Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Con la registrazione di controllo Db2, Amazon RDS registra l'attività del database, inclusi gli utenti che accedono al database e le query eseguite sul database. RDS carica i log di controllo completati nel tuo bucket Amazon S3, utilizzando il ruolo AWS Identity and Access Management (IAM) che fornisci.
Argomenti
Configurazione della registrazione di controllo Db2
Per abilitare la registrazione di controllo per un database Amazon RDS for Db2, abiliti l'DB2_AUDITopzione sull'istanza DB RDS for Db2. Quindi, configura una politica di controllo per abilitare la funzionalità per il database specifico. Per abilitare l'opzione sull'istanza DB RDS for Db2, configurate le impostazioni delle opzioni per l'DB2_AUDITopzione. A tale scopo, fornisci ad Amazon Resource Names (ARNs) per il tuo bucket Amazon S3 e al ruolo IAM le autorizzazioni per accedere al tuo bucket.
Per configurare la registrazione di controllo Db2 per un database RDS for Db2, completa i seguenti passaggi.
Argomenti
Fase 1: creazione di un bucket Amazon S3
Se non l'hai già fatto, crea un bucket Amazon S3 in cui Amazon RDS può caricare i file di log di controllo del database RDS for Db2. Per il bucket S3 utilizzato come destinazione dei file dell'audit valgono le seguenti restrizioni:
-
Deve essere uguale alla tua istanza DB RDS Regione AWS for Db2.
-
Non deve essere aperto al pubblico.
-
Il proprietario del bucket deve essere anche il proprietario del ruolo IAM.
Per informazioni su come creare un bucket Amazon S3, consulta Creating a bucket nella Amazon S3 User Guide.
Dopo aver abilitato la registrazione di controllo, Amazon RDS invia automaticamente i log dall'istanza DB alle seguenti posizioni:
-
Registri a livello di istanza DB:
bucket_name/db2-audit-logs/dbi_resource_id/date_time_utc/ -
Registri a livello di database:
bucket_name/db2-audit-logs/dbi_resource_id/date_time_utc/db_name/
Prendi nota dell'Amazon Resource Name (ARN) per il tuo bucket. Queste informazioni sono necessarie per completare i passaggi successivi.
Fase 2: Creare una policy IAM
Crea una policy IAM con le autorizzazioni necessarie per trasferire i file di log di controllo dall'istanza DB al bucket Amazon S3. Questo passaggio presuppone che tu disponga di un bucket S3.
Prima di creare la politica, raccogli le seguenti informazioni:
-
L'ARN per il tuo bucket.
-
L'ARN per la tua chiave AWS Key Management Service (AWS KMS), se il tuo bucket utilizza SSE-KMS crittografia.
Crea una policy IAM che includa le seguenti autorizzazioni:
"s3:ListBucket", "s3:GetBucketACL", "s3:GetBucketLocation", "s3:PutObject", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload", "s3:ListAllMyBuckets"
Nota
Amazon RDS necessita dell's3:ListAllMyBucketsazione interna per verificare che lo stesso sia Account AWS proprietario sia del bucket S3 che dell'istanza DB RDS for Db2.
Se il tuo bucket utilizza SSE-KMS crittografia, includi anche le seguenti autorizzazioni:
"kms:GenerateDataKey", "kms:Decrypt"
È possibile creare una policy IAM utilizzando AWS Management Console o il AWS Command Line Interface (AWS CLI).
Per creare una policy IAM per consentire ad Amazon RDS l'accesso a un bucket Amazon S3
Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel riquadro di navigazione, scegli Policy.
-
Scegli Crea policy, quindi scegli JSON.
-
In Aggiungi azioni, filtra per S3. Aggiungi accesso ListBucketGetBucketAcle GetBucketLocation.
-
Per Aggiungi una risorsa, scegli Aggiungi. Per Tipo di risorsa, scegli bucket e inserisci il nome del bucket. Quindi, scegli Aggiungi risorsa.
