Amazon RedShift je popolnoma upravljana storitev skladiščenja podatkov v petabajtnem obsegu v oblaku. Z Amazon Redshift lahko analizirate vse svoje podatke, da pridobite celosten vpogled v svoje podjetje in stranke. Ena najboljših praks sodobnega oblikovanja aplikacij je centralizirano beleženje. Odpravljanje težav z aplikacijami je preprosto, če lahko povežete vse svoje podatke.
Ko omogočite revizijsko beleženje, Amazon Redshift informacije o dnevnikih o povezavah in aktivnostih uporabnikov v bazi podatkov. Ti dnevniki vam pomagajo nadzirati bazo podatkov za namene varnosti in odpravljanja težav, proces, imenovan revizija baze podatkov. Dnevniki so shranjeni v Preprosta storitev shranjevanja Amazon (Amazon S3) vedra. Ti uporabnikom, ki so odgovorni za spremljanje dejavnosti v bazi podatkov, zagotavljajo priročen dostop s funkcijami za varnost podatkov.
Če želite vzpostaviti osrednji račun za revizijsko beleženje za zajemanje revizijskih dnevnikov, ki jih ustvarijo gruče Amazon Redshift v ločenih računih AWS, lahko uporabite rešitev v tej objavi, da dosežete revizijsko beleženje med računi za Amazon Redshift. Od tega pisanja konzola Amazon Redshift navaja le vedra S3 iz istega računa (v katerem se nahaja gruča Amazon Redshift), hkrati pa omogoča revizijsko beleženje, tako da ne morete nastaviti revizijskega beleženja med računi s konzolo Amazon Redshift. V tej objavi prikazujemo, kako konfigurirati beleženje revizije med računi z uporabo Vmesnik ukazne vrstice AWS (AWS CLI).
Predpogoji
Za ta korak morate imeti naslednje predpogoje:
- dve Računi AWS: ena za analitiko in ena za centralizirano beleženje
- Omogočena gruča Amazon Redshift v analitičnem računu AWS
- Vedro S3 v računu AWS za centralizirano beleženje
- Dostop do AWS CLI
Pregled rešitve
Kot najboljšo splošno varnostno prakso priporočamo, da zagotovite, da so revizijski dnevniki Amazon Redshift poslani v pravilna vedra S3. Storitvena skupina Amazon Redshift je uvedla dodatne varnostne kontrole v primeru, da se ciljno vedro S3 nahaja v drugem računu kot račun lastnika gruče Amazon Redshift. Za več informacij glejte Dovoljenja vedra za revizijsko beleženje Amazon Redshift.
Ta objava uporablja AWS CLI za vzpostavitev revizijskega beleženja med računi za Amazon Redshift, kot je prikazano v naslednjem diagramu arhitekture.
Za to objavo smo vzpostavili gručo Amazon Redshift z imenom redshift-analytics-cluster-01
v analitičnem računu v regiji us-east-2
.
Postavili smo tudi vedro S3 z imenom redshift-cluster-audit-logging-xxxxxxxxxxxx
v računu za centralizirano beleženje za zajem revizijskih dnevnikov v regiji us-east-1
.
Zdaj ste pripravljeni dokončati naslednje korake za nastavitev beleženja revizije med računi:
- ustvarjanje AWS upravljanje identitete in dostopa (IAM) v računu analytics AWS.
- Ustvarite uporabnika IAM in priložite pravilnike, ki ste jih ustvarili.
- Ustvarite pravilnik vedra S3 v računu za centralizirano beleženje, da Amazonu Redshift omogočite pisanje revizijskih dnevnikov v vedro S3, uporabniku IAM pa omogočite revizijsko beleženje za vedro S3.
- Konfigurirajte AWS CLI.
- Omogoči revizijsko beleženje v računu za centralizirano beleženje.
Ustvarite pravilnike IAM v analitičnem računu
Ustvarite dva pravilnika IAM v analitičnem računu, ki ima gručo Amazon Redshift.
Prvi pravilnik je pravilnik o dostopu Amazon Redshift (pravilnik smo poimenovali redshift-audit-logging-redshift-policy
). Ta pravilnik omogoča principalu, na katerega je povezan, da omogoči, onemogoči ali opiše dnevnike Amazon Redshift. Ravnatelju omogoča tudi opis gruče Amazon Redshift. Oglejte si naslednjo kodo:
Drugi pravilnik je pravilnik o dostopu Amazon S3 (pravilnik smo poimenovali redshift-audit-logging-s3-policy
). Ta pravilnik dovoljuje principalu, na katerega je povezan, da piše v vedro S3 v računu za centralizirano beleženje. Oglejte si naslednjo kodo:
Ustvarite uporabnika IAM in priložite pravilnike
Ustvarite uporabnika IAM (poimenovali smo ga redshift-audit-logging-user
) s programskim dostopom v analitičnem računu in mu priložite pravilnike, ki ste jih ustvarili.
Varno shranite ustvarjeni tajni ključ AWS in poverilnice tajnega ključa za dostop za tega uporabnika. Te poverilnice uporabimo v naslednjem koraku.
Ustvarite pravilnik vedra S3 za vedro S3 v računu AWS za centralizirano beleženje
Dodajte naslednji pravilnik vedra v vedro revizijskega beleženja S3 redshift-cluster-audit-logging-xxxxxxxxxxxx
v računu za centralizirano beleženje. Ta pravilnik služi dvema namenoma: Amazonu Redshift omogoča pisanje revizijskih dnevnikov v vedro S3 in omogoča uporabniku IAM, da omogoči revizijsko beleženje za vedro S3. Oglejte si naslednjo kodo:
Upoštevajte, da morate spremeniti ime storitve redshift.amazonaws.com
izgledati kot redshift.region.amazonaws.com
če je grozd v enem od opt-in regije.
