数据库活动流概览
作为 Amazon Aurora 数据库管理员,您需要保障数据库的安全,并满足合规性和法规要求。一种策略是集成数据库活动流与监控工具。通过这种方式,您可以在 Amazon Aurora 集群中监控审计活动并设置警报。
安全威胁既可以来自外部,也可以来自内部。要防范内部威胁,您可以使用数据库活动流功能控制管理员对数据流的访问。 数据管理员无权收集、传输、存储和处理流。
数据库活动流的工作原理
数据库活动流提供 数据库集群中的近乎实时的活动流。Amazon Aurora 会将活动推送到 Amazon Kinesis 数据流。系统将自动创建 Kinesis 流。在 Kinesis 中,您可以配置Amazon服务(例如 Amazon Kinesis Data Firehose),也可以配置 Amazon Lambda 来使用流并存储数据。
数据库活动流是一项免费功能,但 Amazon Kinesis 会针对数据流收费。有关更多信息,请参阅 Amazon Kinesis Data Streams 定价
合规性管理应用程序也可以使用活动流。对于 Aurora PostgreSQL,合规性应用程序包括 IBM 的 Security Guardium 和 Imperva 的 SecureSphere Database Audit and Protection。这些应用程序可以使用流生成警报,并对您的 Aurora 数据库集群活动进行审计。
下图显示了使用 Amazon Kinesis Data Firehose 配置的 Aurora 集群。
异步和同步mode
您可以选择让数据库会话按以下任一模式处理活动事件:
-
异步模式 – 当数据库会话生成活动流事件时,会话将立即返回到正常活动。在后台,活动流事件将成为持久记录。如果后台任务出错,则将发送 RDS 事件。此事件指示活动流事件记录可能已丢失的任何时间段的开始和结束时间。
异步模式可提高数据库性能,而不是活动流的准确性。
注意 异步模式适用于 Aurora PostgreSQL 和 Aurora MySQL。
-
同步模式 – 当数据库会话生成活动流事件时,会话将阻止其他活动,直到该事件变为持久事件。如果因某个原因无法使事件持久,数据库会话将返回到正常活动。但会发送一个 RDS 事件来指示活动流记录可能会丢失一段时间。在系统恢复到正常运行状态后发送第二个 RDS 事件。
同步模式可提高活动流的准确性,而不是数据库性能。
注意 同步模式适用于 Aurora PostgreSQL。您不能将同步模式用于 Aurora MySQL。
数据库活动流的要求
在 Aurora 中,数据库活动流具有以下要求和限制:
-
对于 Aurora PostgreSQL,版本 2.3 或更高版本以及 3.0 或更高版本支持数据库活动流。有关 PostgreSQL 版本兼容性,请参阅 Amazon Aurora PostgreSQL 版本和引擎版本。
-
对于 Aurora MySQL,版本 2.08 或更高版本(与 MySQL 5.7 版兼容)支持数据库活动流。
-
数据库活动流支持数据库实例类支持的数据库引擎中为 Aurora 列出的数据库实例类,但有一些例外:
-
不支持 db.r6g 实例类。
-
对于 Aurora PostgreSQL,不能将流与 db.t3.medium 实例类一起使用。
-
对于 Aurora MySQL,不能将流与 db.t2 或 db.t3 实例类一起使用。
-
-
以下 Amazon 区域不支持数据库活动流:
-
中国(北京)区域,
cn-north-1 -
中国(宁夏)区域,
cn-northwest-1 -
Amazon GovCloud (US-East),
us-gov-east-1 -
Amazon GovCloud (US-West),
us-gov-west-1
-
-
数据库活动流需要使用 Amazon Key Management Service (Amazon KMS)。Amazon KMS 是必需的,因为活动流始终是加密的。
-
数据库活动流需要使用 Amazon Kinesis。
-
Aurora Serverless 不支持数据库活动流。