-
Scegli Aggiungi nuova dichiarazione.
-
In Aggiungi azioni, filtra per S3. Aggiungi accesso PutObjectListMultipartUploadPartse AbortMultipartUpload.
-
Per Aggiungi una risorsa, scegli Aggiungi. Per Tipo di risorsa, scegliete oggetto e immettete
your bucket name/*. Quindi, scegliete Aggiungi risorsa. -
Scegli Aggiungi nuova dichiarazione.
-
In Aggiungi azioni, filtra per S3. Aggiungi accesso ListAllMyBuckets.
-
Per Aggiungi una risorsa, scegli Aggiungi. Per Tipo di risorsa, scegli Tutte le risorse. Quindi, scegli Aggiungi risorsa.
-
Se utilizzi le tue chiavi KMS per crittografare i dati:
-
Scegli Aggiungi nuova dichiarazione.
-
In Aggiungi azioni, filtra per KMS. Aggiungi accesso GenerateDataKeye decrittografa.
-
Per Aggiungi una risorsa, scegli Aggiungi. Per Tipo di risorsa, scegli Tutte le risorse. Quindi, scegli Aggiungi risorsa.
-
-
Scegli Next (Successivo).
-
Per Nome della politica, inserisci un nome per questa politica.
-
(Facoltativo) In Descrizione, inserire una descrizione per questa politica.
-
Scegli Create Policy (Crea policy).
Per creare una policy IAM per consentire ad Amazon RDS l'accesso a un bucket Amazon S3
-
Eseguire create-policycomando. Nell'esempio seguente, sostituisci
iam_policy_nameeamzn-s3-demo-bucketcon un nome per la tua policy IAM e il nome del bucket Amazon S3 di destinazione.In Linux, macOS, oppure Unix:
aws iam create-policy \ --policy-nameiam_policy_name\ --policy-document '{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketAcl", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket" ] }, { "Sid": "Statement2", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket/*" ] }, { "Sid": "Statement3", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": [ "*" ] }, { "Sid": "Statement4", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": [ "*" ] } ] }'In Windows:
aws iam create-policy ^ --policy-nameiam_policy_name^ --policy-document '{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "s3:ListBucket", "s3:GetBucketAcl", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket" ] }, { "Sid": "Statement2", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload" ], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket/*" ] }, { "Sid": "Statement3", "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": [ "*" ] }, { "Sid": "Statement4", "Effect": "Allow", "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": [ "*" ] } ] }' -
Dopo aver creato la policy, annota l'ARN della policy. Ti serve l'ARN per. Fase 3: Crea un ruolo IAM e allega la tua policy IAM
Per informazioni sulla creazione di una policy IAM, consulta Creating IAM policies nella IAM User Guide.
Fase 3: Crea un ruolo IAM e allega la tua policy IAM
Questo passaggio presuppone che tu abbia creato la policy IAM inFase 2: Creare una policy IAM. In questo passaggio, crei un ruolo IAM per la tua istanza DB RDS for Db2 e quindi alleghi la tua policy IAM al ruolo.
Puoi creare un ruolo IAM per la tua istanza DB utilizzando la console o il. AWS CLI
Per creare un ruolo IAM e allegare ad esso la tua policy IAM
Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel pannello di navigazione, seleziona Roles (Ruoli).
-
Selezionare Create role (Crea ruolo).
-
Per il tipo di entità affidabile, seleziona Servizio AWS.
-
Per Servizio o caso d'uso, seleziona RDS, quindi seleziona RDS — Aggiungi ruolo al database.
-
Scegli Next (Successivo).
-
Per le politiche di autorizzazione, cerca e seleziona il nome della policy IAM che hai creato.
-
Scegli Next (Successivo).
-
In Role name, (Nome ruolo), inserisci un nome.
