将数据库活动流与 Amazon Aurora 结合使用 - Amazon Aurora
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

将数据库活动流与 Amazon Aurora 结合使用

监控数据库活动可以帮助您为数据库提供安全保障,并帮助满足合规性和法规要求。要使用 Amazon Aurora 监控数据库活动,您可以使用数据库活动流功能。数据库活动流可提供关系数据库中活动的近实时数据流。在将数据库活动流与监控工具集成在一起时,您可以监控和审核数据库活动。

除了外部安全威胁之外,托管数据库还需要提供保护以规避来自数据库管理员 (DBA) 的内部风险。数据库活动流可通过控制 DBA 对数据库活动流的访问来帮助保护您的数据库,使其免受内部威胁。因此,数据库活动流的收集、传输、存储和后续处理超出了管理数据库的 DBA 的访问权限。

数据库活动流从 Aurora 推送到代表您的 Aurora 数据库集群创建的 Amazon Kinesis 数据流。Amazon 服务(如 Amazon Kinesis Data Firehose 和 Amazon Lambda)可以从 Kinesis 使用活动流。数据库活动流是一项免费功能,但 Amazon Kinesis 会针对活动流收费。有关更多信息,请参阅 Amazon Kinesis Data Streams 定价

应用程序还可以使用活动流进行合规性管理。对于使用 Aurora PostgreSQL 的数据库活动流,合规性应用程序包括 IBM 的 Security Guardium、McAfee 的 Data Center Security Suite 和 Imperva 的 SecureSphere Database Audit and Protection。此类应用程序可以使用活动流生成警报并审计您的 Aurora 数据库集群。

检查网站是否有要与数据库活动流一起使用的特定应用程序。确认对要使用的特定 Aurora 数据库引擎和引擎版本的支持。

数据库活动流具有以下限制和要求:

  • 对于 Aurora PostgreSQL,版本 2.3 或更高版本以及 3.0 或更高版本支持数据库活动流。有关 PostgreSQL 版本兼容性,请参阅 Amazon Aurora PostgreSQL 版本和引擎版本

  • 对于 Aurora MySQL,版本 2.08 或更高版本(与 MySQL 5.7 版兼容)支持数据库活动流。

  • 您可以在 Aurora 全局数据库的主集群或辅助集群上启动数据库活动流。有关数据库引擎版本要求,请参阅 Amazon Aurora 全局数据库的限制

  • 数据库活动流支持数据库实例类支持的数据库引擎中为 Aurora 列出的数据库实例类,但有一些例外:

    • 对于 Aurora PostgreSQL,只能将流与 db.r4 或 db.r5 实例类一起使用。

    • 对于 Aurora MySQL,不能将流与任何 db.t2 或 db.t3 实例类一起使用。

  • 以下 Amazon 区域不支持数据库活动流:

    • 中国(北京)区域、cn-north-1

    • 中国 (宁夏) 区域、cn-northwest-1

    • Amazon GovCloud(美国东部)、us-gov-east-1

    • Amazon GovCloud(美国西部)、us-gov-west-1

  • 数据库活动流需要使用 Amazon Key Management Service (Amazon KMS)。Amazon KMS 是必需的,因为活动流始终是加密的。

  • Aurora Serverless 不支持数据库活动流。