Configurar um bucket do S3 - Amazon Relational Database Service

Configurar um bucket do S3

Os arquivos de log de auditoria são automaticamente carregados da instância de banco de dados no seu bucket do S3. As seguintes restrições se aplicam ao bucket do S3 que você usa como destino para arquivos de auditoria:

  • Ele deve estar na mesma região da AWS que a instância de banco de dados.

  • Ele não deve estar aberto ao público.

  • O proprietário do bucket também deve ser o proprietário da função do IAM.

  • Seu perfil do IAM deve ter permissões para a chave do KMS gerenciada pelo cliente associada à criptografia do lado do servidor do bucket do S3.

A chave de destino usada para armazenar os dados segue este esquema de nomenclatura: amzn-s3-demo-bucket/key-prefix/instance-name/audit-name/node_file-name.ext

nota

Você define o nome do intervalo e os valores do prefixo da chave com a configuração de opção (S3_BUCKET_ARN).

O esquema é composto pelos seguintes elementos:

  • amzn-s3-demo-bucket: o nome do bucket do S3.

  • key-prefix – O prefixo de chave personalizada que você deseja usar para logs de auditoria.

  • instance-name – O nome da sua instância do Amazon RDS.

  • audit-name – O nome da auditoria.

  • node – O identificador do nó que é a origem dos logs de auditoria (node1 ou node2). Há um nó para uma instância Single-AZ e dois nós de replicação para uma instância Multi-AZ. Estes não são nós primários e secundários, porque as funções de primário e secundário mudam ao longo do tempo. Em vez disso, o identificador de nó é um rótulo simples.

    • node1 – O primeiro nó de replicação (Single-AZ tem apenas um nó).

    • node2 – O segundo nó de replicação (Multi-AZ tem dois nós).

  • file-name – O nome do arquivo de destino. O nome do arquivo é obtido como está no SQL Server.

  • ext – A extensão do arquivo (zip ou sqlaudit):

    • zip – Se a compactação estiver habilitada (padrão).

    • sqlaudit – Se a compactação estiver desabilitada.