データベースアクティビティストリーミングのスタート - Amazon Relational Database Service

データベースアクティビティストリーミングのスタート

DB インスタンスのアクティビティストリームを開始すると、監査ポリシーで設定したデータベースアクティビティイベントごとに、アクティビティストリームイベントが生成されます。アクセスイベントは CONNECTSELECT などの SQL コマンドから生成されます。変更イベントは CREATEINSERT などの SQL コマンドから生成されます。

重要

Oracle DB インスタンスのアクティビティストリーミングを有効にすると、既存の監査データが消去されます。また、監査証跡権限も取り消されます。ストリーミングを有効にすると、RDS for Oracle では次の処理を実行できなくなります。

  • 統合監査証跡レコードを消去する。

  • 統合監査ポリシーを追加、削除、または変更する。

  • 最後にアーカイブされたタイムスタンプを更新する。

データベースアクティビティストリーミングをスタートするには

  1. Amazon RDS コンソール (https://console.aws.amazon.com/rds/) を開きます。

  2. ナビゲーションペインで、[データベース] を選択します。

  3. アクティビティストリームを有効にする Amazon RDS データベースインスタンスを選択します。マルチ AZ 配置では、プライマリインスタンスのみでストリーミングをスタートします。アクティビティストリーミングは、プライマリインスタンスとスタンバイインスタンスの両方を監査します。

  4. [アクション] で [アクティビティストリーミングの開始] を選択します。

    [データベースアクティビティストリーミングの開始: 名前] ウィンドウが表示されます。ここで、nameRDS インスタンスです。

  5. 以下の設定を入力します。

    • [AWS KMS key] では、 AWS KMS keys のリストからキーを選択します。

      Amazon RDS は、KMS キーを使用してキーを暗号化し、それによってデータベースアクティビティを暗号化します。デフォルトキー以外の KMS キーを選択します。暗号化キーと AWS KMS の詳細については、AWS Key Management Service デベロッパーガイドの「AWS Key Management Service とは?」を参照してください。

    • [データベースアクティビティイベント] で、[エンジンネイティブ監査フィールドを有効にする] を選択して、エンジン固有の監査フィールドを含めます。

    • [すぐに適用] を選択します。

      [直ちに] を選択する場合直ちにとすると、RDS インスタンスがすぐに再起動します。を選択すると次のメンテナンス時間中とすると、RDS インスタンスはすぐには再起動しません。この場合、データベースアクティビティストリーミングは、次のメンテナンスウィンドウまでスタートされません。

  6. [Start database activity stream] (データベースアクティビティストリームを開始) を選択します。

    データベースのステータスは、アクティビティストリームが開始していることを示します。

    注記

    You can't start a database activity stream in this configuration というエラーが表示された場合は、データベースアクティビティストリーミングでサポートされる DB インスタンスクラスRDS インスタンスがサポートされているインスタンスクラスを使用しているかを確認してください。

DB インスタンスのデータベースアクティビティストリームを開始するには、AWS CLI コマンド start-activity-stream を使用して データベースを設定します。

  • --resource-arn arn - DB インスタンスの Amazon リソースネーム (ARN) を指定します。

  • --kms-key-id key - データベースアクティビティストリーミング内のメッセージを暗号化するための KMS キー識別子を指定します。AWS KMS キー識別子は、キー ARN、キー ID、エイリアス ARN、または AWS KMS key のエイリアス名です。

  • --engine-native-audit-fields-included - エンジン固有の監査フィールドをデータストリームに含めます。これらのフィールドを除外するには、--no-engine-native-audit-fields-included (デフォルト) を指定します。

次の例では、非同期モードで DB インスタンスのデータベースアクティビティストリームを開始します。

Linux、macOS、Unix の場合:

aws rds start-activity-stream \
    --mode async \
    --kms-key-id my-kms-key-arn \
    --resource-arn my-instance-arn \
    --engine-native-audit-fields-included \
    --apply-immediately

Windows の場合:

aws rds start-activity-stream ^
    --mode async ^
    --kms-key-id my-kms-key-arn ^
    --resource-arn my-instance-arn ^
    --engine-native-audit-fields-included ^
    --apply-immediately

DB インスタンスのデータベースアクティビティストリームを開始するには、StartActivityStream オペレーションを使用してインスタンスを設定します。

以下のパラメータを使用してアクションを呼び出します。

  • Region

  • KmsKeyId

  • ResourceArn

  • Mode

  • EngineNativeAuditFieldsIncluded