Übersicht über Datenbankaktivitätsstreams

Als Amazon-Aurora-Datenbankadministrator müssen Sie Ihre Datenbank schützen und Compliance- und regulatorische Anforderungen erfüllen. Eine Strategie besteht darin, Datenbankaktivitätsstrreams in Ihre Überwachungstools zu integrieren. Auf diese Weise überwachen und legen Sie Alarme für Prüfungsaktivitäten in Ihrem Amazon-Aurora-Cluster fest.

Sicherheitsbedrohungen sind sowohl extern als auch intern. Zum Schutz vor internen Bedrohungen können Sie den Administratorzugriff auf Datenströme durch die Konfiguration der Funktion „Datenbankaktivitätsstreams“ steuern. -DBAs haben keinen Zugriff auf die Erfassung, Übertragung, Speicherung und Verarbeitung der Streams.

Funktionsweise von Datenbankaktivitätsstreams

In Amazon Aurora starten Sie einen Datenbankaktivitäts-Stream auf Clusterebene. Für alle DB-Instances in Ihrem Cluster sind Datenbankaktivitätsstreams aktiviert.

Ihr Aurora-DB-Cluster sendet Aktivitäten nahezu in Echtzeit per Push in einen Amazon Kinesis Data Stream. Der Kinesis Stream wird automatisch erstellt. Von Kinesis aus können Sie AWS Services wie Amazon Data Firehose und konfigurieren, AWS Lambda um den Stream zu nutzen und die Daten zu speichern.

Wichtig

Die Verwendung der Datenbankaktivitätsstreams-Funktion in Amazon Aurora ist kostenlos, Amazon Kinesis erhebt jedoch Gebühren für einen Datenstrom. Weitere Informationen finden Sie unter Amazon Kinesis Data Streams – Preise.

Wenn Sie eine globale Aurora-Datenbank verwenden, starten Sie einen Datenbankaktivitäts-Stream separat auf jedem DB-Cluster. Jeder Cluster liefert Auditdaten innerhalb seiner eigenen AWS-Region an seinen eigenen Kinesis-Stream. Die Aktivitätsstreams funktionieren während eines Failovers nicht anders. Sie prüfen Ihre globale Datenbank weiterhin wie gewohnt.

Sie können Anwendungen für das Compliance-Management für den Verbrauch von Datenbankaktivitäts-Streams konfigurieren. Für Aurora PostgreSQL umfassen Compliance-Anwendungen IBM Security Guardium und Imperva SecureSphere Database Audit and Protection. Solche Anwendungen können den Datenstrom verwenden, um Warnungen zu generieren und Ihre Aurora-DB-Cluster- zu prüfen.

Die folgende Grafik zeigt einen Aurora-DB-Cluster, der mit Amazon Data Firehose konfiguriert ist.

Asynchroner und synchroner Modus für Datenbankaktivitätsstreams

Sie können festlegen, ob Datenbankaktivitätsereignisse in der Datenbanksitzung in einem der folgenden Modi behandelt werden sollen:

• Asynchroner Modus – Wenn eine Datenbanksitzung ein Aktivitätsstream-Ereignis generiert, kehrt die Sitzung sofort zu normalen Aktivitäten zurück. Im Hintergrund wird das Aktivitäts-Stream-Ereignis zu einem dauerhaften Datensatz gemacht. Wenn bei der Aufgabe im Hintergrund ein Fehler auftritt, wird ein RDS-Ereignis gesendet. Dieses Ereignis gibt Anfang und Ende der Zeitfenster an, in denen möglicherweise Datensätze des Aktivitäts-Stream-Ereignisses verloren gegangen sind.

  Der asynchrone Modus beschleunigt die Datenbankleistung, verschlechtert jedoch die Genauigkeit des Aktivitäts-Streams.

  Anmerkung

  Der asynchrone Modus ist sowohl für Aurora PostgreSQL als auch Aurora MySQL verfügbar.

• Synchroner Modus – Wenn eine Datenbanksitzung im synchronen Modus ein Aktivitäts-Stream-Ereignis generiert, blockiert die Sitzung so lange andere Aktivitäten, bis das Ereignis dauerhaft gemacht wird. Falls es aus irgendeinem Grund nicht möglich ist, das Ereignis dauerhaft zu machen, kehrt die Datenbanksitzung zu normalen Aktivitäten zurück. Es wird allerdings ein RDS-Ereignis gesendet, das darauf hinweist, dass Aktivitäts-Stream-Datensätze möglicherweise für einige Zeit verloren gehen. Wenn sich das System wieder in fehlerfreiem Zustand befindet, wird ein zweites RDS-Ereignis gesendet.

  Der synchrone Modus fördert die Genauigkeit des Aktivitäts-Streams, verschlechtert jedoch die Datenbankleistung.

  Anmerkung

  Der synchrone Modus ist für Aurora PostgreSQL verfügbar. Sie können den synchronen Modus nicht mit Aurora MySQL verwenden.

Anforderungen und Einschränkungen für Datenbankaktivitätsstreams

In Aurora gelten für Datenbankaktivitätsstreams die folgenden Anforderungen und Einschränkungen:

• Amazon Kinesis ist für Datenaktivitätsstreams erforderlich.

• AWS Key Management Service (AWS KMS) ist für Datenbankaktivitäts-Streams erforderlich, da sie immer verschlüsselt sind.

• Das Anwenden zusätzlicher Verschlüsselung auf Ihren Amazon Kinesis Data Stream ist nicht mit Datenbankaktivitäts-Streams kompatibel, die bereits mit Ihrem - AWS KMS Schlüssel verschlüsselt sind.

• Starten Sie Ihren DatenbankaktivitätsStream auf DB-Cluster-Ebene. Wenn Sie Ihrem Cluster eine DB-Instance hinzufügen, müssen Sie keinen Aktivitätsstream auf der Instance starten: Sie wird automatisch überwacht.

• In einer globalen Aurora-Datenbank müssen Sie einen Datenbankaktivitäts-Stream separat auf jedem DB-Cluster starten. Jeder Cluster liefert Auditdaten innerhalb seiner eigenen AWS-Region an seinen eigenen Kinesis-Stream.

• Stellen Sie in Aurora PostgreSQL sicher, dass der Datenbank-Aktivitätsstream vor einem Upgrade gestoppt wird. Sie können den Datenbank-Aktivitätsstream starten, nachdem das Upgrade abgeschlossen ist.

Verfügbarkeit von Regionen und Versionen

Die Verfügbarkeit von Funktionen und der Support variieren zwischen bestimmten Versionen der einzelnen Aurora-Datenbank-Engines und in allen AWS-Regionen. Weitere Informationen zur Verfügbarkeit von Versionen und Regionen mit Aurora und Datenbank-Aktivitätsstreams finden Sie unter Unterstützte Regionen und Aurora-DB-Engines für Datenbankaktivitätsstreams.

Unterstützte DB-Instance-Klassen für Datenbankaktivitätsstreams

Für Aurora MySQL können Sie Datenbankaktivitätsstreams mit den folgenden DB-Instance-Klassen verwenden:

• db.r7g.*large

• db.r6g.*large

• db.r6i.*large

• db.r5.*large

• db.x2g.*

Für Aurora PostgreSQL können Sie Datenbankaktivitätsstreams mit den folgenden DB-Instance-Klassen verwenden:

• db.r7g.*large

• db.r6g.*large

• db.r6i.*large

• db.r6id.*large

• db.r5.*large

• db.r4.*large

• db.x2g.*