SQL Server Audit を DB インスタンスオプションに追加する - Amazon Relational Database Service

SQL Server Audit を DB インスタンスオプションに追加する

SQL Server 監査を有効にするには、DB インスタンスでオプションを有効にすることと、SQL Server 内の機能を有効にすることの 2 つのステップを行う必要があります。SQL Server Audit オプションを DB インスタンスに追加するプロセスは次のとおりです。

  1. 新しいオプショングループを作成するか、既存のオプショングループをコピーまたは変更します。

  2. すべての必須オプションを追加して構成します。

  3. オプショングループを DB インスタンスに関連付けます。

SQL Server Audit オプションを追加後、DB インスタンスを再起動する必要はありません。オプショングループがアクティブになった時点で、監査を作成して監査ログを S3 バケットに保存できるようになります。

DB インスタンスのオプショングループに SQL Server Audit を追加して設定するには
  1. 次のいずれかを選択します。

    • 既存のオプショングループを使用します。

    • カスタムの DB オプショングループを作成し、そのオプショングループを使用します。詳細については、「オプショングループを作成する」を参照してください。

  2. オプショングループに [SQLSERVER_AUDIT] オプションを追加し、オプション設定を構成します。オプションの追加方法の詳細については、「オプショングループにオプションを追加する」を参照してください。

    • 必要なポリシーがアタッチされた IAM ロールがある場合は、[IAM ロール] で、そのロールを選択できます。新しい IAM ロールを作成するには、[新しいロールの作成] を選択します。必要なポリシーの詳細については、SQL Server Audit の IAM ロールを手動で作成する を参照してください。

    • 使用する S3 バケットが既にある場合は、[S3 送信先の選択] で、そのバケットを選択します。S3 バケットを作成するには、[新しい S3 バケットの作成] を選択します。

    • 監査ファイルを圧縮する場合は、[圧縮の有効化] オプションをオンにします。デフォルトでは、圧縮は有効になっています。圧縮を無効にするには、[Enable Compression (圧縮の有効化)] をオフにします。

    • DB インスタンスの監査レコードを保持するには、[Audit log retention (監査ログの保持)] オプションをオンにします。保持期間 (時間) を指定します。最大保持期間は 35 日間です。

  3. 新規または既存の DB インスタンスに、DB オプショングループを適用します。次のいずれかを選択します。

    • 新しい DB インスタンスを作成する場合は、インスタンスを起動するときにオプショングループを適用します。

    • 既存の DB インスタンスで、インスタンスを変更し、新しいオプショングループをアタッチして、オプショングループを適用します。詳細については、「Amazon RDS DB インスタンスを変更する」を参照してください。

SQL Server Audit オプションを変更する

SQL Server Audit オプションを有効にしたら、設定を変更できます。オプション設定の変更方法の詳細については、「オプションの設定を変更する」を参照してください。

DB インスタンスオプションから SQL Server Audit を削除する

SQL Server Audit 機能をオフにするには、監査を無効にし、オプションを削除します。

監査を削除するには
  1. SQL Server 内の監査設定をすべて無効にします。監査が実行されている場所を確認するには、SQL Server セキュリティカタログビューをクエリします。詳細については、Microsoft SQL Server ドキュメントの「Security catalog views」を参照してください。

  2. DB インスタンスから SQL Server Audit オプションを削除します。次のいずれかを選択します。

    • DB インスタンスで使用しているオプショングループから SQL Server Audit オプションを削除します。この変更は同じオプショングループを使用するすべての DB インスタンスに影響します。詳細については、「オプショングループからオプションを削除する」を参照してください。

    • DB インスタンスを変更し、オプショングループを選択します (SQL Server Audit オプションはオフ)。この変更は、変更した DB インスタンスにのみ影響します。デフォルト (空) のオプショングループや別のカスタムオプショングループを指定できます。詳細については、「Amazon RDS DB インスタンスを変更する」を参照してください。

  3. DB インスタンスから SQL Server Audit オプションを削除後、インスタンスを再起動する必要はありません。S3 バケットから不要な監査ファイルを削除します。