Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# SQL Server Audit
In Amazon RDS können Sie Microsoft SQL Server-Datenbanken mit dem integrierten Prüfmechanismus von SQL Server überwachen. Sie können Überwachungen und Überwachungsspezifikationen genau so erstellen, wie Sie dies für lokale Datenbankserver tun.
RDS lädt die abgeschlossenen Audit-Protokolle Ihren S3-Bucket mit der von Ihnen bereitgestellten IAM-Rolle hoch. Wenn Sie die Aufbewahrung aktivieren, behält RDS Ihre Audit-Protokolle für den festgelegten Zeitraum auf Ihrer DB-Instance bei.
Weitere Informationen finden Sie unter [SQL Server Audit (Datenbank-Engine)](https://docs.microsoft.com/sql/relational-databases/security/auditing/sql-server-audit-database-engine) in der Microsoft SQL Server-Dokumentation.
## SQL-Server-Audit mit Datenbankaktivitätsstreams
Sie können Datenbankaktivitätsstreams für RDS verwenden, um SQL-Server-Audit-Ereignisse in die Tools zur Überwachung der Datenbankaktivitäten von Imperva, McAfee und IBM zu integrieren. Weitere Informationen über die Überwachung mit Datenbankaktivitätsstreams für RDS SQL Server finden Sie unter [Prüfungen in Microsoft SQL Server](DBActivityStreams.md#DBActivityStreams.Overview.SQLServer-auditing)
**Topics**
+ [SQL-Server-Audit mit Datenbankaktivitätsstreams](#Appendix.SQLServer.DAS.Audit)
+ [Support für SQL Server Audit](#Appendix.SQLServer.Options.Audit.Support)
+ [Hinzufügen von SQL Server Audit zu DB-Instance-Optionen](Appendix.SQLServer.Options.Audit.Adding.md)
+ [Verwenden von SQL Server Audit](Appendix.SQLServer.Options.Audit.CreateAuditsAndSpecifications.md)
+ [Anzeigen von Audit-Protokollen](Appendix.SQLServer.Options.Audit.AuditRecords.md)
+ [Verwenden von SQL Server Audit mit Multi-AZ-Instances](#Appendix.SQLServer.Options.Audit.Multi-AZ)
+ [Konfigurieren eines S3-Buckets](Appendix.SQLServer.Options.Audit.S3bucket.md)
+ [Manuelles Erstellen einer IAM-Rolle für SQL Server Audit](Appendix.SQLServer.Options.Audit.IAM.md)
## Support für SQL Server Audit
In Amazon RDS unterstützen ab SQL Server 2016 alle Editionen von SQL Server Überwachungen auf Serverebene. Die Enterprise-Edition unterstützt zudem Überwachungen auf Datenbankebene. Ab SQL Server 2016 (13.x) SP1 unterstützen alle Editionen sowohl Audits auf Server- als auch auf Datenbankebene. Weitere Informationen finden Sie unter [SQL Server-Audit (Datenbank-Engine)](https://docs.microsoft.com/sql/relational-databases/security/auditing/sql-server-audit-database-engine) in der SQL Server-Dokumentation.
RDS unterstützt die Konfiguration der folgenden Optionseinstellungen für SQL Server Audit.
