GuardDuty RDS 保护 - Amazon GuardDuty
支持的数据库RDS 保护如何使用 RDS 登录活动监控为独立账户配置 RDS 保护在多账户环境中配置 RDS 保护
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

GuardDuty RDS 保护

亚马逊中的 RDS Protection GuardDuty 会分析和分析 RDS 登录活动,了解您的亚马逊 Aurora 数据库(兼容亚马逊 Aurora MySQL 的版本和兼容 Aurora PostgreSQL 的版本)是否存在潜在的访问威胁。此功能允许您识别潜在的可疑登录行为。RDS 保护不需要额外的基础设施,其设计初衷即是为了不影响数据库实例的性能。

当 RDS Protection 检测到表明您的数据库存在威胁的潜在可疑或异常登录尝试时, GuardDuty 会生成新的调查结果,其中包含有关可能受感染的数据库的详细信息。

您可以随时为任何账户启用或禁用 RDS 保护功能 Amazon Web Services 区域 ,只要该功能在 Amazon GuardDuty 中可用。现有 GuardDuty 账户可以启用 RDS 保护,试用期为 30 天。对于新 GuardDuty 账户,RDS 保护已启用,并包含在 30 天免费试用期内。有关更多信息,请参阅 估算成本

注意

未启用 RDS 保护功能时, GuardDuty 既不会收集您的 RDS 登录活动,也不会检测到异常或可疑的登录行为。

有关 wher Amazon Web Services 区域 e 尚 GuardDuty 不支持 RDS 保护的信息,请参阅特定于区域的功能可用性

支持的 Amazon Aurora 数据库

下表显示支持的 Aurora 数据库版本。

Amazon Aurora 数据库引擎 支持的引擎版本

Aurora MySQL

  • 2.10.2 或更高版本

  • 3.02.1 或更高版本

Aurora PostgreSQL

  • 10.17 或更高版本

  • 11.12 或更高版本

  • 12.7 或更高版本

  • 13.3 或更高版本

  • 14.3 或更高版本

  • 15.2 或更高版本

  • 16.1 或更高版本

RDS 保护如何使用 RDS 登录活动监控

亚马逊的 RDS 保护 GuardDuty 可帮助您保护账户中支持的亚马逊 Aurora (Aurora) 数据库。启用 RDS 保护功能后, GuardDuty 立即开始监控您账户中 Aurora 数据库的 RDS 登录活动。 GuardDuty 持续监控和分析 RDS 登录活动中是否存在可疑活动,例如,以前看不见的外部行为者未经授权访问您账户中的 Aurora 数据库。当您首次启用 RDS 保护或者您有新创建的数据库实例时,系统需要一段学习时间来确定正常行为的基准。因此,新启用或新创建的数据库实例可能在长达两周的时间内,没有关联的异常登录调查发现。有关更多信息,请参阅 RDS 登录活动监控

当 RDS Protection 检测到潜在威胁(例如一系列成功、失败或不完整的登录尝试中的异常模式)时, GuardDuty 会生成新的调查结果,其中包含有关可能受损的数据库实例的详细信息。有关更多信息,请参阅 RDS 保护查找类型。如果您禁用 RDS 保护,则会 GuardDuty 立即停止监控 RDS 登录活动,并且无法检测到对您支持的数据库实例的任何潜在威胁。

注意

GuardDuty 不会管理您支持的数据库或 RDS 的登录活动,也不会向您提供 RDS 登录活动。

为独立账户配置 RDS 保护

Console

  1. 打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/

  2. 在导航窗格中,选择 RDS 保护

  3. RDS 保护页面显示您账户的当前状态。您可以随时通过选择启用禁用,来启用或禁用此功能。确认您的选择。

API/CLI

使用您自己的区域检测器 ID 运行 updateDetector API 操作,并传递 nameRDS_LOGIN_EVENTSstatusENABLEDDISABLEDfeatures 对象。

您也可以通过运行以下 Amazon CLI 命令来启用或禁用 RDS 保护。务必使用您自己的有效检测器 ID

注意

以下示例代码可启用 RDS 保护。要将其禁用,请将 ENABLED 替换为 DISABLED

要查找您的账户和当前地区detectorId对应的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面。

aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "RDS_LOGIN_EVENTS", "Status" : "ENABLED"}]'

在多账户环境中配置 RDS 保护

在多账户环境中,只有委派的 GuardDuty 管理员账户可以选择为其组织中的成员账户启用或禁用 RDS Protection 功能。 GuardDuty成员账户无法通过其账户修改此配置。委托 GuardDuty 管理员账户使用管理其成员账户 Amazon Organizations。此委派的 GuardDuty 管理员账户可以选择在所有新账户加入组织时自动启用 RDS 登录活动监控。有关多账户环境的更多信息,请参阅在 A mazon 中管理多个账户。 GuardDuty

选择您的首选访问方法,为委派的 GuardDuty 管理员账户配置 RDS 登录活动监控。

Console

  1. 打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/

    确保使用管理账户凭证。

  2. 在导航窗格中,选择 RDS 保护

  3. RDS 保护页面上,选择编辑

  4. 请执行以下操作之一:

    使用对所有账户启用

    • 选择为所有账户启用。这将为组织中的所有活跃 GuardDuty 账户(包括加入 Amazon 组织的新账户)启用保护计划。

    • 选择保存

    使用手动配置账户

    • 要仅为委派 GuardDuty 管理员账户启用保护计划,请选择手动配置帐户

    • 在 “委派 GuardDuty 管理员帐户(此账户)” 部分下选择 “启用”。

    • 选择保存

API/CLI

使用您自己的区域检测器 ID 运行 updateDetector API 操作,并传递 nameRDS_LOGIN_EVENTSstatusENABLEDDISABLEDfeatures 对象。

