投稿日: Jun 24, 2021
Amazon Relational Database Service (Amazon RDS) for Oracle 向けの Database Activity Streams (DAS) は、DB インスタンスで実行されたすべての監査済みステートメント (SELECT、DML、DDL、DCL、TCL) のほぼリアルタイムのストリームを提供します。監査データは統合データベース監査から収集されますが、データベースアクティビティの保存と処理はデータベース外で管理されるので、データベースユーザーと管理者によって監査ストリームが変更されることが防止されます。
DAS のデプロイの一部として、データベース管理者は、オブジェクトでネイティブ Oracle Database 統合監査ポリシーを指定します。次に、セキュリティ管理者が Amazon RDS for Oracle DB インスタンス上で DAS を起動し、暗号化用の AWS Key Management Service (KMS) キーを提供します。データベースアクティビティは暗号化され、Amazon RDS for Oracle DB を代行してプロビジョニングされた Amazon Kinesis データストリームに非同期でプッシュされます。DAS を有効および無効にするためのアクセス許可は IAM で管理できるので、セキュリティ/コンプライアンス担当者と DBA の職務を分離することが可能です。
DAS をサードパーティーのデータベースアクティビティのモニタリングツールと統合すると、データベースアクティビティをモニタリングおよび監査してデータベースを保護できるようになり、コンプライアンスと規制要件への適合に役立ちます。IBM Security Guardium と Amazon RDS Database Activity Streams for Oracle の統合は近日中に提供され、データアクティビティのモニタリングによって内部と外部の脅威を検出できるようになる予定です。さらに、Imperva Data Security と Oracle 向け Amazon RDS データベースアクティビティストリームの統合も近日中に発表される予定です。この統合では、アラートの生成と Amazon RDS for Oracle DB インスタンスのすべてのアクティビティの監査を行うことができます。
DAS は、以下のユースケースで有効にできます。
- データベースアクティビティのモニタリングを目的としてパートナーアプリケーションに Amazon Kinesis Data Streams と AWS KMS Key へのアクセスを付与する。
- Amazon Kinesis Data Stream を Amazon Kinesis Data Firehose に接続し、長期的な保持を目的としてアクティビティを S3 に保存する。
- AWS Lambda に接続して、データベースアクティビティを分析またはモニタリングする。
Amazon RDS データベースアクティビティストリームの機能は、ライセンス込みモデルまたは独自のライセンス持ち込みモデルの任意のエディションの Oracle Database をご利用のお客様向けに Amazon RDS for Oracle バージョン 19c 以降をサポートします。
Amazon RDS を使用すれば、AWS でリレーショナルデータベースを簡単にセットアップ、運用、拡張することができます。Oracle 向けの Amazon RDS データベースアクティビティストリームの詳細については、ドキュメントを参照してください。インスタンス、ストレージ、データ転送にかかる最新の料金、および利用できるリージョンについては、Amazon RDS for Oracle の料金表を参照してください。