Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Pencatatan dan pemantauan
Untuk mendeteksi insiden, menerima peringatan ketika insiden terjadi, dan menanggapinya, gunakan opsi ini dengan Amazon EMR di EKS:
+ Monitor Amazon EMR di EKS dengan AWS CloudTrail - [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau AWS layanan di Amazon EMR di EKS. Ini menangkap panggilan dari konsol Amazon EMR dan panggilan kode ke operasi API Amazon EMR di EKS sebagai peristiwa. Ini memungkinkan Anda untuk menentukan permintaan yang diajukan ke Amazon EMR di EKS, alamat IP dari mana permintaan dibuat, siapa yang mengajukan permintaan, kapan dibuat, dan detail tambahan. Untuk informasi selengkapnya, lihat [Logging Amazon EMR pada panggilan EKS API menggunakan AWS CloudTrail](logging-using-cloudtrail.md).
+ Gunakan CloudWatch Acara dengan Amazon EMR di EKS - Acara memberikan aliran CloudWatch peristiwa sistem yang mendekati waktu nyata yang menjelaskan perubahan sumber daya. AWS CloudWatch Peristiwa menjadi sadar akan perubahan operasional saat terjadi, meresponsnya, dan mengambil tindakan korektif seperlunya, dengan mengirim pesan untuk merespons lingkungan, mengaktifkan fungsi, membuat perubahan, dan menangkap informasi negara. Untuk menggunakan CloudWatch Acara dengan Amazon EMR di EKS, buat aturan yang memicu pada EMR Amazon pada panggilan EKS API melalui. CloudTrail Untuk informasi selengkapnya, lihat [Pantau pekerjaan dengan Amazon CloudWatch Events](monitoring.md#monitoring-cloudwatch-events).
# Mengenkripsi Amazon EMR pada log EKS dengan penyimpanan terkelola
Bagian berikut menunjukkan kepada Anda cara mengonfigurasi enkripsi untuk log.
## Aktifkan enkripsi
Untuk mengenkripsi log dalam penyimpanan terkelola dengan kunci KMS Anda sendiri, gunakan konfigurasi berikut saat Anda mengirimkan pekerjaan.
```
"monitoringConfiguration": {
"managedLogs": {
"allowAWSToRetainLogs":"ENABLED",
"encryptionKeyArn":"KMS key arn"
},
"persistentAppUI": "ENABLED"
}
```
`allowAWSToRetainLogs`Konfigurasi ini memungkinkan AWS untuk mempertahankan log namespace sistem saat menjalankan pekerjaan menggunakan Native FGAC. `persistentAppUI`Konfigurasi memungkinkan AWS untuk menyimpan log peristiwa yang digunakan untuk menghasilkan UI Spark. `encryptionKeyArn`Ini digunakan untuk menentukan ARN kunci KMS yang ingin Anda gunakan untuk mengenkripsi log yang disimpan oleh. AWS
## Izin yang diperlukan untuk enkripsi log
Pengguna yang mengirimkan pekerjaan atau melihat UI Spark harus diizinkan tindakan`kms:DescribeKey`,`kms:GenerateDataKey`, dan `kms:Decrypt` untuk kunci enkripsi. Izin ini digunakan untuk memverifikasi validitas kunci dan memeriksa apakah pengguna memiliki izin yang diperlukan untuk membaca dan menulis log yang dienkripsi dengan kunci KMS. Jika pengguna yang mengirimkan pekerjaan tidak memiliki izin kunci yang diperlukan, Amazon EMR di EKS menolak pengiriman job run.
**Contoh Kebijakan IAM untuk Peran yang Digunakan untuk Memanggil StartJobRun**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"emr-containers:StartJobRun"
],
"Resource": [
"*"
],
"Effect": "Allow",
"Sid": "AllowEMRCONTAINERSStartjobrun"
},
{
"Action": [
"kms:DescribeKey",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:*:*:key/key-id"
],
"Effect": "Allow",
"Sid": "AllowKMSDescribekey"
}
]
}
```
------
Anda juga harus mengkonfigurasi kunci KMS untuk mengizinkan `persistentappui.elasticmapreduce.amazonaws.com` dan Prinsipal `elasticmapreduce.amazonaws.com` Layanan untuk dan. `kms:GenerateDataKey` `kms:Decrypt` Ini memungkinkan EMR untuk membaca dan menulis log yang dienkripsi dengan kunci KMS ke penyimpanan terkelola.
**Contoh Kebijakan Kunci KMS**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"kms:viaService": "emr-containers.*.amazonaws.com"
}
},
"Sid": "AllowKMSDescribekey"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"kms:viaService": "emr-containers.*.amazonaws.com",
"kms:EncryptionContext:aws:emr-containers:virtualClusterId": "virtual cluster id"
}
},
"Sid": "AllowKMSDecryptGenerate"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:emr-containers:virtualClusterId": "virtual cluster id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:emr-containers:*:*:/virtualclusters/virtual_cluster_id"
}
},
"Sid": "AllowKMSDecryptService"
}
]
}
```
------
Sebagai praktik keamanan terbaik, kami menyarankan Anda menambahkan`kms:viaService`,`kms:EncryptionContext`, dan `aws:SourceArn` kondisi. Kondisi ini membantu memastikan kunci hanya digunakan oleh Amazon EMR di EKS dan hanya digunakan untuk log yang dihasilkan dari pekerjaan yang berjalan di cluster virtual tertentu.
