用于跨账户 Athena 查询到远程 Glue 数据目录的 CloudTrail 日志

CloudTrail logs for Cross-Account Athena queries to remote Glue Data Catalogue

提问人:Lydon 提问时间:11/15/2023 更新时间:11/15/2023 访问量:13

问:

我的 AWS 账户在 Glue 数据目录中托管 Glue S3 表。我们使用 Glue Catalog 资源策略与其他 AWS 账户共享它们。我们目前不将 LakeFormation 用于此帐户。

我想审核谁在访问我们的 Glue 目录的频率,但 CloudTrail 事件没有用。

我尝试过通过多种方式查询 CloudTrail。我能找到的与目录表交互的最佳证据是当我查找 Glue 事件时:

SELECT * FROM "default"."cloudtrail"
where y = '2023'
and m = '11'
and d = '15'
and eventtime like '2023-11-15T08:32%'
and eventsource = 'glue.amazonaws.com';

我发现内部 AWS Internal 用户正在进行交互,但它没有显示有关源账户或原则的任何信息:

#   eventversion    useridentity    eventtime   eventsource eventname   awsregion   sourceipaddress useragent   errorcode   errormessage    requestparameters   responseelements    additionaleventdata requestid   eventid resources   eventtype   apiversion  readonly    recipientaccountid  serviceeventdetails sharedeventid   vpcendpointid   tlsdetails  y   m   d
1   1.09    {type=AWSService, principalid=null, arn=null, accountid=null, invokedby=AWS Internal, accesskeyid=null, username=null, sessioncontext=null} 2023-11-15T08:32:59Z    glue.amazonaws.com  BatchGetTable   us-east-1   AWS Internal    AWS Internal            {"catalogId":"123123123123","entries":[{"id":"0","databaseName":"my_db","name":"my_table"}]}        {"insufficientLakeFormationPermissions":["my_db:my_table"],"TableArns":{"0":"arn:aws:glue:us-east-1:123123123123:table/my_db/my_table"},"LakeFormationTrustedCallerInvocation":"true"}  9612333-fb0b-4e09-a009-d012312328c4 3a3fbbaa-6e27-4822-bc6c-b46aab739e4b        AwsApiCall      true    123123123123        011123d0-d4a5-40af-9ed7-b51231235703            2023    11  15

请注意有关 LakeFormation 的错误。这很奇怪,因为查询在收件人帐户中成功运行。而且我们没有在所有者帐户中使用 LakeFormation。

我怀疑此类 Glue 共享和访问的 CloudTrail 日志未被跟踪,但我想看看社区是否也面临此问题?还有其他聪明的方法来跟踪谁在与 Glue 数据库/表交互吗?

网络服务 AWS-胶水 雅典娜 亚马逊 云跟踪

评论

答: 暂无答案

上一个:AWS Athena - 过去 2 个日历年的数据

下一个:是否可以使用 AWS Athena 基于列数据创建复杂的行数据?