-
(Facoltativo) In Description (Descrizione), inserisci una descrizione per il nuovo ruolo.
-
Scegliere Crea ruolo.
Per creare un ruolo IAM e allegare ad esso la tua policy IAM
-
Eseguire create-rolecomando. Nell'esempio seguente, sostituiscilo
iam_role_namecon un nome per il tuo ruolo IAM.In Linux, macOS, oppure Unix:
aws iam create-role \ --role-nameiam_role_name\ --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "rds.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }'In Windows:
aws iam create-role ^ --role-nameiam_role_name^ --assume-role-policy-document '{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "rds.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }' -
Dopo aver creato il ruolo, annota l'ARN di questo ruolo. È necessario questo ARN per il passaggio successivo,. Fase 4: Configurare un gruppo di opzioni per la registrazione di controllo Db2
-
Eseguire attach-role-policycomando. Nell'esempio seguente, sostituisci
iam_policy_arncon l'ARN della policy IAM in cui hai creato. Fase 2: Creare una policy IAM Sostituisciloiam_role_namecon il nome del ruolo IAM che hai appena creato.In Linux, macOS, oppure Unix:
aws iam attach-role-policy \ --policy-arniam_policy_arn\ --role-nameiam_role_nameIn Windows:
aws iam attach-role-policy ^ --policy-arniam_policy_arn^ --role-nameiam_role_name
Per ulteriori informazioni, consulta la pagina relativa alla creazione di un ruolo per delegare le autorizzazioni a un utente IAM nella Guida per l'utente IAM.
Fase 4: Configurare un gruppo di opzioni per la registrazione di controllo Db2
Il processo per aggiungere l'opzione di registrazione di controllo Db2 a un'istanza DB RDS for Db2 è il seguente:
-
Creare un nuovo gruppo di opzioni oppure copiare o modificare un gruppo di opzioni esistente.
-
Aggiungere e configurare tutte le opzioni necessarie.
-
Associare il gruppo di opzioni a questa istanza database.
Dopo aver aggiunto l'opzione di registrazione di controllo Db2, non è necessario riavviare l'istanza DB. Non appena il gruppo di opzioni diventa attivo, è possibile creare audit e archiviarne i log nel bucket S3.
Per aggiungere e configurare la registrazione di controllo Db2 sul gruppo di opzioni di un'istanza DB
-
Scegliere una delle seguenti opzioni:
-
Utilizzare un gruppo di opzioni esistente.
-
Crea un gruppo di opzioni DB personalizzato e usa quel gruppo di opzioni. Per ulteriori informazioni, consulta Creazione di un gruppo di opzioni.
-
-
Aggiungete l'opzione DB2_AUDIT al gruppo di opzioni e configurate le impostazioni delle opzioni. Per ulteriori informazioni sull'aggiunta di opzioni, consulta Aggiunta di un'opzione a un gruppo di opzioni.
-
Per IAM_ROLE_ARN, inserisci l'ARN del ruolo IAM in cui hai creato. Fase 3: Crea un ruolo IAM e allega la tua policy IAM
-
Per S3_BUCKET_ARN, inserisci l'ARN del bucket S3 da utilizzare per i log di controllo Db2. Il bucket deve trovarsi nella stessa regione dell'istanza DB RDS for Db2. La policy associata al ruolo IAM che hai inserito deve consentire le operazioni richieste su questa risorsa.
-
-
Applicare il gruppo di opzioni a un'istanza database nuova o esistente. Scegliere una delle seguenti opzioni:
-
Se si sta creando una nuova istanza database, applicare il gruppo di opzioni quando viene avviata l'istanza.
-
In un'istanza database esistente, applicare il gruppo di opzioni modificando l'istanza e poi collegando il nuovo gruppo di opzioni. Per ulteriori informazioni, consulta Modifica di un'istanza Amazon RDS DB.
