Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Registro y supervisión
Para detectar incidentes, recibir alertas cuando ocurran y responder a ellas, utilice estas opciones con Amazon EMR en EKS:
+ Supervise Amazon EMR en EKS con AWS CloudTrail ‐ [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)proporciona un registro de las acciones realizadas por un usuario, un rol o un AWS servicio en Amazon EMR en EKS. Captura las llamadas desde la consola de Amazon EMR y las llamadas de código a las operaciones de la API de Amazon EMR en EKS como eventos. Esto le permite determinar la solicitud que se envió a Amazon EMR en EKS, la dirección IP desde la que se hizo la solicitud, quién la hizo, cuándo se hizo y detalles adicionales. Para obtener más información, consulte [Registro de Amazon EMR en las llamadas a la API de EKS mediante AWS CloudTrail](logging-using-cloudtrail.md).
+ Use CloudWatch Events con Amazon EMR en EKS ‐ CloudWatch Events ofrece una transmisión casi en tiempo real de los eventos del sistema que describen los cambios en AWS los recursos. CloudWatch Events se percata de los cambios operativos a medida que se producen, responde a ellos y toma las medidas correctivas necesarias mediante el envío de mensajes en respuesta al entorno, la activación de funciones, la realización de cambios y la captura de información de estado. Para usar CloudWatch Events with Amazon EMR en EKS, cree una regla que se active en una llamada a la API de Amazon EMR on EKS mediante. CloudTrail Para obtener más información, consulte [Supervisa los trabajos con Amazon CloudWatch Events](monitoring.md#monitoring-cloudwatch-events).
# Cifrado de registros de Amazon EMR en EKS con almacenamiento administrado
En las secciones siguientes, se muestra cómo configurar el cifrado de registros.
## Enable encryption
Para cifrar los registros del almacenamiento administrado con su propia clave KMS, utilice la siguiente configuración al enviar una ejecución de trabajos.
```
"monitoringConfiguration": {
"managedLogs": {
"allowAWSToRetainLogs":"ENABLED",
"encryptionKeyArn":"KMS key arn"
},
"persistentAppUI": "ENABLED"
}
```
La `allowAWSToRetainLogs` configuración permite AWS conservar los registros del espacio de nombres del sistema cuando se ejecuta un trabajo con el FGAC nativo. La `persistentAppUI` configuración permite guardar los registros AWS de eventos que se utilizan para generar la interfaz de usuario de Spark. `encryptionKeyArn` se usa para especificar el ARN de la clave de KMS que quiere usar para cifrar los registros almacenados por AWS.
## Permisos necesarios para el cifrado de registros
El usuario que envía el trabajo o revisa la interfaz del usuario de Spark debe tener permitidas las acciones `kms:DescribeKey`, `kms:GenerateDataKey` y `kms:Decrypt` para la clave del cifrado. Estos permisos se utilizan para verificar la validez de la clave y comprobar que el usuario tiene los permisos necesarios para leer y escribir los registros cifrados con la clave KMS. Si el usuario que envía el trabajo carece de los permisos clave necesarios, Amazon EMR en EKS rechaza el envío de la ejecución del trabajo.
**Ejemplo de política de IAM para el rol utilizado para llamar StartJobRun**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"emr-containers:StartJobRun"
],
"Resource": [
"*"
],
"Effect": "Allow",
"Sid": "AllowEMRCONTAINERSStartjobrun"
},
{
"Action": [
"kms:DescribeKey",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:*:*:key/key-id"
],
"Effect": "Allow",
"Sid": "AllowKMSDescribekey"
}
]
}
```
------
También debe configurar la clave KMS para permitir que las entidades principales de servicio `persistentappui.elasticmapreduce.amazonaws.com` y `elasticmapreduce.amazonaws.com` accedan a `kms:GenerateDataKey` y `kms:Decrypt`. Esto le permite a EMR leer y escribir registros cifrados con la clave KMS en el almacenamiento gestionado.
**Ejemplo de política de claves de KMS**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"kms:viaService": "emr-containers.*.amazonaws.com"
}
},
"Sid": "AllowKMSDescribekey"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"kms:viaService": "emr-containers.*.amazonaws.com",
"kms:EncryptionContext:aws:emr-containers:virtualClusterId": "virtual cluster id"
}
},
"Sid": "AllowKMSDecryptGenerate"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:emr-containers:virtualClusterId": "virtual cluster id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:emr-containers:*:*:/virtualclusters/virtual_cluster_id"
}
},
"Sid": "AllowKMSDecryptService"
}
]
}
```
------
Como práctica recomendada de seguridad, le sugerimos que agregue las condiciones `kms:viaService`, `kms:EncryptionContext` y `aws:SourceArn`. Estas condiciones ayudan a garantizar que solo Amazon EMR en EKS utilice la clave y que esta solo se utilice para los registros generados a partir de trabajos que se ejecutan en un clúster virtual específico.
