Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Protokollierung und Überwachung
Um Vorfälle zu erkennen, Benachrichtigungen zu Vorfällen zu erhalten und um darauf zu reagieren, verwenden Sie diese Optionen mit Amazon EMR in EKS:
+ Amazon EMR on EKS überwachen mit AWS CloudTrail ‐ [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)bietet eine Aufzeichnung der Aktionen, die von einem Benutzer, einer Rolle oder einem AWS Service in Amazon EMR on EKS ausgeführt wurden. Es erfasst Aufrufe über die Amazon-EMR-Konsole und Code-Aufrufe der API-Vorgänge von Amazon EMR in EKS als Ereignisse. Damit können Sie die an Amazon EMR in EKS ergangene Anfrage erkennen, die IP-Adresse, von der die Anfrage ausgegangen ist, wer die Anfrage getätigt hat, wann sie erfolgte, sowie weitere Einzelheiten. Weitere Informationen finden Sie unter [Protokollieren von Amazon EMR bei EKS-API-Aufrufen mit AWS CloudTrail](logging-using-cloudtrail.md).
+ Verwenden Sie CloudWatch Events with Amazon EMR on EKS ‐ CloudWatch Events bietet einen Stream von Systemereignissen, die Änderungen an AWS Ressourcen beschreiben, nahezu in Echtzeit. CloudWatch Events erkennt betriebliche Änderungen, sobald sie auftreten, reagiert darauf und ergreift bei Bedarf Korrekturmaßnahmen, indem es Nachrichten sendet, um auf die Umgebung zu reagieren, Funktionen aktiviert, Änderungen vornimmt und Statusinformationen erfasst. Um CloudWatch Events mit Amazon EMR on EKS zu verwenden, erstellen Sie eine Regel, die bei einem Amazon EMR on EKS-API-Aufruf über ausgelöst wird. CloudTrail Weitere Informationen finden Sie unter [Überwachen Sie Jobs mit Amazon CloudWatch Events](monitoring.md#monitoring-cloudwatch-events).
# Verschlüsselung von Amazon EMR in EKS-Protokollen mit verwaltetem Speicher
In den folgenden Abschnitten erfahren Sie, wie Sie die Verschlüsselung für Protokolle konfigurieren.
## Verschlüsselung aktivieren
Um Protokolle im verwalteten Speicher mit Ihrem eigenen KMS-Schlüssel zu verschlüsseln, verwenden Sie die folgende Konfiguration, wenn Sie eine Jobausführung einreichen.
```
"monitoringConfiguration": {
"managedLogs": {
"allowAWSToRetainLogs":"ENABLED",
"encryptionKeyArn":"KMS key arn"
},
"persistentAppUI": "ENABLED"
}
```
Die `allowAWSToRetainLogs` Konfiguration ermöglicht AWS die Aufbewahrung von System-Namespace-Protokollen, wenn ein Job mit nativem FGAC ausgeführt wird. Die `persistentAppUI` Konfiguration ermöglicht AWS das Speichern von Ereignisprotokollen, die zur Generierung der Spark-Benutzeroberfläche verwendet werden. Der `encryptionKeyArn` wird verwendet, um den KMS-Schlüssel ARN anzugeben, mit dem Sie die gespeicherten Protokolle verschlüsseln möchten. AWS
## Erforderliche Berechtigungen für die Protokollverschlüsselung
Dem Benutzer, der den Job einreicht oder die Spark-Benutzeroberfläche aufruft `kms:DescribeKey``kms:GenerateDataKey`, müssen die Aktionen und `kms:Decrypt` für den Verschlüsselungsschlüssel zugelassen werden. Diese Berechtigungen werden verwendet, um die Gültigkeit des Schlüssels zu überprüfen und zu überprüfen, ob der Benutzer über die erforderlichen Rechte zum Lesen und Schreiben von Protokollen verfügt, die mit dem KMS-Schlüssel verschlüsselt wurden. Wenn der Benutzer, der den Job einreicht, nicht über die erforderlichen Schlüsselberechtigungen verfügt, lehnt Amazon EMR on EKS die Übermittlung der Auftragsausführung ab.
