Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅
中国的 Amazon Web Services 服务入门
(PDF)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
GuardDuty RDS 保护
亚马逊中的 RDS 保护 GuardDuty 分析和分析 RDS 登录活动,以了解您的亚马逊 Aurora 数据库(亚马逊 Aurora MySQL 兼容版和兼容 Aurora PostgreSQL 的版本)是否存在潜在的访问威胁。此功能允许您识别潜在可疑的登录行为。RDS Protection 不需要额外的基础架构;它的设计旨在不影响数据库实例的性能。
当 RDS 保护检测到可能受损的登录尝试时, GuardDuty 它会生成新的调查结果,其中包含有关可能受损的数据库的详细信息。
您可以随时为亚马逊 GuardDuty内任何可用 RDS 保护功能的账户启用或禁用 RDS 保护功能。Amazon Web Services 区域现有 GuardDuty 账户可以启用 RDS 保护,试用期为 30 天。对于新 GuardDuty 账户,RDS 保护已启用,并包含在 30 天免费试用期内。有关更多信息,请参阅估算成本:
未启用 RDS 保护功能时, GuardDuty 既不会提取 RDS 登录活动,也不会检测到异常或可疑的登录行为。
有关尚 GuardDuty 不支持 RDS 保护的Amazon Web Services 区域位置的信息,请参阅特定区域的功能可用性。
支持的Amazon Aurora
下表显示了支持的 Aurora 数据库版本。
| Amazon Aurora 数据库引擎 |
支持的引擎版本 |
|
Aurora MySQL
|
|
|
Aurora PostgreSQL
|
10.17 或更高版本 11.12 或更高版本 12.7 或更高版本 13.3 或更高版本 14.3 或更高版本
|
RDS 保护如何使用 RDS 登录活动监控
亚马逊中的 RDS 保护 GuardDuty 可帮助您保护账户中支持的Amazon Aurora ora (Aurora) 数据库。启用 RDS 保护功能后, GuardDuty 立即开始监控您账户中的 Aurora 数据库中的 RDS 登录活动。 GuardDuty 持续监控和分析 RDS 登录活动中是否存在可疑活动,例如,以前看不见的外部行为者未经授权访问您账户中的 Aurora 数据库。当您首次启用 RDS Protection 或拥有新创建的数据库实例时,需要一段学习时间才能确定正常行为。因此,新启用或新创建的数据库实例可能在长达两周的时间内没有相关的异常登录查找结果。有关更多信息,请参阅RDS 登录活动监控:
当 RDS 保护检测到潜在威胁(例如一系列成功、失败或未完成的登录尝试中的异常模式)时, GuardDuty 会生成新的调查结果,其中包含有关可能受损的数据库实例的详细信息。有关更多信息,请参阅RDS 保护查找类型:如果您禁用 RDS 保护,将 GuardDuty 立即停止监控 RDS 登录活动,并且无法检测到对支持的数据库实例的任何潜在威胁。
GuardDuty 不管理您支持的数据库或 RDS 的登录活动,也不会向您提供 RDS 登录活动。
- Console
-
- API
-
使用您自己的区域探测器 ID 运行 updateDetectorAPI 操作,并将features对象namestatus作为RDS_LOGIN_EVENTS和传递为ENABLED或DISABLED。
您还可以运行以下Amazon CLI命令启用或禁用 RDS 保护。确保使用您自己的有效探测器 ID。
以下示例代码启用 RDS 保护。要将其禁用,请ENABLED替换为DISABLED。
你可以在 https://console.aws.amazon.com/guardduty/ 控制台的 “设置” 页面上找到你当前区域的 detectorId,也可以使用 ListDetectorsAPI 来找到。
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features [{"Name" : "RDS_LOGIN_EVENTS", "Status" : "ENABLED"}]'
在多账户环境中,只有 GuardDuty 委托管理员账户可以选择为其组织中的成员账户启用或禁用 RDS 保护功能。 GuardDuty成员账户无法从其账户修改此配置。委托管理员账户使用管理其成员账户Amazon Organizations。该委托管理员可以选择在所有新账户加入组织时为其自动启用 RDS 登录活动监控。有关多账户环境的更多信息,请参阅在亚马逊中管理多个账户 GuardDuty。
选择一种访问方法,为委托管理员配置 RDS 登录活动监控。
- Console
-
- API
-
使用您自己的区域探测器 ID 运行 updateDetectorAPI 操作,并将features对象namestatus作为RDS_LOGIN_EVENTS和传递为ENABLED或DISABLED。
你可以在 https://console.aws.amazon.com/guardduty/ 控制台的 “设置” 页面上找到你当前区域的 detectorId,也可以使用 ListDetectorsAPI 来找到。
您可以运行以下Amazon CLI命令启用或禁用 RDS 保护。确保使用委托管理员的有效探测器 ID。
以下示例代码启用 RDS 保护。要将其禁用,请ENABLED替换为DISABLED。
你可以在 https://console.aws.amazon.com/guardduty/ 控制台的 “设置” 页面上找到你当前区域的 detectorId,也可以使用 ListDetectorsAPI 来找到。
