サポートされているデータベース RDS Protection が RDS ログインアクティビティモニタリングを使用する仕組みスタンドアロンアカウントの RDS Protection の設定マルチアカウント環境での RDS Protection の設定

での RDS Protection GuardDuty

Amazon の RDS Protection は、Amazon Aurora データベース (Amazon Aurora MySQL 互換エディションおよび Aurora PostgreSQL 互換エディション) と Amazon RDS for PostgreSQL への潜在的なアクセス脅威について RDS ログインアクティビティ GuardDuty を分析し、プロファイリングします。 PostgreSQL この機能により、潜在的に疑わしいログイン動作を特定できます。RDS Protection は追加のインフラストラクチャが不要で、データベースインスタンスのパフォーマンスに影響を与えないように設計されています。

RDS Protection がデータベースへの脅威を示す潜在的に疑わしい、または異常なログイン試行を検出すると、は侵害された可能性のあるデータベースに関する詳細を含む新しい検出結果 GuardDuty を生成します。

RDS Protection 機能は、Amazon 内で AWS リージョンこの機能が利用可能なの任意のアカウントで GuardDuty、いつでも有効または無効にできます。既存の GuardDuty アカウントは、30 日間のトライアル期間で RDS Protection を有効にできます。新しい GuardDuty アカウントの場合、RDS Protection は既に有効になっており、30 日間の無料トライアル期間に含まれています。詳細については、「コストの見積もり」を参照してください。

注記

RDS Protection 機能が有効になっていない場合、は RDS ログインアクティビティを収集せず、異常なログイン動作や疑わしいログイン動作も検出 GuardDuty しません。

AWS リージョンが RDS Protection をまだサポートしていないについては、 GuardDuty 「」を参照してくださいリージョン固有機能の可用性。

サポートされている Amazon Aurora および Amazon RDS データベース

次の表は、サポートされている Aurora および Amazon RDS データベースのバージョンを示しています。

Amazon Aurora および Amazon RDS DB エンジン	サポート対象エンジンバージョン
Aurora MySQL	2.10.2 以降 3.02.1 以降
Aurora PostgreSQL	10.17 以降 11.12 以降 12.7 以降 13.3 以降 14.3 以降 15.2 以降 16.1 以降
RDS for PostgreSQL	14.5 以降 13.8 以降 12.12 以降 11.17 以降 10.22 以降 RDS for PostgreSQL バージョン 15 RDS for PostgreSQL バージョン 16

RDS Protection が RDS ログインアクティビティモニタリングを使用する仕組み

Amazon の RDS Protection GuardDuty は、アカウントでサポートされている Amazon Aurora (Aurora) データベースを保護するのに役立ちます。RDS Protection 機能を有効にすると、は、アカウントの Aurora データベースからの RDS ログインアクティビティのモニタリングを GuardDuty 直ちに開始します。は、以前には見られなかった外部アクターからの、アカウント内の Aurora データベースへの不正アクセスなどの疑わしいアクティビティについて、RDS ログインアクティビティ GuardDuty を継続的にモニタリングおよびプロファイリングします。RDS Protection を初めて有効にする場合、またはデータベースインスタンスを新しく作成した場合は、通常の動作をベースラインにするための学習期間が必要です。このため、新たに有効になったデータベースインスタンスや新しく作成されたデータベースインスタンスでは、最長で 2 週間程度、関連する異常ログインが検出されないことがあります。詳細については、「RDS ログインアクティビティのモニタリング」を参照してください。

RDS Protection が一連の成功、失敗、または不完全なログイン試行で異常なパターンなどの潜在的な脅威を検出すると、は侵害された可能性のあるデータベースインスタンスに関する詳細を含む新しい検出結果 GuardDuty を生成します。詳細については、「RDS Protection の検出結果タイプ」を参照してください。RDS Protection を無効にすると、は RDS ログインアクティビティのモニタリングを GuardDuty 直ちに停止し、サポートされているデータベースインスタンスに対する潜在的な脅威を検出できません。

注記

GuardDuty は、サポートされているデータベースまたは RDS ログインアクティビティを管理したり、RDS ログインアクティビティを利用できるようにしたりしません。

スタンドアロンアカウントの RDS Protection の設定

マルチアカウント環境での RDS Protection の設定

マルチアカウント環境では、委任された GuardDuty 管理者アカウントのみが、組織内のメンバーアカウントの RDS Protection 機能を有効または無効にすることができます。 GuardDuty メンバーアカウントは、自分のアカウントからこの設定を変更することはできません。委任 GuardDuty 管理者アカウントは、を使用してメンバーアカウントを管理します AWS Organizations。この委任 GuardDuty 管理者アカウントは、組織に参加するすべての新しいアカウントの RDS ログインアクティビティモニタリングを自動有効化することを選択できます。マルチアカウント環境の詳細については、「Amazon での複数のアカウントの管理 GuardDuty」を参照してください。