# Registro de Amazon EMR en las llamadas a la API de EKS mediante AWS CloudTrail
Amazon EMR en EKS está integrado con AWS CloudTrail un servicio que proporciona un registro de las acciones realizadas por un usuario, un rol o un AWS servicio en Amazon EMR en EKS. CloudTrail captura todas las llamadas a la API de Amazon EMR en EKS como eventos. Las llamadas capturadas incluyen las llamadas desde la consola de Amazon EMR en EKS y las llamadas desde el código a las operaciones de la API de Amazon EMR en EKS. Si crea una ruta, puede habilitar la entrega continua de CloudTrail eventos a un bucket de Amazon S3, incluidos los eventos de Amazon EMR en EKS. Si no configura una ruta, podrá ver los eventos más recientes en la CloudTrail consola, en el **historial** de eventos. Con la información recopilada por CloudTrail, puede determinar la solicitud que se realizó a Amazon EMR en EKS, la dirección IP desde la que se realizó la solicitud, quién la hizo, cuándo se realizó y detalles adicionales.
Para obtener más información CloudTrail, consulte la [Guía del AWS CloudTrail usuario](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).
## Información sobre Amazon EMR sobre EKS en CloudTrail
CloudTrail está activado en su AWS cuenta al crear la cuenta. **Cuando se produce actividad en Amazon EMR en EKS, esa actividad se registra en un CloudTrail evento junto con otros eventos de AWS servicio en el historial de eventos.** Puede ver, buscar y descargar los eventos recientes en su AWS cuenta. Para obtener más información, consulte [Visualización de eventos con el historial de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Para obtener un registro continuo de los eventos de su AWS cuenta, incluidos los eventos de Amazon EMR en EKS, cree un registro. Un *rastro* permite CloudTrail entregar archivos de registro a un bucket de Amazon S3. De forma predeterminada, cuando crea una ruta en la consola, la ruta se aplica a todas AWS las regiones. La ruta registra los eventos de todas las regiones de la AWS partición y envía los archivos de registro al bucket de Amazon S3 que especifique. Además, puede configurar otros AWS servicios para analizar más a fondo los datos de eventos recopilados en los CloudTrail registros y actuar en función de ellos. Para más información, consulte los siguientes temas:
+ [Introducción a la creación de registros de seguimiento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail servicios e integraciones compatibles](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [Configuración de las notificaciones de Amazon SNS para CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Recibir archivos de CloudTrail registro de varias regiones](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) y [recibir archivos de CloudTrail registro de varias cuentas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Todas las acciones de Amazon EMR en EKS se registran CloudTrail y documentan en la documentación de la API de Amazon [EMR en](https://docs.aws.amazon.com/emr-on-eks/latest/APIReference/) EKS. Por ejemplo, las llamadas a `StartJobRun` y `ListJobRuns` las acciones generan entradas en los archivos de CloudTrail registro. `CreateVirtualCluster`
Cada entrada de registro o evento contiene información sobre quién generó la solicitud. La información de identidad del usuario le ayuda a determinar lo siguiente:
+ Si la solicitud se realizó con credenciales de usuario root o AWS Identity and Access Management (IAM).
+ Si la solicitud se realizó con credenciales de seguridad temporales de un rol o fue un usuario federado.
+ Si la solicitud la realizó otro AWS servicio.
Para obtener más información, consulte el [elemento CloudTrail de identidad del usuario](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Descripción de las entradas de archivos de registro de Amazon EMR en EKS
Un rastro es una configuración que permite la entrega de eventos como archivos de registro a un bucket de Amazon S3 que usted especifique. CloudTrail Los archivos de registro contienen una o más entradas de registro. Un evento representa una solicitud única de cualquier fuente e incluye información sobre la acción solicitada, la fecha y la hora de la acción, los parámetros de la solicitud, etc. CloudTrail Los archivos de registro no son un registro ordenado de las llamadas a la API pública, por lo que no aparecen en ningún orden específico.
En el siguiente ejemplo, se muestra una entrada de CloudTrail registro que demuestra la [https://docs.aws.amazon.com/emr-on-eks/latest/APIReference/API_ListJobRuns.html](https://docs.aws.amazon.com/emr-on-eks/latest/APIReference/API_ListJobRuns.html)acción.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE:admin",
"arn": "arn:aws:sts::012345678910:assumed-role/Admin/admin",
"accountId": "012345678910",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::012345678910:role/Admin",
"accountId": "012345678910",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2020-11-04T21:49:36Z"
}
}
},
"eventTime": "2020-11-04T21:52:58Z",
"eventSource": "emr-containers.amazonaws.com",
"eventName": "ListJobRuns",
"awsRegion": "us-east-1",
"sourceIPAddress": "203.0.113.1",
"userAgent": "aws-cli/1.11.167 Python/2.7.10 Darwin/16.7.0 botocore/1.7.25",
"requestParameters": {
"virtualClusterId": "1K48XXXXXXHCB"
},
"responseElements": null,
"requestID": "890b8639-e51f-11e7-b038-EXAMPLE",
"eventID": "874f89fa-70fc-4798-bc00-EXAMPLE",
"readOnly": true,
"eventType": "AwsApiCall",
"recipientAccountId": "012345678910"
}
```