스트의 포트 번호
pid 쿼리 문과 연결된 프로세스 ID
dbname 데이터베이스 이름.
사용자 이름 사용자 이름.
authmethod 인증 방법
duration 연결 지속 시간(마이크로초)
sslversion SSL(Secure Sockets Layer) 버전
sslcipher SSL 암호
mtu integer
sslcompression SSL 압축 유형
sslexpansion SSL 확장 유형
iamauthguid CloudTrail 요청에 대한 IAM 인증 ID입니다.
application_name 세션에서 애플리케이션의 초기 이름 또는 업데이트된 이름입니다.

User log

다음과 같이 데이터베이스 사용자의 변경 사항에 대한 세부 정보를 기록합니다.

  • Create user

  • Drop user

  • Alter user (rename)

  • Alter user (alter properties)

열 이름 설명
userid 변경 사항이 적용되는 사용자 ID
사용자 이름 변경 사항이 적용되는 사용자의 이름
oldusername 이름 변경 작업의 경우 변경 전 사용자 이름. 그 외 다른 작업의 경우 이 필드는 비어 있습니다.
--action 실행 작업. 유효한 값: {, }
  • Alter

  • Create

  • Drop

  • Rename

usecreatedb true(1)인 경우 사용자에게 데이터베이스 생성 권한이 있다는 것을 의미합니다.
usesuper true(1)인 경우 사용자가 수퍼유저임을 의미합니다.
usecatupd true(1)인 경우 사용자가 시스템 카탈로그를 업데이트할 수 있다는 것을 의미합니다.
valuntil 암호 만료 날짜
pid 프로세스 ID
xid 트랜잭션 ID
recordtime 쿼리 시작 시간(UTC)

User activity log

데이터베이스에서 실행하기 전에 각 쿼리를 기록합니다.

열 이름 설명
recordtime 이벤트 발생 시간
db 데이터베이스 이름.
--사용자 사용자 이름.
pid 쿼리 문과 연결된 프로세스 ID
userid 사용자 ID입니다.
xid 트랜잭션 ID
query LOG 접두사이며, 이어서 줄 바꿈을 포함한 쿼리 텍스트가 나옵니다.

Enabling logging

Amazon Redshift에서는 감사 로깅이 기본적으로 비활성화되어 있습니다. 클러스터에서 로깅을 활성화하면 Amazon Redshift가 로그를 생성한 후 감사 로깅이 활성화된 시점부터 현재까지 데이터를 로그에 수집하여 Amazon S3으로 업로드합니다. 로깅 업데이트는 각각 이전에 기록되었던 정보의 연속입니다.

참고

Amazon S3로 업로드되는 감사 로깅은 수동 프로세스(옵션)입니다. 클러스터에서 로깅을 활성화하면 Amazon S3으로 업로드되는 로깅만 활성화됩니다. 시스템 테이블로 업로드되는 로깅은 옵션이 아니며 클러스터에서 자동으로 실행됩니다. 시스템 테이블로 업로드되는 로깅에 대한 자세한 내용은 Amazon Redshift Database Developer Guide의 시스템 테이블 참조 단원을 참조하십시오.

연결 로그, 사용자 로그 및 사용자 작업 로그는 모두 AWS Management 콘솔 Amazon Redshift API Reference, 또는 AWS Command Line Interface(AWS CLI)에서 활성화됩니다. 사용자 작업 로그의 경우에는 enable_user_activity_logging 데이터베이스 파라미터도 활성화해야 합니다. 연결된 파라미터를 제외하고 감사 로깅 기능만 활성화하면 데이터베이스 감사 로그가 사용자 작업 로그를 제외한 연결 로그와 사용자 로그 정보만 기록합니다. enable_user_activity_logging 파라미터는 기본적으로 활성화되어 있지 않습니다(false). true로 설정하여 사용자 활동 로그를 활성화하도록 할 수 있습니다. 자세한 정보는 Amazon Redshift 파라미터 그룹 단원을 참조하십시오.

참고

현재 감사 로깅에는 Amazon S3 관리형 키(SSE-S3) 암호화(AES-256)만 사용할 수 있습니다.

Managing log files

Amazon S3에서 Amazon Redshift 로그 파일의 수와 크기는 클러스터의 작업에 커다란 영향을 미칩니다. 다수의 로그를 생성하는 활성 클러스터가 하나 있다고 가정할 때 Amazon Redshift가 더욱 빈번하게 로그 파일을 생성할 수 있습니다. 같은 시간에 다수의 연결 로그가 만들어지는 등 동일한 유형의 작업에 대한 로그 파일이 연이어 생성되기도 합니다.