| Optionseinstellung | Zulässige Werte | Beschreibung |
| --- | --- | --- |
| IAM\$1ROLE\$1ARN | Ein gültiger Amazon Resource Name (ARN) im Format arn:aws:iam::account-id:role/role-name. | Der ARN der IAM-Rolle, der Zugriff auf den S3-Bucket gewährt, in dem Sie Ihre Audit-Protokolle speichern möchten. Weitere Informationen finden Sie unter [Amazon-Ressourcennamen (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arn-syntax-iam) im Allgemeine AWS-Referenz. |
| S3\$1BUCKET\$1ARN | Ein gültiger ARN im Format arn:aws:s3:::amzn-s3-demo-bucket oder arn:aws:s3:::amzn-s3-demo-bucket/key-prefix | Der ARN für den S3-Bucket, in dem Sie Ihre Audit-Protokolle speichern möchten. |
| ENABLE\$1COMPRESSION | true oder false | Steuert die Komprimierung des Überwachungsprotokolls. Standardmäßig ist die Komprimierung aktiviert (auf gesetz true). |
| RETENTION\$1TIME | 0 auf 840 | Die Aufbewahrungszeit (in Stunden), die SQL Server-Audit-Protokolle auf der RDS-Instance gespeichert werden. Die Aufbewahrung ist standardmäßig aktiviert. |
# Hinzufügen von SQL Server Audit zu DB-Instance-Optionen
Die Aktivierung von SQL Server Audit erfordert zwei Schritte: das Aktivieren der Option auf der DB-Instance und das Aktivieren der Funktion in SQL Server. Der Prozess für das Hinzufügen der SQL Server Audit-Option zu einer DB-Instance ist wie folgt:
1. Erstellen Sie eine neue Optionsgruppe oder kopieren oder ändern Sie eine bestehende Optionsgruppe.
1. Fügen Sie alle erforderlichen Optionen hinzu und konfigurieren Sie diese.
1. Ordnen Sie die Optionsgruppe der DB-Instance zu.
Nachdem Sie die SQL Server Audit-Option hinzugefügt haben, ist kein Neustart der DB-Instance erforderlich. Sobald die Optionsgruppe aktiv ist, können Sie Überwachungen erstellen und Audit-Protokolle in Ihrem S3-Bucket speichern.
**So fügen Sie SQL Server Audit-Optionen zur Optionsgruppe einer DB-Instance hinzu und konfigurieren sie**
1. Wählen Sie eine der folgenden Optionen aus:
+ Verwenden einer vorhandenen Optionsgruppe.
+ Erstellen einer benutzerdefinierten DB-Optionsgruppe und verwenden der Optionsgruppe. Weitere Informationen finden Sie unter [Erstellen einer Optionsgruppe](USER_WorkingWithOptionGroups.md#USER_WorkingWithOptionGroups.Create).
1. Fügen Sie die Option **SQLSERVER\$1AUDIT** zur Optionsgruppe hinzu, und konfigurieren Sie die Optionseinstellungen. Weitere Informationen über das Hinzufügen von Optionen finden Sie unter [Hinzufügen einer Option zu einer Optionsgruppe](USER_WorkingWithOptionGroups.md#USER_WorkingWithOptionGroups.AddOption).
+ Wenn Sie bereits eine IAM-Rolle mit den erforderlichen Richtlinien haben, können Sie für **IAM role (IAM-Rolle)** diese Rolle auswählen. Zum Erstellen einer neuen IAM-Rolle wählen Sie **Create a New Role (Neue Rolle erstellen)** aus. Informationen zu den erforderlichen Richtlinien finden Sie unter [Manuelles Erstellen einer IAM-Rolle für SQL Server Audit](Appendix.SQLServer.Options.Audit.IAM.md).
+ Wenn Sie bereits einen S3-Bucket haben, den Sie verwenden möchten, wählen Sie diesen für **Select S3 destination (S3-Ziel auswählen)** aus.. Um einen S3-Bucket zu erstellen, wählen Sie **Einen neuen S3-Bucket erstellen** aus.
+ Lassen die Option **Enable Compression (Komprimierung aktivieren)** aktiviert, um Überwachungsdateien zu komprimieren. Die Komprimierung ist standardmäßig aktiviert. Deaktivieren Sie das Kontrollkästchen **Enable Compression (Komprimierung aktivieren)**, wenn keine Komprimierung erfolgen soll.
+ Wählen Sie für die Aufbewahrung von Überwachungsdatensätzen auf der DB-Instance die Option **Audit log retention (Aufbewahrung von Audit-Protokollen)** aus. Geben Sie einen Aufbewahrungszeitraum in Stunden an. Die maximale Aufbewahrungsdauer beträgt 35 Tage.
