Incluindo identidades principais em registros de várias contas CloudTrail Consultando CloudTrail registros para acesso entre contas do Amazon S3

Registro em várias contas CloudTrail

O Lake Formation fornece uma trilha de auditoria centralizada de todo o acesso entre contas aos dados em seu data lake. Quando uma AWS conta de destinatário acessa dados em uma tabela compartilhada, o Lake Formation copia o CloudTrail evento para os registros da CloudTrail conta proprietária. Os eventos copiados incluem consultas aos dados por serviços integrados, como o Amazon Redshift Spectrum, Amazon Athena e acessos a dados por trabalhos. AWS Glue

CloudTrail os eventos para operações entre contas nos recursos do Catálogo de Dados são copiados de forma semelhante.

Como proprietário do recurso, se você habilitar o registro em nível de objeto no Amazon S3, poderá executar consultas que unem eventos do S3 aos CloudTrail eventos do CloudTrail Lake Formation para determinar as contas que acessaram seus buckets do S3.

Tópicos

Incluindo identidades principais em registros de várias contas CloudTrail
Consultando CloudTrail registros para acesso entre contas do Amazon S3

Incluindo identidades principais em registros de várias contas CloudTrail

Por padrão, CloudTrail os eventos entre contas adicionados aos registros do destinatário do recurso compartilhado e copiados para os registros do proprietário do recurso contêm somente o ID AWS principal do responsável externo da conta, não o nome de recurso da Amazon (ARN) legível por humanos do principal (ARN principal). Ao compartilhar recursos dentro de limites confiáveis, como dentro da mesma organização ou equipe, você pode optar por incluir o ARN principal nos CloudTrail eventos. As contas do proprietário do recurso podem então rastrear as entidades principais nas contas de destinatários que acessam seus recursos próprios.

Importante

Como destinatário do recurso compartilhado, para ver o ARN principal em eventos em seus próprios CloudTrail registros, você deve optar por compartilhar o ARN principal com a conta do proprietário.

Se o acesso aos dados ocorrer por meio de um link de recurso, dois eventos serão registrados na conta do destinatário do recurso compartilhado: um para o acesso ao link do recurso e outro para o acesso ao recurso de destino. O evento para o acesso ao link de recurso inclui o ARN da entidade principal. O evento para o acesso ao recurso de destino não inclui o ARN da entidade principal sem selecionar a opção de inclusão. O evento de acesso ao link do recurso não é copiado para a conta do proprietário.

A seguir está um trecho de um CloudTrail evento padrão entre contas (sem aceitação). A conta que executa o acesso aos dados é 1111-2222-3333. Este é o log mostrado na conta de origem e na conta do proprietário do recurso. Lake Formation preenche logs em ambas as contas no caso entre contas.


{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "AROAQGFTBBBGOBWV2EMZA:GlueJobRunnerSession",
        "accountId": "111122223333"
    },
    "eventSource": "lakeformation.amazonaws.com",
    "eventName": "GetDataAccess",
...
...
    "additionalEventData": {
        "requesterService": "GLUE_JOB",
        "lakeFormationRoleSessionName": "AWSLF-00-GL-111122223333-G13T0Rmng2"
    },
...
}

Como consumidor de recursos compartilhados, quando você opta por incluir o ARN da entidade principal, o trecho se torna o seguinte. O campo lakeFormationPrincipal representa o perfil final ou o usuário que executa a consulta por meio do Amazon Athena, Amazon Redshift Spectrum ou tarefas AWS Glue.


{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AWSAccount",
        "principalId": "AROAQGFTBBBGOBWV2EMZA:GlueJobRunnerSession",
        "accountId": "111122223333"
    },
    "eventSource": "lakeformation.amazonaws.com",
    "eventName": "GetDataAccess",
...
...
    "additionalEventData": {
        "requesterService": "GLUE_JOB",
        "lakeFormationPrincipal": "arn:aws:iam::111122223333:role/ETL-Glue-Role",
        "lakeFormationRoleSessionName": "AWSLF-00-GL-111122223333-G13T0Rmng2"
    },
...
}

Para optar por incluir ARNs principais nos registros de várias contas CloudTrail

Abra o console do Lake Formation em https://console.aws.amazon.com/lakeformation/.