Amazon Redshift는 Amazon S3을 사용해 로그를 저장하기 때문에 Amazon S3에서 사용하는 스토리지에 따라 비용이 발생합니다. 로깅을 구성하기 전에 로그 파일을 저장하는 데 걸리는 시간을 계획해야 합니다. 이 과정에서 감사 요구에 따라 로그 파일을 삭제하거나 보관할 수 있는 시기를 결정합니다. 저장 기간에 대한 계획은 규정 준수 또는 규제 요건에 관한 데이터처럼 저장하는 데이터 유형에 따라 크게 달라집니다. Amazon S3 요금에 대한 자세한 내용은 Amazon Simple Storage Service(S3) 요금을 참조하십시오.

Bucket permissions for Amazon Redshift audit logging

로깅을 활성화하면 Amazon Redshift가 로깅 정보를 수집한 후 Amazon S3에 저장된 로그 파일로 업로드합니다. 기존 버킷이나 새 버킷을 사용할 수 있습니다. Amazon Redshift는 다음과 같이 버킷에 대한 IAM 권한이 필요합니다.

  • s3:GetBucketAcl The service requires read permissions to the Amazon S3 bucket so it can identify the bucket owner.

  • s3:PutObject The service requires put object permissions to upload the logs. Each time logs are uploaded, the service determines whether the current bucket owner matches the bucket owner at the time logging was enabled. If these owners do not match, logging is still enabled but no log files can be uploaded until you select a different bucket.

Amazon Redshift가 구성의 일부로 새 버킷을 생성하도록 한 경우 버킷에 올바른 권한이 적용됩니다. 하지만 Amazon S3에서 고유한 버킷을 생성하거나 기존 버킷을 사용하는 경우에는 버킷 이름을 포함하는 버킷 정책을 추가해야 합니다. 또한 다음 표의 AWS 리전에 해당하는 Amazon Redshift 계정 ID도 필요합니다.

리전 이름 리전 계정 ID
미국 동부(버지니아 북부) 지역 us-east-1 193672423079
미국 동부(오하이오) 리전 us-east-2 391106570357
미국 서부(캘리포니아 북부) 리전 us-west-1 262260360010
미국 서부(오레곤) 지역 us-west-2 902366379725
아프리카(케이프타운) 리전 af-south-1 365689465814
아시아 태평양(홍콩) 리전 ap-east-1 313564881002
아시아 태평양(뭄바이) 리전 ap-south-1 865932855811
아시아 태평양(오사카-로컬) 리전 ap-northeast-3 090321488786
아시아 태평양(서울) 리전 ap-northeast-2 760740231472
아시아 태평양(싱가포르) 리전 ap-southeast-1 361669875840
아시아 태평양(시드니) 리전 ap-southeast-2 762762565011
아시아 태평양(도쿄) 리전 ap-northeast-1 404641285394
캐나다(중부) 리전 ca-central-1 907379612154
유럽(프랑크푸르트) 리전 eu-central-1 053454850223
유럽(아일랜드) 리전 eu-west-1 210876761215
유럽(런던) 리전 eu-west-2 307160386991
유럽(밀라노) 리전 eu-south-1 945612479654
유럽(파리) 리전 eu-west-3 915173422425
유럽(스톡홀름) 리전 eu-north-1 729911121831
중동(바레인) 리전 me-south-1 013126148197
남아메리카(상파울루) 리전 sa-east-1 075028567923

버킷 정책은 다음 형식을 사용합니다.BucketName 그리고 AccountId 은(는) 자체 값에 대한 자리 표시자입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Put bucket policy needed for audit logging", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::AccountId:user/logs" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::BucketName/*" }, { "Sid": "Get bucket policy needed for audit logging ", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::AccountID:user/logs" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::BucketName" } ] }

다음은 미국 동부(버지니아 북부) 지역과 AuditLogs라는 버킷의 버킷 정책 예입니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Put bucket policy needed for audit logging", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::193672423079:user/logs" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::AuditLogs/*" }, { "Sid": "Get bucket policy needed for audit logging ", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::193672423079:user/logs" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::AuditLogs" } ] }

Amazon S3 버킷 생성과 버킷 정책 추가에 대한 자세한 내용은 Amazon Simple Storage Service 콘솔 사용 설명서의 버킷 생성버킷 권한 편집 단원을 참조하십시오.

