Amazon Quantum Ledger Database (Amazon QLDB) выделяется как полностью управляемый сервис базы данных бухгалтерской книги, предлагающий всеобъемлющую и проверяемую историю операций, зафиксированных в его журнале. В основе Amazon QLDB лежит журнал — структура данных только для добавления, которая поддерживает последовательную и неизменяемую запись операций, организованных в блоки. Эти блоки взаимосвязаны с помощью криптографического хеширования, обеспечивая целостность данных транзакций с помощью надежного метода криптографической проверки. Уникальное сочетание неизменяемости и криптографической проверяемости истории операций делает Amazon QLDB предпочтительным выбором для клиентов, стремящихся к высокой целостности аудита и истории изменений своих данных.
Замена журнала
Журнал Amazon QLDB служит постоянной, неизменяемой записью всех зафиксированных операций, включая запросы и команды определения данных. Эта история операций может быть экспортирована в корзину Amazon Simple Storage Service (Amazon S3) для целей аудита. В отличие от этого, Amazon Aurora PostgreSQL не поддерживает постоянную, неизменяемую запись изменений; вместо этого данные аудита должны генерироваться и храниться внешне.
Для улучшения возможностей аудита Amazon Aurora PostgreSQL поддерживает расширение pgAudit с открытым исходным кодом для ведения журналов аудита, которое обеспечивает более детализированное ведение журналов сеансов и объектов по сравнению со стандартным ведением журналов PostgreSQL. Пользователи могут указать, какие события необходимо аудировать, включая операции DDL, чтение, запись, изменения ролей и привилегий, а также операции, инициированные пользователем, такие как вакуумирование и контрольные точки. Вывод журнала направляется в стандартный файл postgres.log, доступный через консоль Amazon RDS, с периодом хранения до 7 дней. Для постоянного хранения данных журнала аудита пользователи могут настроить свой кластер Aurora на отправку журналов в Amazon CloudWatch Logs, где они могут сохраняться на неопределенный срок. Amazon CloudWatch Logs предлагает возможности для запросов, мониторинга, оповещений и управления журналами, обеспечивая шифрование файлов журнала в состоянии покоя. Управление доступом к журналам в CloudWatch можно осуществлять через AWS Identity and Access Management (IAM), включая опции для ограничения удаления журналов.
Однако аудиторы могут найти интерфейс CloudWatch Logs сложным для проведения аудитов базы данных. Решение представлено в посте Build a centralized audit data collection for Amazon RDS for PostgreSQL using Amazon S3 and Amazon Athena, который предоставляет удобный интерфейс для выполнения запросов к данным аудита. Это решение использует комбинацию Amazon S3 и Amazon Athena для создания централизованного хранилища данных аудита, что позволяет легко выполнять запросы и анализировать данные аудита.