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --acountids 555555555555 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'
为现有成员账户自动启用 RDS 保护
此功能仅适用于通过以下方式管理成员的 GuardDuty 委托管理员Amazon Organizations。
选择一种访问方法,为组织中的现有成员账户启用 RDS 保护功能。
- Console
-
- API
-
要有选择地为您的成员账户启用或禁用 RDS 保护,请使用您自己的检测器 ID 调用 updateMemberDetectorsAPI 操作。
-
以下示例说明了如何为单个成员账户启用 RDS 保护。要将其禁用,请ENABLED替换为DISABLED。
你可以在 https://console.aws.amazon.com/guardduty/ 控制台的 “设置” 页面上找到你当前区域的 detectorId,也可以使用 ListDetectorsAPI 来找到。
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --accountids 111122223333 --features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED"}]'
成功执行代码后,它会返回一个空列表UnprocessedAccounts。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 以及问题摘要。
为新成员账户自动启用 RDS 保护
此功能仅适用于通过以下方式管理成员的 GuardDuty 委托管理员Amazon Organizations。
选择一种访问方法,为加入您的组织的新账户启用 RDS 登录活动。
- Console
-
委托管理员可以使用 RDS Prot ection 或 Accounts 页面通过控制台为组织中的新成员账户启用。
为新成员账户自动启用 RDS 保护
通过 https://console.aws.amazon.com/guardduty/ 打开 GuardDuty 主机。
确保使用委托的管理员账户证书。
-
请执行下列操作之一:
-
使用 R DS 保护页面:
-
在导航窗格的 “设置” 下,选择 RDS 保护。
-
在 RDS 保护页面上,为新成员账户开启自动启用 RDS 登录活动监控。
在确认对话框中选择 Confore(数据库)选择确认
-
使用 “帐户” 页面:
-
在导航窗格中的 Settings 下,选择 Accounts。
-
在 “帐户” 页面上,选择 “自动启用” 首选项。
-
在 “自动启用 GuardDuty 和设置源首选项” 配置中,确保 GuardDuty 为添加到组织的所有帐户开启自动启用。
-
现在,您可以为新成员账户启用 RDS 登录活动监控。
- API
-
要有选择地为您的成员账户启用或禁用 RDS 保护,请使用您自己的检测器 ID 调用 UpdateOrganizationConfigurationAPI 操作。
-
以下示例说明了如何为单个成员账户启用 RDS 保护。要将其禁用,请ENABLED替换为DISABLED。
你可以在 https://console.aws.amazon.com/guardduty/ 控制台的 “设置” 页面上找到你当前区域的 detectorId,也可以使用 ListDetectorsAPI 来找到。
aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --autoEnable --features '[{"Name": "RDS_LOGIN_EVENTS", "AutoEnable": "NEW"}]'
成功执行代码后,它会返回一个空列表UnprocessedAccounts。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 以及问题摘要。
有选择地为成员账户启用或禁用 RDS 保护
此功能仅适用于通过注册的 GuardDuty 委派管理员Amazon Organizations。
选择一种访问方法,有选择地启用或禁用对组织中成员账户的 RDS 登录活动的监控。
- Console
-
通过 https://console.aws.amazon.com/guardduty/ 打开 GuardDuty 主机。
确保使用委托的管理员账户证书。
-
在导航窗格中的 Settings 下,选择 Accounts。
在账户页面上,查看 RDS 登录活动列,了解您的成员账户的状态。
启用或禁用 RDS 登录活动
选择要为 RDS 保护配置的账户。您可以一次选择多个账户。在 “编辑保护计划” 下拉菜单中,选择 RDS 登录活动,然后选择相应的选项。
- API
-
要有选择地为您的成员账户启用或禁用 RDS 保护,请使用您自己的检测器 ID 调用 updateMemberDetectorsAPI 操作。
以下示例说明了如何为单个成员账户启用 RDS 保护。要将其禁用,请ENABLED替换为DISABLED。
你可以在 https://console.aws.amazon.com/guardduty/ 控制台的 “设置” 页面上找到你当前区域的 detectorId,也可以使用 ListDetectorsAPI 来找到。
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --acountids 111122223333 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'
成功执行代码后,它会返回一个空列表UnprocessedAccounts。如果更改账户的检测器设置时出现任何问题,则会列出该账户 ID 以及问题摘要。