1. Wenden Sie die Optionsgruppe auf eine neue oder vorhandene DB-Instance an. Wählen Sie eine der folgenden Optionen aus:
+ Wenn Sie eine neue DB-Instance erstellen, weisen Sie die Optionsgruppe beim Start der Instance zu.
+ Weisen Sie bei einer bestehenden DB-Instance die Optionsgruppe zu, indem Sie die Instance ändern und die neue Optionsgruppe anhängen. Weitere Informationen finden Sie unter [Ändern einer Amazon-RDS-DB-Instance](Overview.DBInstance.Modifying.md).
## Ändern der SQL Server Audit-Option
Nach dem Aktivieren der SQL Server Audit-Option können Sie die Einstellungen ändern. Weitere Informationen über das Ändern von Optionseinstellungen finden Sie unter [Ändern einer Optionseinstellung](USER_WorkingWithOptionGroups.md#USER_WorkingWithOptionGroups.ModifyOption).
## Entfernen von SQL Server Audit aus DB-Instance-Optionen
Sie können die SQL Server Audit-Funktion ausschalten, indem Sie Überwachungen deaktivieren und dann die Option löschen.
**So wird die Überwachung entfernt**
1. Deaktivieren Sie alle Überwachungseinstellungen in SQL Server. Fragen Sie die SQL Server-Sicherheitskatalogansichten ab, um herauszufinden, wo Überwachungen durchgeführt werden. Weitere Informationen finden Sie unter [Sicherheitskatalogansichten](https://docs.microsoft.com/sql/relational-databases/system-catalog-views/security-catalog-views-transact-sql) in der Microsoft SQL Server-Dokumentation.
1. Löschen Sie die SQL Server Audit-Option von der DB-Instance. Wählen Sie eine der folgenden Optionen aus:
+ Löschen Sie die SQL Server Audit-Option aus der Optionsgruppe, die von der DB-Instance verwendet wird. Diese Änderung wirkt sich auf alle DB-Instances aus, die dieselbe Optionsgruppe verwenden. Weitere Informationen finden Sie unter [Entfernen einer Option aus einer Optionsgruppe](USER_WorkingWithOptionGroups.md#USER_WorkingWithOptionGroups.RemoveOption).
+ Ändern Sie die DB-Instance und wählen Sie dann eine Optionsgruppe ohne SQL Server Audit-Option aus. Diese Änderung wirkt sich nur auf die DB-Instance aus, die Sie modifizieren. Sie können die (leere) Standardoptionsgruppe oder eine andere benutzerdefinierte Optionsgruppe angeben. Weitere Informationen finden Sie unter [Ändern einer Amazon-RDS-DB-Instance](Overview.DBInstance.Modifying.md).
1. Nach dem Löschen der SQL Server Audit-Option aus der DB-Instance müssen Sie die Instance nicht neu starten. Entfernen Sie nicht benötigte Überwachungsdateien aus Ihrem S3-Bucket.
# Verwenden von SQL Server Audit
Sie können Serverüberwachungen, Serverüberwachungs-Spezifikationen und Datenbanküberwachungs-Spezifikationen auf dieselbe Art steuern, wie Sie dies auch für Ihre lokalen Datenbankserver tun.
## Erstellen von Überwachungen
Sie erstellen Serverüberwachungen auf die gleiche Art wie Sie auch Überwachungen für lokale Datenbankserver erstellen. Weitere Informationen zum Erstellen von Serverüberwachungen finden Sie unter [CREATE SERVER AUDIT](https://docs.microsoft.com/sql/t-sql/statements/create-server-audit-transact-sql) in der Microsoft SQL Server-Dokumentation.
Halten Sie sich an die folgenden Beschränkungen, um Fehler zu vermeiden:
+ Überschreiten Sie nicht die maximale Anzahl unterstützter Serverüberwachungen von 50 pro Instance.
+ Weisen Sie SQL Server an, Daten in eine Binärdatei zu schreiben.
