翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
での RDS Protection GuardDuty
Amazon の RDS Protection は、Amazon Aurora データベース (Amazon Aurora MySQL 互換エディション および Aurora PostgreSQL 互換エディション) と Amazon RDS for PostgreSQL への潜在的なアクセス脅威について RDS ログインアクティビティ GuardDuty を分析し、プロファイリングします。 PostgreSQL この機能により、潜在的に疑わしいログイン動作を特定できます。RDS Protection は追加のインフラストラクチャが不要で、データベースインスタンスのパフォーマンスに影響を与えないように設計されています。
RDS Protection がデータベースへの脅威を示す潜在的に疑わしい、または異常なログイン試行を検出すると、 は侵害された可能性のあるデータベースに関する詳細を含む新しい検出結果 GuardDuty を生成します。
RDS Protection 機能は、Amazon 内で AWS リージョン この機能が利用可能な の任意のアカウントで GuardDuty、いつでも有効または無効にできます。既存の GuardDuty アカウントは、30 日間のトライアル期間で RDS Protection を有効にできます。新しい GuardDuty アカウントの場合、RDS Protection は既に有効になっており、30 日間の無料トライアル期間に含まれています。詳細については、「コストの見積もり」を参照してください。
RDS Protection 機能が有効になっていない場合、 は RDS ログインアクティビティを収集せず、異常なログイン動作や疑わしいログイン動作も検出 GuardDuty しません。
AWS リージョン が RDS Protection をまだサポートしていない については、 GuardDuty 「」を参照してくださいリージョン固有機能の可用性。
サポートされている Amazon Aurora および Amazon RDS データベース
次の表は、サポートされている Aurora および Amazon RDS データベースのバージョンを示しています。
Amazon Aurora および Amazon RDS DB エンジン |
サポート対象エンジンバージョン |
Aurora MySQL
|
|
Aurora PostgreSQL
|
-
10.17 以降
-
11.12 以降
-
12.7 以降
-
13.3 以降
-
14.3 以降
-
15.2 以降
-
16.1 以降
|
RDS for PostgreSQL |
|
RDS Protection が RDS ログインアクティビティモニタリングを使用する仕組み
Amazon の RDS Protection GuardDuty は、アカウントでサポートされている Amazon Aurora (Aurora) データベースを保護するのに役立ちます。RDS Protection 機能を有効にすると、 は、アカウントの Aurora データベースからの RDS ログインアクティビティのモニタリングを GuardDuty 直ちに開始します。 は、以前には見られなかった外部アクターからの、アカウント内の Aurora データベースへの不正アクセスなどの疑わしいアクティビティについて、RDS ログインアクティビティ GuardDuty を継続的にモニタリングおよびプロファイリングします。RDS Protection を初めて有効にする場合、またはデータベースインスタンスを新しく作成した場合は、通常の動作をベースラインにするための学習期間が必要です。このため、新たに有効になったデータベースインスタンスや新しく作成されたデータベースインスタンスでは、最長で 2 週間程度、関連する異常ログインが検出されないことがあります。詳細については、「RDS ログインアクティビティのモニタリング」を参照してください。
RDS Protection が一連の成功、失敗、または不完全なログイン試行で異常なパターンなどの潜在的な脅威を検出すると、 は侵害された可能性のあるデータベースインスタンスに関する詳細を含む新しい検出結果 GuardDuty を生成します。詳細については、「RDS Protection の検出結果タイプ」を参照してください。RDS Protection を無効にすると、 は RDS ログインアクティビティのモニタリングを GuardDuty 直ちに停止し、サポートされているデータベースインスタンスに対する潜在的な脅威を検出できません。
GuardDuty は、 サポートされているデータベースまたは RDS ログインアクティビティを管理したり、RDS ログインアクティビティを利用できるようにしたりしません。
- Console
-
https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。
-
ナビゲーションペインで、[RDS Protection] を選択します。
-
[RDS Protection] ページにアカウントの現在のステータスが表示されます。[Enable] (有効化) または [Disable] (無効化) を選択することで、いつでもこの機能を有効または無効にできます。[Confirm] (確認) をクリックして、選択内容を確認します。
- API/CLI
-
ユーザー独自のリージョンレベルのディテクター ID を使用し、features
オブジェクト name
を RDS_LOGIN_EVENTS
として、status
を ENABLED
または DISABLED
として渡して、updateDetector API オペレーションを実行します。
次の AWS CLI コマンドを実行して、RDS Protection を有効または無効にすることもできます。必ずご自身の有効な ディテクター ID