Bucket structure for Amazon Redshift audit logging

기본적으로 Amazon Redshift는 다음과 같은 버킷 및 객체 구조를 사용하여 Amazon S3 버킷에 로그 파일을 구성합니다. AWSLogs/AccountID/ServiceName/Region/Year/Month/Day/AccountID_ServiceName_Region_ClusterName_LogType_Timestamp.gz

예, AWSLogs/123456789012/redshift/us-east-1/2013/10/29/123456789012_redshift_us-east-1_mycluster_userlog_2013-10-29T18:01.gz

Amazon S3 키 접두사를 입력하는 경우에는 접두사가 키 시작 부분에 위치합니다.

예를 들어 접두사로 myprefix를 지정한다면 다음과 같습니다. myprefix/AWSLogs/123456789012/redshift/us-east-1/2013/10/29/123456789012_redshift_us-east-1_mycluster_userlog_2013-10-29T18:01.gz

Amazon S3 키 접두사는 512자를 초과할 수 없습니다. 또한 공백( ), 큰 따옴표("), 작은 따옴표('), 백슬래시(\)가 포함되어서도 안 됩니다. 허용되지 않는 특수 문자와 제어 문자도 다수 있습니다. 이러한 문자의 16진수 코드는 다음과 같습니다.

  • x00 to x20

  • x22

  • x27

  • x5c

  • x7f or larger

Troubleshooting Amazon Redshift audit logging

Amazon Redshift 감사 로깅은 다음과 같은 이유로 중단될 수 있습니다.

  • Amazon Redshift does not have permission to upload logs to the Amazon S3 bucket. Verify that the bucket is configured with the correct IAM policy. For more information, see Bucket permissions for Amazon Redshift audit logging.

  • The bucket owner changed. When Amazon Redshift uploads logs, it verifies that the bucket owner is the same as when logging was enabled. If the bucket owner has changed, Amazon Redshift cannot upload logs until you configure another bucket to use for audit logging. For more information, see Modifying the bucket for audit logging.

  • The bucket cannot be found. If the bucket is deleted in Amazon S3, Amazon Redshift cannot upload logs. You either need to recreate the bucket or configure Amazon Redshift to upload logs to a different bucket. For more information, see Modifying the bucket for audit logging.

Logging Amazon Redshift API calls with AWS CloudTrail

Amazon Redshift은 Amazon Redshift에서 사용자, 역할 또는 AWS 서비스가 수행한 작업에 대한 레코드를 제공하는 서비스인 AWS CloudTrail과 통합됩니다. CloudTrail은 Amazon Redshift에 대한 모든 API 호출을 이벤트로 캡처합니다. 여기에는 Amazon Redshift 콘솔로부터의 호출과 Amazon Redshift API 작업에 대한 코드 호출이 포함됩니다. 추적을 생성하면 Amazon Redshift 이벤트를 비롯한 CloudTrail 이벤트를 Amazon S3 버킷으로 지속적으로 배포할 수 있습니다. 추적을 구성하지 않은 경우 이벤트 기록에서 CloudTrail 콘솔의 최신 이벤트를 볼 수도 있습니다. CloudTrail에서 수집한 정보를 사용하여 다음 세부 정보를 확인할 수 있습니다. 여기에는 Amazon Redshift에 수행된 요청, 요청이 수행된 IP 주소, 요청을 수행한 사람, 요청이 수행된 시간 및 추가 정보가 포함됩니다.

CloudTrail은 Amazon Redshift 데이터베이스 감사 로깅과 별도로, 혹은 추가로 사용할 수 있습니다.

CloudTrail에 대해 자세히 알아보려면 AWS CloudTrail User Guide를 참조하십시오.

Amazon Redshift information in CloudTrail

CloudTrail은 계정 생성 시 AWS 계정에서 활성화됩니다. Amazon Redshift에서 활동이 수행되면 해당 활동은 이벤트 기록에서 다른 AWS 서비스 이벤트와 함께 CloudTrail 이벤트에 기록됩니다. AWS 계정에서 최신 이벤트를 확인, 검색 및 다운로드할 수 있습니다. 자세한 내용은 CloudTrail 이벤트 기록에서 이벤트 보기 단원을 참조하십시오.

Amazon Redshift 이벤트를 포함하여 AWS 계정에 이벤트를 지속적으로 기록하려는 경우 추적을 생성합니다. 추적은 CloudTrail이 Amazon S3 버킷으로 로그 파일을 전송할 수 있도록 합니다. 콘솔에서 추적을 생성하면 기본적으로 모든 리전에 추적이 적용됩니다. 추적은 AWS 파티션에 있는 모든 리전의 이벤트를 로깅하고 지정된 Amazon S3 버킷으로 로그 파일을 전송합니다. 또는 CloudTrail 로그에서 수집된 이벤트 데이터를 추가 분석 및 처리하도록 다른 AWS 서비스를 구성할 수 있습니다. 자세한 정보는 단원을 참조하십시오.