-
Fase 5: Configurare la politica di controllo
Per configurare la politica di controllo per il database RDS for Db2, connettiti al rdsadmin database utilizzando il nome utente e la password principale per l'istanza DB RDS for Db2. Quindi, richiama la rdsadmin.configure_db_audit stored procedure con il nome DB del database e i valori dei parametri applicabili.
L'esempio seguente si connette al database e configura una politica di controllo per testdb le categorie AUDIT, CHECKING, OBJMAINT, SECMAINT, SYSADMIN e VALIDATE. Il valore di status BOTH registra gli esiti positivi e negativi e, per impostazione predefinita, è impostato su. ERROR TYPE NORMAL Per ulteriori informazioni su come utilizzare questa stored procedure, vedere. rdsadmin.configure_db_audit
db2 "connect to rdsadmin usermaster_userusingmaster_password" db2 "call rdsadmin.configure_db_audit('testdb', 'ALL', 'BOTH', ?)"
Fase 6: Verificare la configurazione di controllo
Per assicurarti che la tua politica di controllo sia impostata correttamente, controlla lo stato della configurazione di controllo.
Per verificare la configurazione, connettiti al rdsadmin database utilizzando il nome utente principale e la password principale per l'istanza DB RDS for Db2. Quindi, esegui la seguente istruzione SQL con il nome DB del tuo database. Nell'esempio seguente, il nome del DB ètestdb.
db2 "select task_id, task_type, database_name, lifecycle, varchar(bson_to_json(task_input_params), 500) as task_params, cast(task_output as varchar(500)) as task_output from table(rdsadmin.get_task_status(null,'testdb','CONFIGURE_DB_AUDIT'))" Sample Output TASK_ID TASK_TYPE DATABASE_NAME LIFECYCLE -------------------- -------------------- --------------- ------------- 2 CONFIGURE_DB_AUDIT DB2DB SUCCESS ... continued ... TASK_PARAMS -------------------------------------------------------- { "AUDIT_CATEGORY" : "ALL", "CATEGORY_SETTING" : "BOTH" } ... continued ... TASK_OUTPUT --------------------------------------------------- 2023-12-22T20:27:03.029Z Task execution has started. 2023-12-22T20:27:04.285Z Task execution has completed successfully.
Gestione della registrazione di controllo Db2
Dopo aver configurato la registrazione di controllo di Db2, è possibile modificare la politica di controllo per un database specifico o disabilitare la registrazione di controllo a livello di database o per l'intera istanza DB. Puoi anche modificare il bucket Amazon S3 in cui vengono caricati i file di registro.
Argomenti
Modifica di una politica di audit Db2
Per modificare la politica di controllo per uno specifico database RDS for Db2, esegui la stored procedure. rdsadmin.configure_db_audit Con questa procedura memorizzata, è possibile modificare le categorie, le impostazioni delle categorie e la configurazione del tipo di errore della politica di controllo. Per ulteriori informazioni, consulta rdsadmin.configure_db_audit.
Modifica della posizione dei file di registro
Per modificare il bucket Amazon S3 in cui vengono caricati i file di registro, esegui una delle seguenti operazioni:
-
Modifica il gruppo di opzioni corrente collegato alla tua istanza DB RDS for Db2: aggiorna l'
S3_BUCKET_ARNimpostazione dell'DB2_AUDITopzione in modo che punti al nuovo bucket. Inoltre, assicuratevi di aggiornare la policy IAM allegata al ruolo IAM specificato dall'IAM_ROLE_ARNimpostazione nel gruppo di opzioni allegato. Questa policy IAM deve fornire al nuovo bucket le autorizzazioni di accesso richieste. Per informazioni sulle autorizzazioni richieste nella policy IAM, consulta. Creazione di una policy IAM -
Collega la tua istanza DB RDS for Db2 a un gruppo di opzioni diverso: modifica l'istanza DB per cambiare il gruppo di opzioni ad essa associato. Assicurati che il nuovo gruppo di opzioni sia configurato con le impostazioni
S3_BUCKET_ARNeIAM_ROLE_ARNcorrette. Per informazioni su come configurare queste impostazioni per l'DB2_AUDITopzione, consultaConfigurare un gruppo di opzioni.