# Logging Amazon EMR pada panggilan EKS API menggunakan AWS CloudTrail
Amazon EMR di EKS terintegrasi dengan AWS CloudTrail, layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau AWS layanan di Amazon EMR di EKS. CloudTrail menangkap semua panggilan API untuk Amazon EMR di EKS sebagai acara. Panggilan yang direkam mencakup panggilan dari konsol Amazon EMR di EKS dan panggilan kode ke operasi API Amazon EMR di EKS. Jika Anda membuat jejak, Anda dapat mengaktifkan pengiriman CloudTrail acara secara terus menerus ke bucket Amazon S3, termasuk acara untuk Amazon EMR di EKS. Jika Anda tidak mengonfigurasi jejak, Anda masih dapat melihat peristiwa terbaru di CloudTrail konsol dalam **Riwayat acara**. Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuat ke Amazon EMR di EKS, alamat IP dari mana permintaan dibuat, siapa yang membuat permintaan, kapan dibuat, dan detail tambahan.
Untuk mempelajari selengkapnya CloudTrail, lihat [Panduan AWS CloudTrail Pengguna](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).
## Amazon EMR pada informasi EKS di CloudTrail
CloudTrail diaktifkan di AWS akun Anda saat Anda membuat akun. Ketika aktivitas terjadi di Amazon EMR di EKS, aktivitas tersebut direkam dalam suatu CloudTrail peristiwa bersama dengan peristiwa AWS layanan lainnya dalam riwayat **Acara**. Anda dapat melihat, mencari, dan mengunduh acara terbaru di AWS akun Anda. Untuk informasi selengkapnya, lihat [Melihat peristiwa dengan Riwayat CloudTrail acara](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Untuk catatan peristiwa yang sedang berlangsung di AWS akun Anda, termasuk acara untuk Amazon EMR di EKS, buat jejak. *Jejak* memungkinkan CloudTrail untuk mengirimkan file log ke bucket Amazon S3. Secara default, saat Anda membuat jejak di konsol, jejak tersebut berlaku untuk semua AWS Wilayah. Jejak mencatat peristiwa dari semua Wilayah di AWS partisi dan mengirimkan file log ke bucket Amazon S3 yang Anda tentukan. Selain itu, Anda dapat mengonfigurasi AWS layanan lain untuk menganalisis lebih lanjut dan menindaklanjuti data peristiwa yang dikumpulkan dalam CloudTrail log. Untuk informasi selengkapnya, lihat berikut:
+ [Gambaran umum untuk membuat jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail layanan dan integrasi yang didukung](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [Mengonfigurasi notifikasi Amazon SNS untuk CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Menerima file CloudTrail log dari beberapa wilayah](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) dan [Menerima file CloudTrail log dari beberapa akun](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Semua Amazon EMR pada tindakan EKS dicatat oleh CloudTrail dan didokumentasikan di Amazon [EMR pada](https://docs.aws.amazon.com/emr-on-eks/latest/APIReference/) dokumentasi EKS API. Misalnya, panggilan ke`CreateVirtualCluster`, `StartJobRun` dan `ListJobRuns` tindakan menghasilkan entri dalam file CloudTrail log.
Setiap entri peristiwa atau log berisi informasi tentang entitas yang membuat permintaan tersebut. Informasi identitas membantu Anda menentukan hal berikut ini:
+ Apakah permintaan itu dibuat dengan kredenal pengguna root atau AWS Identity and Access Management (IAM).
+ Apakah permintaan tersebut dibuat dengan kredensial keamanan sementara untuk satu peran atau pengguna gabungan.
+ Apakah permintaan itu dibuat oleh AWS layanan lain.
Untuk informasi selengkapnya, lihat [elemen Identitas CloudTrail pengguna](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Memahami entri file log Amazon EMR di EKS
Trail adalah konfigurasi yang memungkinkan pengiriman peristiwa sebagai file log ke bucket Amazon S3 yang Anda tentukan. CloudTrail file log berisi satu atau lebih entri log. Peristiwa mewakili permintaan tunggal dari sumber manapun dan mencakup informasi tentang tindakan yang diminta, tanggal dan waktu tindakan, parameter permintaan, dan sebagainya. CloudTrail file log bukanlah jejak tumpukan yang diurutkan dari panggilan API publik, jadi file tersebut tidak muncul dalam urutan tertentu.
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan [https://docs.aws.amazon.com/emr-on-eks/latest/APIReference/API_ListJobRuns.html](https://docs.aws.amazon.com/emr-on-eks/latest/APIReference/API_ListJobRuns.html)tindakan.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE:admin",
"arn": "arn:aws:sts::012345678910:assumed-role/Admin/admin",
"accountId": "012345678910",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::012345678910:role/Admin",
"accountId": "012345678910",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2020-11-04T21:49:36Z"
}
}
},
"eventTime": "2020-11-04T21:52:58Z",
"eventSource": "emr-containers.amazonaws.com",
"eventName": "ListJobRuns",
"awsRegion": "us-east-1",
"sourceIPAddress": "203.0.113.1",
"userAgent": "aws-cli/1.11.167 Python/2.7.10 Darwin/16.7.0 botocore/1.7.25",
"requestParameters": {
"virtualClusterId": "1K48XXXXXXHCB"
},
"responseElements": null,
"requestID": "890b8639-e51f-11e7-b038-EXAMPLE",
"eventID": "874f89fa-70fc-4798-bc00-EXAMPLE",
"readOnly": true,
"eventType": "AwsApiCall",
"recipientAccountId": "012345678910"
}
```