排查 RDS 防护监控问题
GuardDuty RDS 防护功能会分析和剖析 RDS 登录活动,找出对支持的数据库的潜在访问威胁。为了有效地收集安全遥测数据,GuardDuty 要求您的数据库可以正常进行配置和运行。如果您的数据库配置错误或遇到问题,则安全监控可能会受到影响。
以下部分提供常见问题和解决这些问题的步骤。
RDS 存储已满
当您的 RDS 实例的存储空间不足,GuardDuty 可能无法收集安全遥测数据。达到数据库实例存储容量分配 (storage-full) 是“重大”状态,RDS 推荐立即修复该问题。有关更多信息,请参阅《Amazon RDS 用户指南》中的查看实例状态。
要解决 storage-full 状态问题,您可以执行以下操作之一:
-
启用存储自动扩展(推荐):启用 Amazon RDS 存储自动扩展,自动管理存储容量并防止将来出现
storage-full问题。有关详细信息,请参阅《Amazon RDS User Guide》中的使用 Amazon RDS 存储自动扩展功能自动管理容量。 -
监控您的存储利用率:使用以下方法之一检查存储利用率:
-
使用 CloudWatch 指标查看有关存储的详细信息。有关更多信息,请参阅《Amazon CloudWatch 用户指南》中的 CloudWatch Database 洞察。
-
按照《Amazon RDS 用户指南》中的监控 Amazon RDS 实例中的指标中的步骤查看存储指标。
-
-
修改存储容量:有关增加实例存储容量的信息,请参阅《Amazon RDS 用户指南》中的增加数据库实例存储容量。
RDS for PostgreSQL 主数据库上的版本不受支持
RDS for PostgreSQL 只读副本实例要求主数据库实例使用支持的数据库版本,并且必须成功地从主数据库复制。只有在满足这些要求时,GuardDuty 才会监控您的实例。
要解决不受支持的版本问题,可以执行下列操作之一:
-
验证数据库版本兼容性:检查您的 RDS for PostgreSQL 主数据库是否正在运行受支持的版本之一。有关更多信息,请参阅 支持的数据库。
-
解决潜在的复制问题:查看并解决主实例与副本实例之间的任何复制问题。有关更多信息,请参阅《Amazon RDS 用户指南》中的使用 RDS for Oracle 的只读副本。
其它安全注意事项
如果您的组织有严格的合规要求,我们建议除使用 RDS 防护之外还应实施数据库审计。有关您的安全责任和责任共担模式的更多信息,请参阅《Amazon RDS 用户指南》中的 Amazon RDS 中的安全。