任意のアクセス方法を選択して、委任された GuardDuty 管理者アカウントの RDS ログインアクティビティモニタリングを設定します。

Console

https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

必ず管理アカウントの認証情報を使用してください。
ナビゲーションペインで、[RDS Protection] を選択します。
[RDS Protection] ページで、[編集] を選択します。
次のいずれかを行います。
[すべてのアカウントについて有効にする] の使用
- [すべてのアカウントについて有効にする] を選択します。これにより、 AWS 組織に参加する新しい GuardDuty アカウントを含め、組織内のすべてのアクティブなアカウントに対して保護プランが有効になります。
- [保存] を選択します。
[アカウントを手動で設定] の使用
- 委任 GuardDuty 管理者アカウントアカウントに対してのみ保護プランを有効にするには、アカウントを手動で設定 を選択します。
- 委任 GuardDuty 管理者アカウント (このアカウント） セクションで 有効化 を選択します。
- [保存] を選択します。

API/CLI

ユーザー独自のリージョンレベルのディテクター ID を使用し、features オブジェクト name を RDS_LOGIN_EVENTS として、status を ENABLED または DISABLED として渡して、updateDetector API オペレーションを実行します。

次の AWS CLI コマンドを実行して、RDS Protection を有効または無効にできます。委任 GuardDuty 管理者アカウントの有効なディテクター ID を使用してください。

注記

次のコードの例は RDS Protection を有効にします。無効にするには、ENABLED を DISABLED に置き換えます。

アカウントと現在のリージョンdetectorIdのを検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。


aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'

任意のアクセス方法を選択して、すべてのメンバーアカウントのために RDS Protection 機能を有効にします。これには、既存のメンバーアカウントと、組織に参加する新しいアカウントが含まれます。

Console

https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

委任された GuardDuty 管理者アカウントの認証情報を使用してください。
次のいずれかを行います。
[RDS Protection] ページの使用
1. ナビゲーションペインで、[RDS Protection] を選択します。
2. [すべてのアカウントについて有効にする] を選択します。このアクションにより、組織内の既存のアカウントと新しいアカウントの両方について RDS Protection が自動的に有効になります。
3. [保存] を選択します。
  
  注記
  メンバーアカウントの設定を更新するには、最大 24 時間かかる場合があります。
[アカウント] ページの使用
1. ナビゲーションペインで、[Accounts] (アカウント) を選択します。
2. [アカウント] ページで、[招待によるアカウントの追加] の前に [自動有効化] の詳細設定を選択します。
3. [自動有効化の詳細設定を管理] ウィンドウで、[RDS ログインアクティビティモニタリング] の下の [すべてのアカウントについて有効にする] を選択します。
4. [保存] を選択します。
[すべてのアカウントについて有効にする] オプションを使用できない場合は、「メンバーアカウントを選択して RDS Protection を有効または無効にする」を参照してください。

API/CLI

メンバーアカウントの RDS Protection を選択的に有効または無効にするには、ユーザー独自のディテクター ID を使用して updateMemberDetectors API オペレーションを起動します。
次の例では、単一のメンバーアカウントに RDS Protection を有効にする方法が示されます。無効にするには、ENABLED を DISABLED に置き換えます。

アカウントと現在のリージョンdetectorIdのを検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。
```
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED"}]'
```
注記
スペースで区切られたアカウント ID のリストを渡すこともできます。
コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

任意のアクセス方法を選択して、組織内のすべての既存のアクティブなメンバーアカウントのために RDS Protection を有効にします。

Console

すべての既存のアクティブなメンバーアカウントのために RDS Protection を設定するには

にサインイン AWS Management Console し、https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

委任 GuardDuty 管理者アカウントの認証情報を使用してサインインします。
ナビゲーションペインで、[RDS Protection] を選択します。
[RDS Protection] ページでは、設定の現在のステータスを表示できます。[アクティブなメンバーアカウント] セクションで、[アクション] を選択します。
[アクション] ドロップダウンメニューから、[すべての既存のアクティブなメンバーアカウントについて有効にする] を選択します。
[確認] を選択します。

