启动活动流时,您可能需要自定义 Amazon RDS 审计策略。如果您不想通过停止活动流而损失时间和数据,可以将审计策略状态 更改为以下设置之一:
- Locked (default) [已锁定(原定设置)]
-
数据库中的审计策略是只读的。
- Unlocked(已解锁)
-
数据库中的审计策略为读/写状态。
基本步骤如下所示:
-
将审计策略状态修改为已解锁。
-
自定义您的审计策略。
-
将审计策略状态修改为已锁定。
修改活动流的审计策略状态
-
通过以下网址打开 Amazon RDS 控制台:https://console.aws.amazon.com/rds/
。 -
在导航窗格中,选择 Databases(数据库)。
-
对于 Actions(操作),选择 Modify database activity stream(修改数据库活动流)。
Modify database activity stream:
name(修改数据库活动流:name)窗口,其中name是您的 RDS 实例。 -
请选择以下任一选项:
- Locked(已锁定)
-
当您锁定审计策略时,它会变为只读状态。除非解锁策略或停止活动流,否则您无法编辑审计策略。
- Unlocked(已解锁)
-
当您解锁审计策略时,它变为读/写状态。您可以在启动活动流时编辑您的审计策略。
-
选择 Modify DB activity stream(修改数据库活动流)。
Amazon RDS 数据库的状态显示正在配置活动流。
-
(可选)选择数据库实例链接。然后,选择配置选项卡。
Audit policy status(审计策略状态)字段显示下列值之一:
-
Locked(已锁定)
-
Unlocked(已解锁)
-
Locking policy(锁定策略)
-
Unlocking policy(解锁策略)
-
要修改数据库实例的活动流状态,请使用 AWS CLI 命令 modify-activity-stream。
| 选项 | 必填? | Description |
|---|---|---|
|
|
是 |
RDS 数据库实例的 Amazon 资源名称(ARN)。 |
|
|
否 |
您的实例上数据库活动流的审计策略的新状态: |
以下示例为在 my-instance-ARN 上启动的活动流解锁审计策略。
对于 Linux、macOS 或 Unix:
aws rds modify-activity-stream \ --resource-arnmy-instance-ARN\ --audit-policy-state unlocked
对于 Windows:
aws rds modify-activity-stream ^ --resource-arnmy-instance-ARN^ --audit-policy-state unlocked
以下示例描述了实例 my-instance。部分示例输出显示审计策略已解锁。
aws rds describe-db-instances --db-instance-identifiermy-instance{ "DBInstances": [ { ... "Engine": "oracle-ee", ... "ActivityStreamStatus": "started", "ActivityStreamKmsKeyId": "ab12345e-1111-2bc3-12a3-ab1cd12345e", "ActivityStreamKinesisStreamName": "aws-rds-das-db-AB1CDEFG23GHIJK4LMNOPQRST", "ActivityStreamMode": "async", "ActivityStreamEngineNativeAuditFieldsIncluded": true, "ActivityStreamPolicyStatus": "unlocked", ... } ] }
要修改数据库活动流的策略状态,请使用 ModifyActivityStream 操作。
使用以下参数调用操作:
-
AuditPolicyState -
ResourceArn