+ Verwenden Sie `RDS_` nicht als Präfix im Serverüberwachungsnamen.
+ Legen Sie für `FILEPATH` die Option `D:\rdsdbdata\SQLAudit` fest.
+ Geben Sie für `MAXSIZE` eine Größe zwischen 2 MB und 50 MB an.
+ Konfigurieren Sie nicht `MAX_ROLLOVER_FILES` oder `MAX_FILES`.
+ Konfigurieren Sie SQL Server nicht so, dass die DB-Instance heruntergefahren wird, wenn das Schreiben in den Überwachungsdatensatz fehlschlägt.
## Erstellen von Überwachungsspezifikationen
Sie erstellen Spezifikationen für Server- und Datenbanküberwachungen auf dieselbe Art und Weise, wie Sie dies auch für lokale Datenbankserver tun. Informationen zum Erstellen von Überwachungsspezifikationen finden Sie unter [CREATE SERVER AUDIT SPECIFICATION](https://docs.microsoft.com/sql/t-sql/statements/create-server-audit-specification-transact-sql) und [CREATE DATABASE AUDIT SPECIFICATION](https://docs.microsoft.com/sql/t-sql/statements/create-database-audit-specification-transact-sql) in der Microsoft SQL Server-Dokumentation.
Verwenden Sie `RDS_` nicht als Präfix im Namen der Spezifikation für die Server- oder Datenbanküberwachung, um Fehler zu vermeiden.
# Anzeigen von Audit-Protokollen
Ihre Audit-Protokolle werden in gespeicher `D:\rdsdbdata\SQLAudit`.
Nachdem SQL das Schreiben in die Audit-Protokolldatei abgeschlossen hat – nachdem die maximale Dateigröße erreicht wurde – lädt Amazon RDS die Datei in den S3-Bucket. Wenn die Aufbewahrung aktiviert ist, verschiebt Amazon RDS die Datei in den Aufbewahrungsordner: `D:\rdsdbdata\SQLAudit\transmitted`.
Informationen zu dem Konfigurieren der Aufbewahrung finden Sie unter [Hinzufügen von SQL Server Audit zu DB-Instance-Optionen](Appendix.SQLServer.Options.Audit.Adding.md).
Überwachungsdatensätze werden auf der DB-Instance aufbewahrt, bis die Audit-Protokolldatei hochgeladen wurde. Sie können die Überwachungsdatensätze anzeigen, wenn Sie den folgenden Befehl ausführen.
```
SELECT *
FROM msdb.dbo.rds_fn_get_audit_file
('D:\rdsdbdata\SQLAudit\*.sqlaudit'
, default
, default )
```
Sie können denselben Befehl zum Anzeigen der Überwachungsdatensätze in Ihrem Aufbewahrungsordner verwenden, indem Sie den Filter in änder `D:\rdsdbdata\SQLAudit\transmitted\*.sqlaudit`.
```
SELECT *
FROM msdb.dbo.rds_fn_get_audit_file
('D:\rdsdbdata\SQLAudit\transmitted\*.sqlaudit'
, default
, default )
```
## Verwenden von SQL Server Audit mit Multi-AZ-Instances
Bei Multi-AZ-Instances ähnelt der Prozess zum Senden von Audit-Protokolldateien an Amazon S3 dem Prozess bei Single-AZ-Instances. Es gibt jedoch einige wichtige Unterschiede:
+ Objekte der Spezifikation der Datenbanküberwachung werden auf allen Knoten repliziert.
+ Serverüberwachungen und Spezifikationen für Serverüberwachungen werden nicht auf sekundäre Knoten repliziert. Stattdessen müssen Sie diese manuell erstellen oder ändern.