**Beispiel für eine IAM-Richtlinie für die Rolle, die zum Aufrufen verwendet wurde StartJobRun**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"emr-containers:StartJobRun"
],
"Resource": [
"*"
],
"Effect": "Allow",
"Sid": "AllowEMRCONTAINERSStartjobrun"
},
{
"Action": [
"kms:DescribeKey",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:*:*:key/key-id"
],
"Effect": "Allow",
"Sid": "AllowKMSDescribekey"
}
]
}
```
------
Außerdem müssen Sie den KMS-Schlüssel so konfigurieren, dass die `persistentappui.elasticmapreduce.amazonaws.com` und `elasticmapreduce.amazonaws.com` Service Principals und verwenden können. `kms:GenerateDataKey` `kms:Decrypt` Auf diese Weise kann EMR mit dem KMS-Schlüssel verschlüsselte Protokolle lesen und in den verwalteten Speicher schreiben.
**Beispiel für eine KMS-Schlüsselrichtlinie**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"kms:viaService": "emr-containers.*.amazonaws.com"
}
},
"Sid": "AllowKMSDescribekey"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"kms:viaService": "emr-containers.*.amazonaws.com",
"kms:EncryptionContext:aws:emr-containers:virtualClusterId": "virtual cluster id"
}
},
"Sid": "AllowKMSDecryptGenerate"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:emr-containers:virtualClusterId": "virtual cluster id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:emr-containers:*:*:/virtualclusters/virtual_cluster_id"
}
},
"Sid": "AllowKMSDecryptService"
}
]
}
```
------
Aus Sicherheitsgründen empfehlen wir, die `aws:SourceArn` Bedingungen `kms:viaService``kms:EncryptionContext`, und hinzuzufügen. Diese Bedingungen tragen dazu bei, dass der Schlüssel nur von Amazon EMR auf EKS und nur für Protokolle verwendet wird, die von Aufträgen generiert werden, die in einem bestimmten virtuellen Cluster ausgeführt werden.
# Protokollieren von Amazon EMR bei EKS-API-Aufrufen mit AWS CloudTrail
Amazon EMR on EKS ist in einen Service integriert AWS CloudTrail, der eine Aufzeichnung der Aktionen bereitstellt, die von einem Benutzer, einer Rolle oder einem AWS Service in Amazon EMR on EKS ausgeführt wurden. CloudTrail erfasst alle API-Aufrufe für Amazon EMR auf EKS als Ereignisse. Zu den erfassten Aufrufen gehören Aufrufe von der Konsole von Amazon EMR in EKS und Code-Aufrufe der API-Vorgänge von Amazon EMR in EKS. Wenn Sie einen Trail erstellen, können Sie die kontinuierliche Übermittlung von CloudTrail Ereignissen an einen Amazon S3 S3-Bucket aktivieren, einschließlich Ereignissen für Amazon EMR auf EKS. Wenn Sie keinen Trail konfigurieren, können Sie die neuesten Ereignisse trotzdem in der CloudTrail Konsole im **Ereignisverlauf** anzeigen. Anhand der von gesammelten Informationen können Sie die Anfrage CloudTrail, die an Amazon EMR auf EKS gestellt wurde, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details ermitteln.
Weitere Informationen CloudTrail dazu finden Sie im [AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).