Quando modificate il gruppo di opzioni, assicuratevi di applicare immediatamente le modifiche. Per ulteriori informazioni, consulta Modifica di un'istanza Amazon RDS DB.
Disabilitazione della registrazione di controllo Db2
Per disabilitare la registrazione di controllo Db2, effettuate una delle seguenti operazioni:
-
Disattiva la registrazione di controllo per l'istanza DB RDS for Db2: modifica l'istanza DB e rimuovi il gruppo di opzioni che contiene l'opzione.
DB2_AUDITPer ulteriori informazioni, consulta Modifica di un'istanza Amazon RDS DB. -
Disabilita la registrazione di controllo per un database specifico: interrompi la registrazione di controllo e rimuovi la politica di controllo chiamando
rdsadmin.disable_db_auditcon il nome DB del database. Per ulteriori informazioni, consulta rdsadmin.disable_db_audit.db2 "call rdsadmin.disable_db_audit( 'db_name', ?)"
Visualizzazione dei log di audit
Dopo aver abilitato la registrazione di audit Db2, attendi almeno un'ora prima di visualizzare i dati di audit nel tuo bucket Amazon S3. Amazon RDS invia automaticamente i log dalla tua istanza DB RDS per Db2 alle seguenti posizioni:
-
Registri a livello di istanza DB:
bucket_name/db2-audit-logs/dbi_resource_id/date_time_utc/ -
Registri a livello di database:
bucket_name/db2-audit-logs/dbi_resource_id/date_time_utc/db_name/
La seguente schermata di esempio della console Amazon S3 mostra un elenco di cartelle per i file di registro a livello di istanza RDS for Db2 DB.
La seguente schermata di esempio della console Amazon S3 mostra i file di log a livello di database per l'istanza DB RDS for Db2.
Risoluzione dei problemi relativi alla registrazione di audit di Db2
Utilizzate le seguenti informazioni per risolvere i problemi più comuni relativi alla registrazione di controllo Db2.
Impossibile configurare la politica di controllo
Se la chiamata alla stored procedure rdsadmin.configure_db_audit restituisce un errore, è possibile che il gruppo di opzioni con l'DB2_AUDITopzione non sia associato all'istanza DB RDS for Db2. Modifica l'istanza DB per aggiungere il gruppo di opzioni, quindi prova a chiamare nuovamente la stored procedure. Per ulteriori informazioni, consulta Modifica di un'istanza Amazon RDS DB.
Nessun dato nel bucket Amazon S3
Se nel bucket Amazon S3 mancano dati di registrazione, verifica quanto segue:
-
Il bucket Amazon S3 si trova nella stessa regione dell'istanza DB RDS for Db2.
-
Il ruolo specificato nell'impostazione dell'
IAM_ROLE_ARNopzione è configurato con le autorizzazioni necessarie per caricare i log nel bucket Amazon S3. Per ulteriori informazioni, consulta Creazione di una policy IAM. -
Le impostazioni ARNs for the
IAM_ROLE_ARNandS3_BUCKET_ARNoption sono corrette nel gruppo di opzioni associato all'istanza DB RDS for Db2. Per ulteriori informazioni, consulta Configurare un gruppo di opzioni.
È possibile verificare lo stato delle attività della configurazione della registrazione di controllo collegandosi al database ed eseguendo un'istruzione SQL. Per ulteriori informazioni, consulta Controlla la configurazione dell'audit.
Puoi anche controllare gli eventi per scoprire di più sul motivo per cui i log potrebbero mancare. Per informazioni su come visualizzare gli eventi, consultaVisualizzazione di log, eventi e stream nella console Amazon RDS.