So werden Serverüberwachungen oder eine Spezifikation für die Serverüberwachung von beiden Knoten erfasst:
1. Erstellen Sie eine Serverüberwachung oder eine Spezifikation für die Serverüberwachung auf dem primären Knoten.
1. Führen Sie ein Failover auf den sekundären Knoten durch und erstellen Sie eine Serverüberwachung oder eine Spezifikation für die Serverüberwachung mit demselben Namen und derselben GUID auf dem sekundären Knoten. Geben Sie die GUID mit dem Parameter `AUDIT_GUID` an.
# Konfigurieren eines S3-Buckets
Die Audit-Protokolldateien werden automatisch von der DB-Instance in Ihren S3-Bucket hochgeladen. Für den S3-Bucket, den Sie als Ziel für die Überwachungsdateien verwenden, gelten folgende Einschränkungen:
+ Sie muss sich in derselben AWS Region und demselben AWS Konto wie die DB-Instance befinden.
+ Er darf nicht öffentlich zugänglich sein.
+ Der Bucket-Eigentümer muss auch der Eigentümer der IAM-Rolle sein.
+ Ihre IAM-Rolle muss über Berechtigungen für den vom Kunden verwalteten KMS-Schlüssel verfügen, der mit der serverseitigen S3-Bucket-Verschlüsselung verknüpft ist.
Der Zielschlüssel, der zum Speichern der Daten verwendet wird, unterliegt folgendem Benennungsschema: `amzn-s3-demo-bucket/key-prefix/instance-name/audit-name/node_file-name.ext`
**Anmerkung**
Sie legen sowohl den Bucket-Namen als auch die Schlüsselpräfixwerte mit der Optionseinstellung `S3_BUCKET_ARN` fest.
Das Schema besteht aus den folgenden Elementen:
+ ***amzn-s3-demo-bucket*** – Der Name des S3-Buckets.
+ **`key-prefix`** – Das benutzerdefinierte Schlüsselpräfix, das Sie für die Audit-Protokolle verwenden möchten.
+ **`instance-name`** – Der Name Ihrer Amazon-RDS-Instance.
+ **`audit-name`** – Der Namen der Überwachung.
+ **`node`** – Die Kennung des Knotens, der die Quelle der Audit-Protokolle ist (`node1` oder `node2`). Es gibt einen Knoten für die Single-AZ-Instance und zwei Replikationsknoten für eine Multi-AZ-Instance. Dies sind keine primären und sekundären Knoten, da sich die Rolle für primär und sekundär mit der Zeit ändert. Stattdessen ist die Knoten-ID eine einfache Beschriftung.
+ **`node1`** – Der erste Replikationsknoten (bei Single-AZ gibt es nur einen Knoten).
+ **`node2`** – Der zweite Replikationsknoten (bei Multi-AZ gibt es zwei Knoten).
+ **`file-name`** – Der Name der Zieldatei. Der Dateiname wird von SQL Server unverändert übernommen.
+ **`ext`** – Die Erweiterung der Datei (`zip` oder `sqlaudit`):
+ **`zip`** – Bei aktivierter Komprimierung (Standard).
+ **`sqlaudit`** – Bei nicht aktivierter Komprimierung.
# Manuelles Erstellen einer IAM-Rolle für SQL Server Audit
Wenn Sie eine neue Option erstellen, werden in der Regel die IAM-Rolle und die IAM-Vertrauensrichtlinie für Sie AWS-Managementkonsole erstellt. Sie können jedoch manuell eine neue IAM-Rolle für die Verwendung mit SQL Server Audits erstellen, sodass Sie diese an mögliche weitere Anforderungen anpassen können. Dazu erstellen Sie eine IAM-Rolle und delegieren Berechtigungen, sodass der Amazon RDS-Service Ihren Amazon S3-Bucket verwenden kann. Beim Anlegen dieser IAM-Rolle geben Sie Vertrauens- und Berechtigungsrichtlinien an. Die Vertrauensrichtlinie erlaubt es Amazon RDS, diese Rolle zu übernehmen. Die Berechtigungsrichtlinie definiert die Aktionen, die über diese Rolle ausgeführt werden können. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen für einen AWS Dienst](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *AWSIdentity and Access Management-Benutzerhandbuch*.
