Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Registrazione di log e monitoraggio
Per rilevare incidenti, ricevere avvisi quando si verificano incidenti e rispondere a essi, utilizza queste opzioni con Amazon EMR su EKS:
+ Monitora Amazon EMR su EKS con AWS CloudTrail ‐ [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)fornisce un registro delle azioni intraprese da un utente, ruolo o AWS servizio in Amazon EMR su EKS. Consente di acquisire le chiamate dalla console di Amazon EMR e le chiamate di codice alle operazioni API di Amazon EMR su EKS come eventi. Questo consente di determinare la richiesta effettuata ad Amazon EMR su EKS, l'indirizzo IP da cui è stata eseguita la richiesta, l'autore della richiesta, il momento in cui è stata eseguita e altri dettagli. Per ulteriori informazioni, consulta [Registrazione di Amazon EMR su chiamate API EKS utilizzando AWS CloudTrail](logging-using-cloudtrail.md).
+ Use CloudWatch Events with Amazon EMR su EKS ‐ CloudWatch Events offre un flusso quasi in tempo reale di eventi di sistema che descrivono i cambiamenti nelle AWS risorse. CloudWatch Events viene a conoscenza dei cambiamenti operativi man mano che si verificano, risponde ad essi e intraprende le azioni correttive necessarie, inviando messaggi per rispondere all'ambiente, attivando funzioni, apportando modifiche e acquisendo informazioni sullo stato. Per utilizzare CloudWatch Events with Amazon EMR su EKS, crea una regola che si attiva su una chiamata API Amazon EMR su EKS tramite. CloudTrail Per ulteriori informazioni, consulta [Monitora i lavori con Amazon CloudWatch Events](monitoring.md#monitoring-cloudwatch-events).
# Crittografia di Amazon EMR sui log EKS con storage gestito
Le sezioni che seguono mostrano come configurare la crittografia per i log.
## Enable Encryption (Abilita crittografia)
Per crittografare i log nello storage gestito con la tua chiave KMS, usa la seguente configurazione quando invii un job run.
```
"monitoringConfiguration": {
"managedLogs": {
"allowAWSToRetainLogs":"ENABLED",
"encryptionKeyArn":"KMS key arn"
},
"persistentAppUI": "ENABLED"
}
```
La `allowAWSToRetainLogs` configurazione consente di AWS conservare i registri dello spazio dei nomi di sistema durante l'esecuzione di un lavoro utilizzando Native FGAC. La `persistentAppUI` configurazione consente di AWS salvare i registri degli eventi utilizzati per generare l'interfaccia utente Spark. `encryptionKeyArn`viene utilizzato per specificare l'ARN della chiave KMS che si desidera utilizzare per crittografare i registri archiviati da. AWS
## Autorizzazioni richieste per la crittografia dei log
L'utente che invia il lavoro o visualizza l'interfaccia utente di Spark deve disporre dell'autorizzazione alle azioni `kms:DescribeKey` e alla `kms:GenerateDataKey` chiave di `kms:Decrypt` crittografia. Queste autorizzazioni vengono utilizzate per verificare la validità della chiave e verificare che l'utente disponga delle autorizzazioni necessarie per leggere e scrivere registri crittografati con la chiave KMS. Se l'utente che invia il lavoro non dispone delle autorizzazioni chiave necessarie, Amazon EMR su EKS rifiuta l'invio dell'esecuzione del lavoro.
**Esempio di policy IAM per Role Used to Call StartJobRun**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"emr-containers:StartJobRun"
],
"Resource": [
"*"
],
"Effect": "Allow",
"Sid": "AllowEMRCONTAINERSStartjobrun"
},
{
"Action": [
"kms:DescribeKey",
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"arn:aws:kms:*:*:key/key-id"
],
"Effect": "Allow",
"Sid": "AllowKMSDescribekey"
}
]
}
```
------
È inoltre necessario configurare la chiave KMS per consentire a `persistentappui.elasticmapreduce.amazonaws.com` and `elasticmapreduce.amazonaws.com` Service Principal di effettuare la e. `kms:GenerateDataKey` `kms:Decrypt` Ciò consente a EMR di leggere e scrivere registri crittografati con la chiave KMS per lo storage gestito.
**Esempio di politica chiave KMS**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"kms:viaService": "emr-containers.*.amazonaws.com"
}
},
"Sid": "AllowKMSDescribekey"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"kms:viaService": "emr-containers.*.amazonaws.com",
"kms:EncryptionContext:aws:emr-containers:virtualClusterId": "virtual cluster id"
}
},
"Sid": "AllowKMSDecryptGenerate"
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:emr-containers:virtualClusterId": "virtual cluster id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:emr-containers:*:*:/virtualclusters/virtual_cluster_id"
}
},
"Sid": "AllowKMSDecryptService"
}
]
}
```
------
Come best practice di sicurezza, ti consigliamo di aggiungere le `aws:SourceArn` condizioni `kms:viaService``kms:EncryptionContext`, e. Queste condizioni aiutano a garantire che la chiave venga utilizzata solo da Amazon EMR su EKS e utilizzata solo per i log generati dai lavori in esecuzione in uno specifico cluster virtuale.
