Fonctionnement des flux d'activité de base de données Mode asynchrone et synchrone pour les flux d'activité de base de données Exigences et limites pour les flux d'activité de base de données Disponibilité des régions et des versions Classes d'instance de base de données prises en charge pour les flux d'activité de base de données

Présentation des flux d'activité de base de données

En tant qu'administrateur de base de données Amazon Aurora, vous devez protéger votre base de données et satisfaire aux exigences en matière de conformité et de réglementation. Une politique consiste à intégrer les flux d'activités de base de données avec vos outils de surveillance. De cette façon, vous surveillez l'activité d'audit dans votre cluster Amazon Aurora et définissez des alarmes.

Les menaces de sécurité sont à la fois externes et internes. Pour vous protéger contre des menaces internes, vous pouvez contrôler l'accès administrateur aux flux de données à l'aide de la fonction Database Activity Streams. Les administrateurs de base de données n'ont pas accès à la collecte, à la transmission, au stockage et au traitement des flux.

Rubriques

Fonctionnement des flux d'activité de base de données
Mode asynchrone et synchrone pour les flux d'activité de base de données
Exigences et limites pour les flux d'activité de base de données
Disponibilité des régions et des versions
Classes d'instance de base de données prises en charge pour les flux d'activité de base de données

Fonctionnement des flux d'activité de base de données

Dans Amazon Aurora, vous démarrez un flux d'activité de base de données au niveau du cluster. Toutes les instances de base de données de votre cluster disposent de flux d'activité de base de données activés.

Votre cluster de base de données Aurora envoie (push) les activités vers un flux de données Amazon Kinesis en temps quasi réel. Le flux Kinesis est créé automatiquement. Kinesis vous permet de configurer des AWS services tels qu'Amazon Data Firehose, de consommer le flux et AWS Lambda de stocker les données.

Important

L'utilisation de la fonction de flux d'activité de base de données dans Amazon Aurora est gratuite, mais Amazon Kinesis facture un flux de données. Pour plus d'informations, consultez la Tarification d'Amazon Kinesis Data Streams.

Si vous utilisez une base de données globale Aurora, démarrez un flux d'activité de base de données sur chaque cluster de base de données séparément. Chaque cluster fournit des données d'audit à son propre flux Kinesis au sein de sa propre Région AWS. Les flux d'activité ne fonctionnent pas différemment lors d'un basculement. Ils continuent à auditer votre base de données globale comme d'habitude.

Vous pouvez configurer les applications de gestion de la conformité pour qu'elles consomment les flux d'activité des bases de données. Pour Aurora PostgreSQL, les applications de conformité incluent Security Guardium d'IBM et Imperva Database Audit and Protection SecureSphere . Ces applications peuvent utiliser le flux pour générer des alertes et auditer l'activité sur votre cluster de base de données Aurora.

Le graphique suivant montre un cluster de base de données Aurora configuré avec Amazon Data Firehose.

Mode asynchrone et synchrone pour les flux d'activité de base de données

Vous pouvez choisir que la session de base de données gère les événements d'activité de base de données dans l'un des modes suivants :

Mode asynchrone : quand une session de base de données génère un événement de flux d'activité, la session revient immédiatement aux activités normales. En arrière-plan, l'événement du flux d'activité est converti en enregistrement durable. Si une erreur se produit pendant la tâche en arrière-plan, un événement RDS est envoyé. Cet événement indique le début et la fin de toute fenêtre de temps au cours de laquelle des enregistrements d'événement de flux d'activité ont pu être perdus.

Le mode asynchrone favorise les performances de la base de données plutôt que la précision du flux d'activité.

Note
Le mode asynchrone est disponible pour Aurora PostgreSQL et Aurora MySQL.
Mode synchrone : quand une session de base de données génère un événement de flux d'activité, la session bloque d'autres activités jusqu'à ce que l'événement devienne durable. Si l'événement ne peut pas devenir durable pour une raison quelconque, la session de base de données reprend une activité normale. Cependant, un événement RDS est envoyé, indiquant que ces enregistrements de flux peuvent être perdus pour un certain temps. Un deuxième événement RDS est envoyé après que le système est redevenu sain.

Le mode synchrone favorise la précision du flux d'activité plutôt que les performances de la base de données.

Note
Le mode synchrone est disponible pour Aurora PostgreSQL. Vous ne pouvez pas utiliser le mode synchrone avec Aurora MySQL.

Exigences et limites pour les flux d'activité de base de données

Dans Aurora, les flux d'activité de base de données présentent les limites et les exigences suivantes :

Amazon Kinesis est nécessaire pour les flux d'activité des bases de données.
AWS Key Management Service (AWS KMS) est obligatoire pour les flux d'activité de base de données car ils sont toujours chiffrés.
L'application d'un chiffrement supplémentaire à votre flux de données Amazon Kinesis est incompatible avec les flux d'activité de base de données, qui sont déjà chiffrés avec votre AWS KMS clé.
Démarrez le flux d'activité de votre base de données au niveau du cluster de base de données. Si vous ajoutez une instance de base de données à votre cluster, vous n'avez pas besoin de lancer un flux d'activité sur l'instance : elle est automatiquement auditée.
Dans une base de données globale Aurora, assurez-vous de démarrer un flux d'activité sur chaque cluster de base de données séparément. Chaque cluster fournit des données d'audit à son propre flux Kinesis au sein de sa propre Région AWS.
Dans Aurora PostgreSQL, arrêtez le flux d'activité de la base de données avant une mise à niveau. Vous pouvez lancer le flux d'activité de la base de données une fois la mise à niveau terminée.

Disponibilité des régions et des versions

La disponibilité et la prise en charge des fonctions varient selon les versions spécifiques de chaque moteur de base de données Aurora, et selon les Régions AWS. Pour plus d'informations sur la disponibilité des versions et des régions avec Aurora et les flux d'activité des bases de données, consultez Flux d'activité de base de données dans Aurora.

Classes d'instance de base de données prises en charge pour les flux d'activité de base de données

Pour Aurora MySQL, vous pouvez utiliser des flux d'activité de base de données avec les classes d'instances de base de données suivantes :

db.r7g.*large
db.r6g.*large
db.r6i.*large
db.r5.*large
db.x2g.*

Pour Aurora PostgreSQL, vous pouvez utiliser des flux d'activité de base de données avec les classes d'instances de base de données suivantes :

db.r7g.*large
db.r6g.*large
db.r6i.*large
db.r6id.*large
db.r5.*large
db.r4.*large
db.x2g.*

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Surveillance d'Aurora à l'aide des flux d'activité de base de données

Prérequis réseau Aurora MySQL