Faça login como usuário Administrator ou como usuário com a política do IAM Administrator Access.
No painel de navegação, selecione Configurações.
Na página Configurações do catálogo de dados, na AWS CloudTrail seção Permissões padrão para, para proprietários de recursos, insira uma ou mais IDs de conta do proprietário do AWS recurso.

Pressione Enter após cada ID da conta.
Escolha Salvar.

Agora, CloudTrail os eventos entre contas armazenados nos registros do destinatário do recurso compartilhado e do proprietário do recurso contêm o ARN principal.

Consultando CloudTrail registros para acesso entre contas do Amazon S3

Como proprietário de um recurso compartilhado, você pode consultar CloudTrail os registros do S3 para determinar as contas que acessaram seus buckets do Amazon S3 (desde que você tenha habilitado o registro em nível de objeto no Amazon S3). Isso se aplica somente aos locais do S3 que você registrou no Lake Formation. Se os consumidores de recursos compartilhados optarem por incluir os Rans principais nos CloudTrail registros do Lake Formation, você poderá determinar as funções ou os usuários que acessaram os buckets.

Ao executar consultas com Amazon Athena, você pode unir eventos do Lake Formation e CloudTrail eventos do S3 na CloudTrail propriedade do nome da sessão. As consultas também podem filtrar eventos do Lake Formation em eventName="GetDataAccess" e eventos do S3 em eventName="Get Object" ou eventName="Put Object".

A seguir está um trecho de um CloudTrail evento entre contas do Lake Formation em que dados em um local registrado do S3 foram acessados.


{
  "eventSource": "lakeformation.amazonaws.com",
  "eventName": "GetDataAccess",
  ..............
  ..............
  "additionalEventData": {
    "requesterService": "GLUE_JOB",
    "lakeFormationPrincipal": "arn:aws:iam::111122223333:role/ETL-Glue-Role",
    "lakeFormationRoleSessionName": "AWSLF-00-GL-111122223333-B8JSAjo5QA"
   }
}

O valor da lakeFormationRoleSessionName chaveAWSLF-00-GL-111122223333-B8JSAjo5QA,, pode ser associado ao nome da sessão na principalId chave do CloudTrail evento do S3. A seguir está um trecho do evento CloudTrail S3. Veja a localização do nome da sessão.



{
   "eventSource": "s3.amazonaws.com",
   "eventName": "Get Object"
   ..............
   ..............
   "principalId": "AROAQSOX5XXUR7D6RMYLR:AWSLF-00-GL-111122223333-B8JSAjo5QA",
   "arn": "arn:aws:sets::111122223333:assumed-role/Deformationally/AWSLF-00-GL-111122223333-B8JSAjo5QA",  
   "session Context": {
     "session Issuer": {
       "type": "Role",
       "principalId": "AROAQSOX5XXUR7D6RMYLR",
       "arn": "arn:aws:iam::111122223333:role/aws-service-role/lakeformation.amazonaws.com/Deformationally",
       "accountId": "111122223333",
       "user Name": "Deformationally"
     },
   ..............
   ..............
}

O nome da sessão é formatado da seguinte forma:


AWSLF-<version-number>-<query-engine-code>-<account-id->-<suffix>

version-number

A versão desse formato, atualmente 00. Se o formato do nome da sessão mudar, a próxima versão será 01.

query-engine-code

Indica a entidade que acessou os dados. Os valores atuais são:

`GL`	Tarefa de ETL AWS Glue
`AT`	Athena
`RE`	Amazon Redshift Spectrum

account-id

O ID da AWS conta que solicitou as credenciais do Lake Formation.

suffix

Uma string gerada aleatoriamente.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Como acessar os dados subjacentes de uma tabela compartilhada

Gerenciamento de permissões entre contas usando A e Lake Formation