# Registrazione di Amazon EMR su chiamate API EKS utilizzando AWS CloudTrail
Amazon EMR su EKS è integrato con AWS CloudTrail un servizio che fornisce un registro delle azioni intraprese da un utente, ruolo o AWS servizio in Amazon EMR su EKS. CloudTrail acquisisce tutte le chiamate API per Amazon EMR su EKS come eventi. Le chiamate acquisite includono le chiamate dalla console Amazon EMR su EKS e le chiamate di codice alle operazioni API di Amazon EMR su EKS. Se crei un trail, puoi abilitare la distribuzione continua di CloudTrail eventi a un bucket Amazon S3, inclusi gli eventi per Amazon EMR su EKS. **Se non configuri un percorso, puoi comunque visualizzare gli eventi più recenti nella CloudTrail console in Cronologia eventi.** Utilizzando le informazioni raccolte da CloudTrail, puoi determinare la richiesta effettuata ad Amazon EMR su EKS, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e dettagli aggiuntivi.
Per ulteriori informazioni CloudTrail, consulta la [Guida per l'AWS CloudTrail utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html).
## Amazon EMR sulle informazioni EKS in CloudTrail
CloudTrail è abilitato sul tuo AWS account al momento della creazione dell'account. **Quando si verifica un'attività in Amazon EMR su EKS, tale attività viene registrata in un CloudTrail evento insieme ad altri eventi di AWS servizio nella cronologia degli eventi.** Puoi visualizzare, cercare e scaricare eventi recenti nel tuo AWS account. Per ulteriori informazioni, consulta [Visualizzazione degli eventi con la cronologia degli CloudTrail eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Per una registrazione continua degli eventi nel tuo AWS account, inclusi gli eventi per Amazon EMR su EKS, crea un percorso. Un *trail* consente di CloudTrail inviare file di log a un bucket Amazon S3. Per impostazione predefinita, quando crei un percorso nella console, il percorso si applica a tutte le AWS regioni. Il trail registra gli eventi di tutte le regioni della AWS partizione e consegna i file di log al bucket Amazon S3 specificato. Inoltre, puoi configurare altri AWS servizi per analizzare ulteriormente e agire in base ai dati sugli eventi raccolti nei log. CloudTrail Per ulteriori informazioni, consulta gli argomenti seguenti:
+ [Panoramica della creazione di un percorso](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail servizi e integrazioni supportati](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html)
+ [Configurazione delle notifiche Amazon SNS per CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html)
+ [Ricezione di file di CloudTrail registro da più regioni](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) e [ricezione di file di CloudTrail registro da](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html) più account
Tutte le azioni di Amazon EMR su EKS vengono registrate CloudTrail e documentate nella documentazione dell'API [Amazon EMR](https://docs.aws.amazon.com/emr-on-eks/latest/APIReference/) su EKS. Ad esempio, le chiamate a `StartJobRun` e le `CreateVirtualCluster` `ListJobRuns` azioni generano voci nei file di registro. CloudTrail
Ogni evento o voce di log contiene informazioni sull’utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:
+ Se la richiesta è stata effettuata con credenziali utente root o AWS Identity and Access Management (IAM).
+ Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.
+ Se la richiesta è stata effettuata da un altro AWS servizio.
Per ulteriori informazioni, vedete l'[elemento Identity CloudTrail dell'utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Informazioni sulle voci dei file di log Amazon EMR su EKS
Un trail è una configurazione che consente la distribuzione di eventi come file di log in un bucket Amazon S3 specificato dall'utente. CloudTrail i file di registro contengono una o più voci di registro. Un evento rappresenta una singola richiesta proveniente da qualsiasi fonte e include informazioni sull'azione richiesta, la data e l'ora dell'azione, i parametri della richiesta e così via. CloudTrail i file di registro non sono una traccia ordinata dello stack delle chiamate API pubbliche, quindi non vengono visualizzati in un ordine specifico.
L'esempio seguente mostra una voce di CloudTrail registro che illustra l'[https://docs.aws.amazon.com/emr-on-eks/latest/APIReference/API_ListJobRuns.html](https://docs.aws.amazon.com/emr-on-eks/latest/APIReference/API_ListJobRuns.html)azione.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE:admin",
"arn": "arn:aws:sts::012345678910:assumed-role/Admin/admin",
"accountId": "012345678910",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::012345678910:role/Admin",
"accountId": "012345678910",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2020-11-04T21:49:36Z"
}
}
},
"eventTime": "2020-11-04T21:52:58Z",
"eventSource": "emr-containers.amazonaws.com",
"eventName": "ListJobRuns",
"awsRegion": "us-east-1",
"sourceIPAddress": "203.0.113.1",
"userAgent": "aws-cli/1.11.167 Python/2.7.10 Darwin/16.7.0 botocore/1.7.25",
"requestParameters": {
"virtualClusterId": "1K48XXXXXXHCB"
},
"responseElements": null,
"requestID": "890b8639-e51f-11e7-b038-EXAMPLE",
"eventID": "874f89fa-70fc-4798-bc00-EXAMPLE",
"readOnly": true,
"eventType": "AwsApiCall",
"recipientAccountId": "012345678910"
}
```