您可以通过运行以下 Amazon CLI 命令来启用或禁用 RDS 保护。确保使用委派 GuardDuty 管理员账户的有效检测器 ID

注意

以下示例代码可启用 RDS 保护。要将其禁用,请将 ENABLED 替换为 DISABLED

要查找您的账户和当前地区detectorId对应的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面。

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'

选择您的首选访问方式,为所有成员账户启用 RDS 保护功能,包括现有成员账户和加入组织的新账户。

Console

  1. 打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/

    请务必使用委派 GuardDuty 管理员账户证书。

  2. 请执行以下操作之一:

    使用 RDS 保护页面

    1. 在导航窗格中,选择 RDS 保护

    2. 选择为所有账户启用。此操作会自动为组织中的现有账户和新账户启用 RDS 保护。

    3. 选择保存

      注意

      更新成员账户的配置可能最长需要 24 小时。

    使用账户页面

    1. 在导航窗格中,选择账户

    2. 账户页面上,选择自动启用首选项,然后选择通过邀请添加账户

    3. 管理自动启用首选项窗口中,选择 RDS 登录活动监控下的为所有账户启用

    4. 选择保存

    如果您无法使用为所有账户启用选项,请参阅 有选择地为成员账户启用或禁用 RDS 保护

API/CLI

  • 要有选择地为您的成员账户启用或禁用 RDS 保护,请使用您自己的检测器 ID 调用 updateMemberDetectors API 操作。

  • 以下示例显示如何为单个成员账户启用 RDS 保护。要将其禁用,请将 ENABLED 替换为 DISABLED

    要查找您的账户和当前地区detectorId对应的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面。

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED"}]'
    注意

    您还可以传递由空格分隔的账户 ID 列表。

  • 成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

选择您的首选访问方法,为组织中所有现有的活跃成员账户启用 RDS 保护。

Console
为所有现有活跃成员账户配置 RDS 保护

  1. 登录 Amazon Web Services Management Console 并打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/

    使用委派的 GuardDuty 管理员账户凭据登录。

  2. 在导航窗格中,选择 RDS 保护

  3. RDS 保护页面上,您可以查看配置的当前状态。在活跃成员账户部分下,选择操作

  4. 操作下拉菜单中,选择为所有现有活跃成员账户启用

  5. 选择确认

API/CLI

  • 要有选择地为您的成员账户启用或禁用 RDS 保护,请使用您自己的检测器 ID 调用 updateMemberDetectors API 操作。

  • 以下示例显示如何为单个成员账户启用 RDS 保护。要将其禁用,请将 ENABLED 替换为 DISABLED

    要查找您的账户和当前地区detectorId对应的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面。

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED"}]'
    注意

    您还可以传递由空格分隔的账户 ID 列表。

  • 成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

选择您的首选访问方法,为加入组织的新账户启用 RDS 登录活动。

Console

委派的 GuardDuty 管理员账户可以使用 RDS Prot ection 或 “帐户” 页面,通过控制台为组织中的新成员账户启用。

为新成员账户自动启用 RDS 保护

  1. 打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/

    请务必使用委派 GuardDuty 管理员账户证书。

  2. 请执行以下操作之一:

    • 使用 RDS 保护页面:

      1. 在导航窗格中,选择 RDS 保护

      2. RDS 保护页面上,选择编辑

      3. 选择手动配置账户

      4. 选择为新成员账户自动启用。此步骤可确保每当有新账户加入您的组织时,系统都会自动为其账户启用 RDS 保护。只有组织委派的 GuardDuty 管理员帐户才能修改此配置。

      5. 选择保存

    • 使用账户页面:

      1. 在导航窗格中,选择账户

      2. 账户页面上,选择自动启用首选项。

      3. 管理自动启用首选项窗口中,选择 RDS 登录活动监控下的为新账户启用

      4. 选择保存

API/CLI

  • 要有选择地为您的成员账户启用或禁用 RDS 保护,请使用您自己的检测器 ID 调用 UpdateOrganizationConfiguration API 操作。

  • 以下示例显示如何为单个成员账户启用 RDS 保护。要将其禁用,请参阅 有选择地为成员账户启用或禁用 RDS 保护。如果您不想为所有加入组织的新账户启用该功能,请将 autoEnable 设置为 NONE

    要查找您的账户和当前地区detectorId对应的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面。

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "RDS_LOGIN_EVENTS", "AutoEnable": "NEW"}]'
    注意

    您还可以传递由空格分隔的账户 ID 列表。

  • 成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。

选择您的首选访问方法,有选择地为成员账户启用或禁用监控 RDS 登录活动。

Console

  1. 打开 GuardDuty 控制台,网址为 https://console.aws.amazon.com/guardduty/

    请务必使用委派 GuardDuty 管理员账户证书。

  2. 在导航窗格中,选择账户

    账户页面上,查看 RDS 登录活动列,了解您的成员账户的状态。

  3. 有选择地启用或禁用 RDS 登录活动

    选择您要为其配置 RDS 保护的账户。您可以一次选择多个账户。在编辑保护计划下拉菜单中,选择 RDS 登录活动,然后选择相应的选项。

API/CLI

要有选择地为您的成员账户启用或禁用 RDS 保护,请使用您自己的检测器 ID 调用 updateMemberDetectors API 操作。

以下示例显示如何为单个成员账户启用 RDS 保护。要将其禁用,请将 ENABLED 替换为 DISABLED

要查找您的账户和当前地区detectorId对应的,请参阅 https://console.aws.amazon.com/guardduty/ 控制台中的 “设置” 页面。

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'
注意

您还可以传递由空格分隔的账户 ID 列表。

成功执行代码后,会返回 UnprocessedAccounts 的空列表。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 和问题摘要。