Konfigurirajte AWS CLI
Kot del tega koraka morate namestite in konfigurirajte AWS CLI. Ko namestite AWS CLI, ga konfigurirajte za uporabo Poverilnice uporabnika IAM ki smo jih ustvarili prej. Naslednje korake izvedemo na podlagi dovoljenj, povezanih z uporabnikom IAM, ki smo ga ustvarili.
Omogoči revizijsko beleženje v računu za centralizirano beleženje
Zaženite ukaz AWS CLI za omogoči revizijsko beleženje za gručo Amazon Redshift v vedru S3 v računu AWS za centralizirano beleženje. V naslednji kodi navedite ID gruče Amazon Redshift, ime vedra S3 in predpono, uporabljeno za imena dnevniških datotek:
Naslednji posnetek zaslona prikazuje, da je revizijsko beleženje Amazon Redshift med računi uspešno nastavljeno.
AWS ustvari tudi preskusno datoteko, da zagotovi, da se lahko datoteke dnevnika uspešno zapišejo v vedro S3. Naslednji posnetek zaslona prikazuje, da je bila testna datoteka uspešno ustvarjena v vedru S3 pod rsauditlog1
predpono.
Čez nekaj časa smo začeli videti revizijske dnevnike, ustvarjene v vedru S3. Amazon Redshift privzeto organizira dnevniške datoteke v vedru S3 z uporabo naslednje strukture vedra in objekta:
Amazon Redshift beleži podatke v naslednjih dnevniških datotekah:
- Dnevnik povezav – Beleži poskuse avtentikacije, povezave in prekinitve povezave
- Dnevnik uporabnika – Beleži informacije o spremembah uporabniških definicij baze podatkov
- Dnevnik dejavnosti uporabnika – Beleži vsako poizvedbo, preden se zažene v bazi podatkov
Naslednji posnetek zaslona prikazuje, da se dnevniške datoteke, kot so dnevniki povezav in dnevniki dejavnosti uporabnikov, zdaj ustvarjajo v računu za centralizirano beleženje v us-east-1
iz gruče Amazon Redshift v analitičnem računu v us-east-2
.
Za več podrobnosti o analizi revizijskih dnevnikov Amazon Redshift si oglejte spodaj navedene bloge
- Vizualizirajte revizijske dnevnike Amazon Redshift z uporabo Amazon Athena in Amazon QuickSight
- Kako analiziram svoje revizijske dnevnike z uporabo Amazon Redshift Spectrum?
Čiščenje
Da se izognete prihodnjim stroškom, lahko izbrišete vse vire, ki ste jih ustvarili, medtem ko sledite korakom v tej objavi.
zaključek
V tej objavi smo pokazali, kako izvesti revizijsko beleženje med računi za gručo Amazon Redshift v enem računu v vedro Amazon S3 v drugem računu. S to rešitvijo lahko vzpostavite osrednji račun za revizijsko beleženje za zajemanje revizijskih dnevnikov, ki jih ustvarijo gruče Amazon Redshift, ki se nahajajo v ločenih računih AWS.
Preizkusite to rešitev za doseganje revizijskega beleženja med računi za Amazon Redshift in pustite komentar.
O avtorjih
Milind Oke je specialist za rešitve za skladišča podatkov s sedežem v New Yorku. Že več kot 15 let gradi rešitve za skladišča podatkov in je specializiran za Amazon Redshift.
Dipankar Kushari je starejši arhitekt analitičnih rešitev pri AWS.
Pankaj Pattewar je arhitekt aplikacij v oblaku pri Amazon Web Services. Specializiran je za arhitekturo in gradnjo aplikacij, ki so izvorne v oblaku, ter strankam omogoča najboljše prakse na njihovem potovanju v oblak.
Sudharshan Veerabatheran je inženir za podporo v oblaku iz Portlanda.
- '
- 100
- 116
- O meni
- dostop
- Račun
- Ukrep
- dejavnosti
- Dodatne
- vsi
- Amazon
- Amazon Web Services
- analitika
- uporaba
- aplikacije
- Arhitektura
- Revizija
- Preverjanje pristnosti
- AWS
- počutje
- BEST
- najboljše prakse
- Building
- poslovni
- Stroški
- Cloud
- Koda
- povezava
- povezave
- Konzole
- Mandatno
- Stranke, ki so
- datum
- Varovanje podatkov
- podatkovno skladišče
- Baze podatkov
- Oblikovanje
- drugačen
- učinek
- inženir
- ustanovljena
- Event
- Lastnosti
- prva
- Prihodnost
- splošno
- pomoč
- Kako
- Kako
- HTTPS
- IAM
- identiteta
- Podatki
- vpogledi
- Uvedeno
- IT
- Potovanje
- Ključne
- vrstica
- seznami
- Izdelava
- spremljanje
- več
- Imena
- potrebna
- NY
- Lastnik
- politike
- politika
- Portland
- , ravnateljica
- Postopek
- zagotavljajo
- vir
- viri
- Run
- varnost
- Storitve
- nastavite
- Enostavno
- So
- rešitve
- specializirano
- začel
- Izjava
- shranjevanje
- podpora
- Test
- čas
- skupaj
- Uporabniki
- različica
- Skladišče
- web
- spletne storitve
- WHO
- pisanje
- let