を使用してください。
次のコードの例は RDS Protection を有効にします。無効にするには、ENABLED
を DISABLED
に置き換えます。
アカウントと現在のリージョンdetectorId
の を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。
aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0
--features '[{"Name" : "RDS_LOGIN_EVENTS", "Status" : "ENABLED"}]'
マルチアカウント環境では、委任された GuardDuty 管理者アカウントのみが、組織内のメンバーアカウントの RDS Protection 機能を有効または無効にすることができます。 GuardDuty メンバーアカウントは、自分のアカウントからこの設定を変更することはできません。委任 GuardDuty 管理者アカウントは、 を使用してメンバーアカウントを管理します AWS Organizations。この委任 GuardDuty 管理者アカウントは、組織に参加するすべての新しいアカウントの RDS ログインアクティビティモニタリングを自動有効化することを選択できます。マルチアカウント環境の詳細については、「Amazon での複数のアカウントの管理 GuardDuty」を参照してください。
任意のアクセス方法を選択して、委任された GuardDuty 管理者アカウントの RDS ログインアクティビティモニタリングを設定します。
- Console
-
- API/CLI
-
ユーザー独自のリージョンレベルのディテクター ID を使用し、features
オブジェクト name
を RDS_LOGIN_EVENTS
として、status
を ENABLED
または DISABLED
として渡して、updateDetector API オペレーションを実行します。
次の AWS CLI コマンドを実行して、RDS Protection を有効または無効にできます。委任 GuardDuty 管理者アカウントの有効なディテクター ID
を使用してください。
次のコードの例は RDS Protection を有効にします。無効にするには、ENABLED
を DISABLED
に置き換えます。
アカウントと現在のリージョンdetectorId
の を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--account-ids 555555555555
--features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'
任意のアクセス方法を選択して、すべてのメンバーアカウントのために RDS Protection 機能を有効にします。これには、既存のメンバーアカウントと、組織に参加する新しいアカウントが含まれます。
- Console
-
https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。
委任された GuardDuty 管理者アカウントの認証情報を使用してください。
次のいずれかを行います。
[RDS Protection] ページの使用
ナビゲーションペインで、[RDS Protection] を選択します。
[すべてのアカウントについて有効にする] を選択します。このアクションにより、組織内の既存のアカウントと新しいアカウントの両方について RDS Protection が自動的に有効になります。
[保存] を選択します。
メンバーアカウントの設定を更新するには、最大 24 時間かかる場合があります。
[アカウント] ページの使用
ナビゲーションペインで、[Accounts] (アカウント) を選択します。
[アカウント] ページで、[招待によるアカウントの追加] の前に [自動有効化] の詳細設定を選択します。
[自動有効化の詳細設定を管理] ウィンドウで、[RDS ログインアクティビティモニタリング] の下の [すべてのアカウントについて有効にする] を選択します。
[保存] を選択します。
[すべてのアカウントについて有効にする] オプションを使用できない場合は、「メンバーアカウントを選択して RDS Protection を有効または無効にする」を参照してください。
- API/CLI
-
-
メンバーアカウントの RDS Protection を選択的に有効または無効にするには、ユーザー独自のディテクター ID
を使用して updateMemberDetectors API オペレーションを起動します。
-
次の例では、単一のメンバーアカウントに RDS Protection を有効にする方法が示されます。無効にするには、ENABLED
を DISABLED
に置き換えます。
アカウントと現在のリージョンdetectorId
の を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--account-ids 111122223333
--features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED
"}]'
スペースで区切られたアカウント ID のリストを渡すこともできます。
-
コードが正常に実行されると、UnprocessedAccounts
の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。
任意のアクセス方法を選択して、組織内のすべての既存のアクティブなメンバーアカウントのために RDS Protection を有効にします。
- Console
-
すべての既存のアクティブなメンバーアカウントのために RDS Protection を設定するには
にサインイン AWS Management Console し、https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。
