投稿日: Apr 20, 2021
AWS CloudTrail を使用して、Amazon DynamoDB ストリームのデータプレーン API (GetRecords および GetShardIterator) をログ記録し、DynamoDB テーブル内でのアイテムレベルの変更を監視および調査することが可能になりました。これまでは、CloudTrail を使用することで、DynamoDB テーブル上で実行される、DynamoDB ストリームのコントロールプレーンアクティビティ (データプレーンは含まれません) のログを作成することが可能でした。
CloudTrail でのデータプレーンログ記録を使用すると、DynamoDB のすべての API アクティビティを記録し、リクエストを行った AWS Identity and Access Management (IAM) のユーザーまたはロール、そのリクエストの時刻、アクセスされたテーブルなどの詳細情報を受け取ることができます。DynamoDB のデータプレーンイベントを設定するには、CloudTrail コンソール、AWS CLI、または AWS API を使用してデータイベントタイプを DynamoDB に指定し、CloudTrail にデータプレーン API アクティビティを記録させたい DynamoDB テーブルを選択します。DynamoDB テーブル上でデータプレーンのログ記録を有効化すると、ストリームのデータプレーン API に関するログが、CloudTrail 内で自動的に作成されるようになります。また、証跡用にキャプチャされるイベントのタイプを、読み取り専用、書き込み専用、またはその両方の中から選択できます。すべての DynamoDB データイベントは Amazon S3 バケットおよび Amazon CloudWatch Events に送信されます。これにより、データアクセスの監査ログが作成され、CloudTrail で記録されたイベントへの対応ができるようになります。
この機能の詳細については、「AWS CloudTrail を使用した DynamoDB オペレーションのログ記録」もしくは「Amazon DynamoDB now supports audit logging and monitoring using AWS CloudTrail (Amazon DynamoDB で AWS CloudTrail を使用する監査ログと監視をサポート)」を参照してください。DynamoDB ストリームの詳細については、「DynamoDB ストリームの変更データキャプチャ」を参照してください。