## Informationen zu Amazon EMR auf EKS in CloudTrail
CloudTrail ist für Ihr AWS Konto aktiviert, wenn Sie das Konto erstellen. Wenn in Amazon EMR auf EKS Aktivitäten auftreten, wird diese Aktivität zusammen mit anderen AWS Serviceereignissen in der CloudTrail **Ereignishistorie in einem Ereignis** aufgezeichnet. Sie können aktuelle Ereignisse in Ihrem AWS Konto ansehen, suchen und herunterladen. Weitere Informationen finden Sie unter [Ereignisse mit dem CloudTrail Ereignisverlauf anzeigen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Für eine fortlaufende Aufzeichnung von Ereignissen in Ihrem AWS Konto, einschließlich Ereignissen für Amazon EMR auf EKS, erstellen Sie einen Trail. Ein *Trail* ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Wenn Sie einen Trail in der Konsole erstellen, gilt der Trail standardmäßig für alle AWS Regionen. Der Trail protokolliert Ereignisse aus allen Regionen der AWS Partition und übermittelt die Protokolldateien an den von Ihnen angegebenen Amazon S3 S3-Bucket. Darüber hinaus können Sie andere AWS Dienste konfigurieren, um die in den CloudTrail Protokollen gesammelten Ereignisdaten weiter zu analysieren und darauf zu reagieren. Weitere Informationen finden Sie hier:
+ [Übersicht zum Erstellen eines Trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail unterstützte Dienste und Integrationen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [Konfiguration von Amazon SNS SNS-Benachrichtigungen für CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Empfangen von CloudTrail Protokolldateien aus mehreren Regionen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) und [Empfangen von CloudTrail Protokolldateien von mehreren Konten](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Alle Amazon EMR on EKS-Aktionen werden von der [Amazon EMR on EKS-API-Dokumentation](https://docs.aws.amazon.com/emr-on-eks/latest/APIReference/) protokolliert CloudTrail und sind in dieser Dokumentation dokumentiert. Beispielsweise generieren Aufrufe von `StartJobRun` und `ListJobRuns` Aktionen Einträge in den CloudTrail Protokolldateien. `CreateVirtualCluster`
Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:
+ Ob die Anfrage mit Root- oder AWS Identity and Access Management (IAM-) Benutzeranmeldedaten gestellt wurde.
+ Gibt an, ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen Verbundbenutzer gesendet wurde.
+ Ob die Anfrage von einem anderen AWS Dienst gestellt wurde.
Weitere Informationen finden Sie unter dem [Element CloudTrail Benutzeridentität](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Erläuterungen der Protokolldateieinträge von Amazon EMR in EKS
Ein Trail ist eine Konfiguration, die die Übertragung von Ereignissen als Protokolldateien an einen von Ihnen angegebenen Amazon S3 S3-Bucket ermöglicht. CloudTrail Protokolldateien enthalten einen oder mehrere Protokolleinträge. Ein Ereignis stellt eine einzelne Anforderung aus einer beliebigen Quelle dar und enthält Informationen über die angeforderte Aktion, Datum und Uhrzeit der Aktion, Anforderungsparameter usw. CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API-Aufrufe, sodass sie nicht in einer bestimmten Reihenfolge angezeigt werden.
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag, der die [https://docs.aws.amazon.com/emr-on-eks/latest/APIReference/API_ListJobRuns.html](https://docs.aws.amazon.com/emr-on-eks/latest/APIReference/API_ListJobRuns.html)Aktion demonstriert.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE:admin",
"arn": "arn:aws:sts::012345678910:assumed-role/Admin/admin",
"accountId": "012345678910",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::012345678910:role/Admin",
"accountId": "012345678910",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2020-11-04T21:49:36Z"
}
}
},
"eventTime": "2020-11-04T21:52:58Z",
"eventSource": "emr-containers.amazonaws.com",
"eventName": "ListJobRuns",
"awsRegion": "us-east-1",
"sourceIPAddress": "203.0.113.1",
"userAgent": "aws-cli/1.11.167 Python/2.7.10 Darwin/16.7.0 botocore/1.7.25",
"requestParameters": {
"virtualClusterId": "1K48XXXXXXHCB"
},
"responseElements": null,
"requestID": "890b8639-e51f-11e7-b038-EXAMPLE",
"eventID": "874f89fa-70fc-4798-bc00-EXAMPLE",
"readOnly": true,
"eventType": "AwsApiCall",
"recipientAccountId": "012345678910"
}
```