数据库活动流概览
作为 Amazon Aurora 数据库管理员,您需要保障数据库的安全,并满足合规性和法规要求。一种策略是集成数据库活动流与监控工具。通过这种方式,您可以在 Amazon Aurora 集群 中监控审计活动并设置告警。
安全威胁既可以来自外部,也可以来自内部。要防范内部威胁,您可以通过配置数据库活动流功能控制管理员对数据流的访问。数据管理员无权收集、传输、存储和处理流。
主题
数据库活动流的工作原理
Amazon Aurora 会近乎实时地将活动推送到 Amazon Kinesis 数据流。系统将自动创建 Kinesis 流。在 Kinesis 中,您可以配置Amazon服务(例如 Amazon Kinesis Data Firehose),也可以配置 Amazon Lambda 来使用流并存储数据。
使用 Amazon Aurora 和 Amazon RDS 中的数据库活动流功能是免费的,但 Amazon Kinesis 会针对数据流收费。有关更多信息,请参阅 Amazon Kinesis Data Streams 定价
合规性管理应用程序也可以使用数据库活动流。对于 Aurora PostgreSQL,合规性应用程序包括 IBM 的 Security Guardium 和 Imperva 的 SecureSphere Database Audit and Protection。这些应用程序可以使用流生成警报,并对您的 Aurora 数据库集群活动进行审计。
下图显示了使用 Amazon Kinesis Data Firehose 配置的 Aurora 数据库集群。
数据库活动流的异步和同步模式
您可以选择让数据库会话按以下任一模式处理数据库活动事件:
-
异步模式 – 当数据库会话生成活动流事件时,会话将立即返回到正常活动。在后台,活动流事件将成为持久记录。如果后台任务出错,则将发送 RDS 事件。此事件指示活动流事件记录可能已丢失的任何时间段的开始和结束时间。
异步模式可提高数据库性能,而不是活动流的准确性。
注意 异步模式适用于 Aurora PostgreSQL 和 Aurora MySQL。
-
同步模式 – 当数据库会话生成活动流事件时,会话将阻止其他活动,直到该事件变为持久事件。如果因某个原因无法使事件持久,数据库会话将返回到正常活动。但会发送一个 RDS 事件来指示活动流记录可能会丢失一段时间。在系统恢复到正常运行状态后发送第二个 RDS 事件。
同步模式可提高活动流的准确性,而不是数据库性能。
注意 同步模式适用于 Aurora PostgreSQL。您不能将同步模式用于 Aurora MySQL。
数据库活动流的要求
在 Aurora 中,数据库活动流具有以下要求和限制。
主题
其他要求
-
数据库活动流需要使用 Amazon Key Management Service (Amazon KMS)。Amazon KMS 是必需的,因为活动流始终是加密的。
-
数据库活动流需要使用 Amazon Kinesis。
数据库活动流支持的 Aurora 引擎版本
对于 Aurora PostgreSQL,以下版本支持数据库活动流:
-
所有 13 版本
-
所有 12 版本
-
11.6 版本及更高的 11.x 版本
-
10.11 版本及更高的 10.x 版本
有关 Aurora PostgreSQL 版本的更多信息,请参阅Amazon Aurora PostgreSQL 版本和引擎版本。
对于 Aurora MySQL,版本 2.08 或更高版本(与 MySQL 5.7 版兼容)支持数据库活动流。
Aurora Serverless 不支持数据库活动流。
数据库活动流支持的数据库实例类
对于 Aurora MySQL,您可以将数据库活动流与以下数据库实例类一起使用:
-
db.r6g
-
db.r5
-
db.r4
-
db.r3
-
db.x2g
对于 Aurora PostgreSQL,您可以将数据库活动流与以下数据库实例类一起使用:
-
db.r6g
-
db.r5
-
db.r4
-
db.x2g
数据库活动流支持的 Amazon Web Services 区域
除以下区域外,所有 Amazon Web Services 区域 均支持数据库活动流:
-
中国(北京)区域,
cn-north-1 -
中国(宁夏)区域,
cn-northwest-1 -
Amazon GovCloud(美国东部),
us-gov-east-1 -
Amazon GovCloud(美国西部),
us-gov-west-1