Supervisión de Amazon Aurora con flujos de actividad de la base de datos - Amazon Aurora
Descripción general

Supervisión de Amazon Aurora con flujos de actividad de la base de datos

Mediante la característica de flujos de actividad de la base de datos, puede supervisar flujos de actividad de la base de datos prácticamente en tiempo real.

Temas

Información general sobre flujos de actividad de la base de datos

Como administrador de base de datos de Amazon Aurora, debe proteger su base de datos y cumplir los requisitos normativos y de conformidad. Una estrategia es integrar flujos de actividad de la base de datos con sus herramientas de monitoreo. De esta manera, monitoriza y configura alarmas para la actividad de auditoría en su clúster de Amazon Aurora.

Las amenazas de seguridad son tanto externas como internas. Para protegerse contra amenazas internas, puede controlar el acceso del administrador a los flujos de datos mediante la configuración de la característica de flujos de actividad de la base de datos. Los DBA de no tienen acceso a la recopilación, transmisión, almacenamiento ni procesamiento de los flujos.

Cómo funcionan los flujos de actividad de la base de datos

En Amazon Aurora, el flujo de actividad de la base de datos se inicia en el nivel del clúster. Todas las instancias de base de datos del clúster tienen habilitadas los flujos de actividad de la base de datos.

Su clúster de base de datos de Aurora envía actividades a un flujo de datos de Amazon Kinesis prácticamente en tiempo real. El flujo de Kinesis se crea automáticamente. Desde Kinesis, puede configurar servicios de AWS como Amazon Data Firehose y AWS Lambda para utilizar el flujo y almacenar los datos.

importante

La característica de flujo de actividad de la base de datos en Amazon Aurora se puede utilizar de forma gratuita, pero Amazon Kinesis cobra por un flujo de datos. Para obtener más información, consulte los Precios de Amazon Kinesis Data Streams.

Si utiliza una base de datos global de Aurora, inicie un flujo de actividad de base de datos en cada clúster de base de datos por separado. Cada clúster suministra datos de auditoría a su propio flujo de Kinesis dentro de su propia Región de AWS. Los flujos de actividad no funcionan de forma diferente durante una conmutación por error. Siguen auditando su base de datos global como siempre.

Puede configurar aplicaciones para administrar la conformidad para consumir los flujos de actividad de la base de datos. Para Aurora PostgreSQL, las aplicaciones de conformidad incluyen Security Guardium de IBM y SecureSphere Database Audit and Protection de Imperva. Esas aplicaciones pueden utilizar el flujo para generar alertas y auditar la actividad del clúster de base de datos de Aurora.

En el gráfico siguiente, se muestra un clúster de bases de datos de Aurora configurado con Amazon Data Firehose.

Diagrama de arquitectura con los flujos de actividad de base de datos de un clúster de base de datos de Aurora consumido por Firehose

Modo asíncrono y síncrono para flujos de actividad de la base de datos

Puede elegir que la sesión de la base de datos gestione los eventos de actividad de la base de datos en cualquiera de los siguientes modos:

  • Modo asíncrono: cuando una sesión de la base de datos genere un evento de flujo de actividad, la sesión volverá de inmediato a las actividades normales. En segundo plano, el evento de flujo de actividad se convertirá en un registro permanente. Si se produce un error en la tarea en segundo plano, se enviará un evento RDS. Dicho evento marca el principio y el fin de todo período de tiempo en el que podrían haberse perdido registros de eventos de la secuencia de actividades.

    El modo asíncrono favorece el rendimiento de la base de datos con respecto a la precisión de la secuencia de actividades.

    nota

    El modo asíncrono está disponible tanto para Aurora PostgreSQL como para Aurora MySQL.

  • Modo síncrono: cuando una sesión de la base de datos genera un evento de flujo de actividad, la sesión bloquea otras actividades hasta que el evento sea permanente. Si, por algún motivo, no se puede conseguir que el evento sea permanente, la sesión de la base de datos volverá a las actividades normales. Sin embargo, se enviará un evento RDS para indicar que podrían haberse perdido registros de la secuencia de actividades durante algún tiempo. Cuando el estado del sistema vuelva a ser bueno, se enviará otro evento RDS.

    El modo síncrono favorece la precisión de la secuencia de actividades con respecto al rendimiento de la base de datos.

    nota

    El modo sincrónico está disponible para Aurora PostgreSQL. No puede usar el modo sincrónico con Aurora MySQL.

Requisitos y limitaciones de los flujos de actividad de la base de datos

En Aurora, los flujos de actividad de la base de datos tienen los límites y los requisitos siguientes:

  • Los flujos de actividad de la base de datos requieren Amazon Kinesis.

  • Se requiere AWS Key Management Service (AWS KMS) porque los flujos de actividad de la base de datos siempre están cifrados.

  • La aplicación de cifrado adicional al flujo de datos de Amazon Kinesis no es compatible con los flujos de actividad de la base de datos, que ya están cifrados con su clave AWS KMS.

  • Inicie el flujo de actividad de la base de datos en el nivel de clúster de la base de datos. Si agrega una instancia de base de datos a su clúster, no deberá iniciar un flujo de actividad en la instancia pues se audita automáticamente.

  • Si utiliza una base de datos global de Aurora, inicie un flujo de actividad en cada clúster de base de datos por separado. Cada clúster suministra datos de auditoría a su propio flujo de Kinesis dentro de su propia Región de AWS.

  • En Aurora PostgreSQL, asegúrese de detener el flujo de actividad de la base de datos antes de realizar una actualización. Puede iniciar el flujo de actividad de la base de datos una vez finalizada la actualización.

Disponibilidad en regiones y versiones

La disponibilidad de las características varía según las versiones específicas de cada motor de base de datos de Aurora y entre Regiones de AWS. Para obtener más información sobre la disponibilidad de versiones y regiones con Aurora y las secuencias de actividades de base de datos, consulte Regiones y motores de base de datos Aurora admitidos para los flujos de actividad de bases de datos.

Clases de instancia de base de datos admitidas para los flujos de actividad de la base de datos

Para Aurora MySQL, puede usar flujos de actividad de la base de datos con las siguientes clases de instancia de base de datos:

  • db.r8g.*large

  • db.r7g.*large

  • db.r7i.*large

  • db.r6g.*large

  • db.r6i.*large

  • db.r5.*large

  • db.x2g.*

Para Aurora PostgreSQL, puede usar flujos de actividad de la base de datos con las siguientes clases de instancia de base de datos:

  • db.r8g.*large

  • db.r7i.*large

  • db.r7g.*large

  • db.r6g.*large

  • db.r6i.*large

  • db.r6id.*large

  • db.r5.*large

  • db.r4.*large

  • db.x2g.*