모든 Amazon Redshift 작업은 CloudTrail에서 로깅되고 Amazon Redshift API 참조에 기록됩니다. 예를 들어, CreateCluster, DeleteClusterDescribeCluster 작업을 호출하면 CloudTrail 로그 파일에 항목이 생성됩니다.

모든 이벤트 또는 로그 항목에는 요청을 생성한 사용자에 대한 정보가 들어 있습니다. 자격 증명 정보를 이용하면 다음을 쉽게 판단할 수 있습니다.

  • Whether the request was made with root or IAM user credentials.

  • Whether the request was made with temporary security credentials for a role or federated user.

  • Whether the request was made by another AWS service.

자세한 정보는 CloudTrail userIdentity 요소를 참조하십시오.

Understanding Amazon Redshift log file entries

추적은 지정한 Amazon S3 버킷에 이벤트를 로그 파일로 제공할 수 있도록 해주는 구성입니다. CloudTrail 로그 파일에는 하나 이상의 로그 항목이 포함됩니다. 이벤트는 어떤 소스로부터의 단일 요청을 나타내며 요청된 작업, 작업 날짜와 시간, 요청 파라미터 등에 대한 정보가 들어 있습니다. CloudTrail 로그 파일은 퍼블릭 API 호출의 주문 스택 추적이 아니기 때문에 특정 순서로 표시되지 않습니다.

다음은 샘플 CreateCluster 호출에 대한 CloudTrail 로그 항목을 보여 주는 예입니다.

{ "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "AIDAMVNPBQA3EXAMPLE", "arn": "arn:aws:iam::123456789012:user/Admin", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Admin", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2017-03-03T16:51:56Z" } }, "invokedBy": "signin.amazonaws.com" }, "eventTime": "2017-03-03T16:56:09Z", "eventSource": "redshift.amazonaws.com", "eventName": "CreateCluster", "awsRegion": "us-east-2", "sourceIPAddress": "52.95.4.13", "userAgent": "signin.amazonaws.com", "requestParameters": { "clusterIdentifier": "my-dw-instance", "allowVersionUpgrade": true, "enhancedVpcRouting": false, "encrypted": false, "clusterVersion": "1.0", "masterUsername": "awsuser", "masterUserPassword": "****", "automatedSnapshotRetentionPeriod": 1, "port": 5439, "dBName": "mydbtest", "clusterType": "single-node", "nodeType": "dc1.large", "publiclyAccessible": true, "vpcSecurityGroupIds": [ "sg-95f606fc" ] }, "responseElements": { "nodeType": "dc1.large", "preferredMaintenanceWindow": "sat:05:30-sat:06:00", "clusterStatus": "creating", "vpcId": "vpc-84c22aed", "enhancedVpcRouting": false, "masterUsername": "awsuser", "clusterSecurityGroups": [], "pendingModifiedValues": { "masterUserPassword": "****" }, "dBName": "mydbtest", "clusterVersion": "1.0", "encrypted": false, "publiclyAccessible": true, "tags": [], "clusterParameterGroups": [ { "parameterGroupName": "default.redshift-1.0", "parameterApplyStatus": "in-sync" } ], "allowVersionUpgrade": true, "automatedSnapshotRetentionPeriod": 1, "numberOfNodes": 1, "vpcSecurityGroups": [ { "status": "active", "vpcSecurityGroupId": "sg-95f606fc" } ], "iamRoles": [], "clusterIdentifier": "my-dw-instance", "clusterSubnetGroupName": "default" }, "requestID": "4c506036-0032-11e7-b8bf-d7aa466e9920", "eventID": "13ba5550-56ac-405b-900a-8a42b0f43c45", "eventType": "AwsApiCall", "recipientAccountId": "123456789012" }

다음은 샘플 DeleteCluster 호출에 대한 CloudTrail 로그 항목을 보여 주는 예입니다.

