投稿日: Sep 22, 2021
AWS CloudTrail を使用して、Amazon DynamoDB Streams のデータプレーン API アクティビティをフィルタリングして取得できるようになりました。これにより、どの DynamoDB API コールを CloudTrail にログ記録し支払いをするかをよりきめ細かく制御できるようになり、コンプライアンスや監査の要件に対応できるようになります。
データプレーンは、リソース上またはリソース内部で実行されるデータプレーンリソースオペレーションを可視化します。AWS::DynamoDB::Stream をリソースタイプとして指定することで、DynamoDB のストリーミングイベントと非ストリーミングイベントのログ記録をきめ細かく制御できるようになりました。例えば、DynamoDB ストリーミング API のみをログに記録して、受信する CloudTrail イベントを絞り込むことができます。これにより、コストを統制しながらセキュリティの問題を特定できます。CloudTrail でのデータプレーンログ記録を使用すると、DynamoDB のすべての API アクティビティを記録し、リクエストを行った AWS Identity and Access Management (IAM) のユーザーまたはロール、そのリクエストの時刻、アクセスされたテーブルなどの詳細情報を受け取ることができます。DynamoDB データイベントは Amazon S3 バケットおよび Amazon CloudWatch Events に送信されます。これにより、データアクセスの監査ログが作成され、CloudTrail で記録されたイベントへの対応ができるようになります。
DynamoDB データプレーンの CloudTrail ログ記録は、CloudTrail が利用可能なすべての商用 AWS リージョンでご利用いただけます。データプレーンイベントの料金については、「AWS CloudTrail の料金」をご覧ください。DynamoDB Streams データプレーンイベントのフィルタリングについては、「AWS CloudTrail を使用した DynamoDB オペレーションのログ記録」をご覧ください。