Sie können anhand der Beispiele in diesem Abschnitt die benötigten Vertrauensbeziehungen und Berechtigungsrichtlinien erstellen.
Das folgende Beispiel zeigt eine Vertrauensbeziehung für SQL Server Audit. Das *Service-Prinzipal* `rds.amazonaws.com` kommt zum Einsatz, um RDS das Schreiben in den S3-Bucket zu erlauben. Ein*Service-Prinzipal* ist eine Kennung, die verwendet wird, um einem Service Berechtigungen zu erteilen. Wann immer Sie auf diese Art Zugriff auf `rds.amazonaws.com` gewähren, erlauben Sie RDS, eine Aktion in Ihrem Namen auszuführen. Weitere Informationen zu Service-Prinzipalen finden Sie unter [AWSJSON-Richtlinienelemente: Prinzipal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
**Example Vertrauensbeziehung für SQL Server Audit**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "rds.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
Wir empfehlen die Verwendung der globalen Bedingungskontextschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) und [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) in ressourcenbasierten Vertrauensbeziehungen, um die Berechtigungen des Services auf eine bestimmte Ressource zu beschränken. Dies ist der effektivste Weg, um sich vor dem [verwirrtes Stellvertreterproblem](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) zu schützen.
Sie können beide globalen Bedingungskontextschlüssel verwenden und der Wert `aws:SourceArn` enthält die Konto-ID. Stellen Sie in diesen Fällen sicher, dass der Wert `aws:SourceAccount` und das Konto im Wert `aws:SourceArn` dieselbe Konto-ID verwenden, wenn sie in derselben Anweisung verwendet werden.
+ Verwenden von `aws:SourceArn` wenn Sie einen serviceübergreifenden Zugriff für eine einzelne Ressource wünschen.
+ Verwenden von `aws:SourceAccount` wenn Sie zulassen möchten, dass eine Ressource in diesem Konto mit der betriebsübergreifenden Verwendung verknüpft wird.
Stellen Sie in der Vertrauensbeziehung sicher, dass Sie den globalen Bedingungskontextschlüssel `aws:SourceArn` mit dem vollständigen Amazon-Ressourcennamen (ARN) der Ressourcen verwenden, die auf die Rolle zugreifen. Stellen Sie bei SQL Server Audit sicher, dass Sie sowohl die DB-Optionsgruppe als auch die DB-Instances einschließen, wie im folgenden Beispiel gezeigt.
**Example Vertrauensbeziehung mit dem globalen Bedingungskontextschlüssel für SQL Server Audit**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "rds.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceArn": [
"arn:aws:rds:Region:my_account_ID:db:db_instance_identifier",
"arn:aws:rds:Region:my_account_ID:og:option_group_name"
]
}
}
}
]
}
```
Im folgenden Beispiel einer Berechtigungsrichtlinie für SQL Server Audit, wird ein ARN für den Amazon S3 Bucket angegeben. Sie können ARNs damit ein bestimmtes Konto, einen bestimmten Benutzer oder eine bestimmte Rolle identifizieren, für die Sie Zugriff gewähren möchten. Weitere Informationen zur Verwendung ARNs finden Sie unter [Amazon-Ressourcennamen (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
**Example Berechtigungsrichtlinie für SQL Server Audit**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketACL",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/key_prefix/*"
}
]
}
```
**Anmerkung**
Die `s3:ListAllMyBuckets` Aktion ist erforderlich, um zu überprüfen, ob dasselbe AWS Konto sowohl den S3-Bucket als auch die SQL Server-DB-Instance besitzt. Die Aktion listet die Namen der Buckets in dem Konto auf.
S3-Bucket-Namespaces sind global. Wenn Sie Ihren Bucket versehentlich löschen, kann ein anderer Benutzer einen Bucket mit demselben Namen in einem anderen Konto erstellen. Dann werden die SQL Server-Prüfungsdaten in den neuen Bucket geschrieben.