{ "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "AIDAMVNPBQA3EXAMPLE", "arn": "arn:aws:iam::123456789012:user/Admin", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Admin", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2017-03-03T16:58:23Z" } }, "invokedBy": "signin.amazonaws.com" }, "eventTime": "2017-03-03T17:02:34Z", "eventSource": "redshift.amazonaws.com", "eventName": "DeleteCluster", "awsRegion": "us-east-2", "sourceIPAddress": "52.95.4.13", "userAgent": "signin.amazonaws.com", "requestParameters": { "clusterIdentifier": "my-dw-instance", "skipFinalClusterSnapshot": true }, "responseElements": null, "requestID": "324cb76a-0033-11e7-809b-1bbbef7710bf", "eventID": "59bcc3ce-e635-4cce-b47f-3419a36b3fa5", "eventType": "AwsApiCall", "recipientAccountId": "123456789012" }

Amazon Redshift account IDs in AWS CloudTrail logs

Amazon Redshift가 다른 AWS 서비스를 호출하면 Amazon Redshift에 속하는 계정 ID로 호출이 기록됩니다. 사용자의 계정 ID로 기록되지는 않습니다. 예를 들어 Amazon Redshift가 CreateGrant, Decrypt, Encrypt, RetireGrant 같은 AWS Key Management Service(AWS KMS) 작업을 호출하여 클러스터 암호화를 관리한다고 가정합니다. 이 경우 호출은 AWS CloudTrail에 의해 Amazon Redshift 계정 ID를 사용하여 기록됩니다.

Amazon Redshift는 다른 AWS 서비스를 호출할 때 다음 표의 계정 ID를 사용합니다.

리전 리전 계정 ID
미국 동부(버지니아 북부) 지역 us-east-1 368064434614
미국 동부(오하이오) 리전 us-east-2 790247189693
미국 서부(캘리포니아 북부) 리전 us-west-1 703715109447
미국 서부(오레곤) 지역 us-west-2 473191095985
아프리카(케이프타운) 리전 af-south-1 420376844563
아시아 태평양(홍콩) 리전 ap-east-1 651179539253
아시아 태평양(뭄바이) 리전 ap-south-1 408097707231
아시아 태평양(오사카-로컬) 리전 ap-northeast-3 398671365691
아시아 태평양(서울) 리전 ap-northeast-2 713597048934
아시아 태평양(싱가포르) 리전 ap-southeast-1 960118270566
아시아 태평양(시드니) 리전 ap-southeast-2 485979073181
아시아 태평양(도쿄) 리전 ap-northeast-1 615915377779
캐나다(중부) 리전 ca-central-1 764870610256
유럽(프랑크푸르트) 리전 eu-central-1 434091160558
유럽(아일랜드) 리전 eu-west-1 246478207311
유럽(런던) 리전 eu-west-2 885798887673
유럽(밀라노) 리전 eu-south-1 041313461515
유럽(파리) 리전 eu-west-3 694668203235
유럽(스톡홀름) 리전 eu-north-1 553461782468
중동(바레인) 리전 me-south-1 051362938876
남아메리카(상파울루) 리전 sa-east-1 392442076723

다음은 Amazon Redshift가 호출한 AWS KMS Decrypt 작업의 CloudTrail 로그 항목을 보여 주는 예입니다.

{ "eventVersion": "1.05", "userIdentity": { "type": "AssumedRole", "principalId": "AROAI5QPCMKLTL4VHFCYY:i-0f53e22dbe5df8a89", "arn": "arn:aws:sts::790247189693:assumed-role/prod-23264-role-wp/i-0f53e22dbe5df8a89", "accountId": "790247189693", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2017-03-03T16:24:54Z" }, "sessionIssuer": { "type": "Role", "principalId": "AROAI5QPCMKLTL4VHFCYY", "arn": "arn:aws:iam::790247189693:role/prod-23264-role-wp", "accountId": "790247189693", "userName": "prod-23264-role-wp" } } }, "eventTime": "2017-03-03T17:16:51Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-east-2", "sourceIPAddress": "52.14.143.61", "userAgent": "aws-internal/3", "requestParameters": { "encryptionContext": { "aws:redshift:createtime": "20170303T1710Z", "aws:redshift:arn": "arn:aws:redshift:us-east-2:123456789012:cluster:my-dw-instance-2" } }, "responseElements": null, "requestID": "30d2fe51-0035-11e7-ab67-17595a8411c8", "eventID": "619bad54-1764-4de4-a786-8898b0a7f40c", "readOnly": true, "resources": [ { "ARN": "arn:aws:kms:us-east-2:123456789012:key/f8f4f94f-e588-4254-b7e8-078b99270be7", "accountId": "123456789012", "type": "AWS::KMS::Key" } ], "eventType": "AwsApiCall", "recipientAccountId": "123456789012", "sharedEventID": "c1daefea-a5c2-4fab-b6f4-d8eaa1e522dc" }