委任 GuardDuty 管理者アカウントの認証情報を使用してサインインします。
ナビゲーションペインで、[RDS Protection] を選択します。
[RDS Protection] ページでは、設定の現在のステータスを表示できます。[アクティブなメンバーアカウント] セクションで、[アクション] を選択します。
[アクション] ドロップダウンメニューから、[すべての既存のアクティブなメンバーアカウントについて有効にする] を選択します。
[確認] を選択します。
- API/CLI
-
-
メンバーアカウントの RDS Protection を選択的に有効または無効にするには、ユーザー独自のディテクター ID
を使用して updateMemberDetectors API オペレーションを起動します。
-
次の例では、単一のメンバーアカウントに RDS Protection を有効にする方法が示されます。無効にするには、ENABLED
を DISABLED
に置き換えます。
アカウントと現在のリージョンdetectorId
の を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--account-ids 111122223333
--features '[{"name": "RDS_LOGIN_EVENTS", "status": "ENABLED
"}]'
スペースで区切られたアカウント ID のリストを渡すこともできます。
-
コードが正常に実行されると、UnprocessedAccounts
の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。
任意のアクセス方法を選択して、組織に参加する新しいアカウントに RDS ログインアクティビティを有効にします。
- Console
-
委任 GuardDuty 管理者アカウントは、RDS Protection または Accounts ページを使用して、コンソールから組織内の新しいメンバーアカウントに対して を有効にできます。
- API/CLI
-
-
メンバーアカウントの RDS Protection を選択的に有効または無効にするには、ユーザー独自のディテクター ID
を使用して UpdateOrganizationConfiguration API オペレーションを起動します。
-
次の例では、単一のメンバーアカウントに RDS Protection を有効にする方法が示されます。無効にするには、「メンバーアカウントを選択して RDS Protection を有効または無効にする」を参照してください。組織に参加する新規アカウントすべてに対して有効にしたくない場合は、autoEnable
を NONE
に設定します。
アカウントと現在のリージョンdetectorId
の を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。
aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0
--auto-enable --features '[{"Name": "RDS_LOGIN_EVENTS", "AutoEnable": "NEW"}]'
スペースで区切られたアカウント ID のリストを渡すこともできます。
-
コードが正常に実行されると、UnprocessedAccounts
の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。
任意のアクセス方法を選択して、メンバーアカウントのために RDS ログインアクティビティのモニタリングを選択的に有効または無効にします。
- Console
-
https://console.aws.amazon.com/guardduty/ で GuardDuty コンソールを開きます。
委任された GuardDuty 管理者アカウントの認証情報を使用してください。
-
ナビゲーションペインで、[Accounts] (アカウント) を選択します。
[アカウント] ページで、[RDS ログインアクティビティ] 列でメンバーアカウントのステータスを確認します。
-
RDS ログインアクティビティを選択的に有効または無効にするには
RDS Protection を設定するアカウントを選択します。一度に複数のアカウントを選択できます。[保護プランの編集] ドロップダウンメニューで、[RDS ログインアクティビティ] を選択し、適切なオプションを選択します。
- API/CLI
-
メンバーアカウントの RDS Protection を選択的に有効または無効にするには、ユーザー独自のディテクター ID
を使用して updateMemberDetectors API オペレーションを起動します。
次の例では、単一のメンバーアカウントに RDS Protection を有効にする方法が示されます。無効にするには、ENABLED
を DISABLED
に置き換えます。
アカウントと現在のリージョンdetectorId
の を検索するには、https://console.aws.amazon.com/guardduty/ コンソールの設定ページを参照するか、 ListDetectors API を実行します。
aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0
--account-ids 111122223333
--features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED
"}]'
スペースで区切られたアカウント ID のリストを渡すこともできます。
コードが正常に実行されると、UnprocessedAccounts
の空のリストが返されます。アカウントのディテクター設定を変更する際に問題が発生した場合は、そのアカウント ID と問題の概要が表示されます。