API/CLI

メンバーアカウントの RDS Protection を選択的に有効または無効にするには、ユーザー独自のディテクター ID を使用して updateMemberDetectors API オペレーションを起動します。
次の例では、単一のメンバーアカウントに RDS Protection を有効にする方法が示されます。無効にするには、ENABLED を DISABLED に置き換えます。

アカウントと現在のリージョンdetectorIdのを検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。
```
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED"}]'
```
注記
スペースで区切られたアカウント ID のリストを渡すこともできます。
コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

任意のアクセス方法を選択して、組織に参加する新しいアカウントに RDS ログインアクティビティを有効にします。

Console

委任 GuardDuty 管理者アカウントは、RDS Protection または Accounts ページを使用して、コンソールから組織内の新しいメンバーアカウントに対してを有効にできます。

新しいメンバーアカウントの RDS Protection を自動で有効にするには

https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

委任された GuardDuty 管理者アカウントの認証情報を使用してください。
次のいずれかを行います。
- [RDS Protection] ページを使用する場合:
  1. ナビゲーションペインで、[RDS Protection] を選択します。
  2. [RDS Protection] ページで、[編集] を選択します。
  3. [アカウントを手動で設定] を選択します。
  4. [新しいメンバーアカウントについて自動的に有効にする] を選択します。このステップにより、新しいアカウントが組織に参加するたびに、そのアカウントのために RDS Protection が自動的に有効になります。この設定を変更できるのは、組織の委任 GuardDuty 管理者アカウントのみです。
  5. [保存] を選択します。
- [Accounts] (アカウント) ページを使用する場合:
  1. ナビゲーションペインで、[Accounts] (アカウント) を選択します。
  2. [アカウント] ページで、[自動有効化] 設定を選択します。
  3. [自動有効化の詳細設定を管理] ウィンドウで、[RDS ログインアクティビティモニタリング] の下の [新しいアカウントについて有効にする] を選択します。
  4. [保存] を選択します。

API/CLI

メンバーアカウントの RDS Protection を選択的に有効または無効にするには、ユーザー独自のディテクター ID を使用して UpdateOrganizationConfiguration API オペレーションを起動します。
次の例では、単一のメンバーアカウントに RDS Protection を有効にする方法が示されます。無効にするには、「メンバーアカウントを選択して RDS Protection を有効または無効にする」を参照してください。組織に参加する新規アカウントすべてに対して有効にしたくない場合は、autoEnable を NONE に設定します。

アカウントと現在のリージョンdetectorIdのを検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。
```
aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "RDS_LOGIN_EVENTS", "AutoEnable": "NEW"}]'
```
注記
スペースで区切られたアカウント ID のリストを渡すこともできます。
コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

任意のアクセス方法を選択して、メンバーアカウントのために RDS ログインアクティビティのモニタリングを選択的に有効または無効にします。

Console

https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。

委任された GuardDuty 管理者アカウントの認証情報を使用してください。
ナビゲーションペインで、[Accounts] (アカウント) を選択します。

[アカウント] ページで、[RDS ログインアクティビティ] 列でメンバーアカウントのステータスを確認します。
RDS ログインアクティビティを選択的に有効または無効にするには

RDS Protection を設定するアカウントを選択します。一度に複数のアカウントを選択できます。[保護プランの編集] ドロップダウンメニューで、[RDS ログインアクティビティ] を選択し、適切なオプションを選択します。

API/CLI

メンバーアカウントの RDS Protection を選択的に有効または無効にするには、ユーザー独自のディテクター ID を使用して updateMemberDetectors API オペレーションを起動します。

次の例では、単一のメンバーアカウントに RDS Protection を有効にする方法が示されます。無効にするには、ENABLED を DISABLED に置き換えます。


aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'

注記

スペースで区切られたアカウント ID のリストを渡すこともできます。

コードが正常に実行されると、UnprocessedAccounts の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Malware Protection for S3 のクォータ

機能

での RDS Protection GuardDuty

注記

サポートされている Amazon Aurora および Amazon RDS データベース

RDS Protection が RDS ログインアクティビティモニタリングを使用する仕組み

注記

スタンドアロンアカウントの RDS Protection の設定

注記

マルチアカウント環境での RDS Protection の設定

[すべてのアカウントについて有効にする] の使用

[アカウントを手動で設定] の使用

注記

[RDS Protection] ページの使用

注記

[アカウント] ページの使用

注記

すべての既存のアクティブなメンバーアカウントのために RDS Protection を設定するには

注記

新しいメンバーアカウントの RDS Protection を自動で有効にするには

注記

RDS ログインアクティビティを選択的に有効または無効にするには

注記