피드로 돌아가기
What It Actually Takes to Audit Aurora PostgreSQL on AWS
Dev.toDev.to
Database

Aurora PostgreSQL pgAudit 기반의 정밀한 휴먼 접근 감사 시스템 구축

What It Actually Takes to Audit Aurora PostgreSQL on AWS

Pranay ravi2026년 5월 21일9intermediate

Context

규제 준수를 위해 휴먼 유저의 DML 변경 사항을 추적해야 하는 상황에서 Oracle Unified Auditing과 같은 구조화된 감사 도구의 부재 확인. Aurora PostgreSQL의 pgAudit는 로그 스트림 기반의 비정형 텍스트만 제공하여 실시간 알람 및 쿼리 기반 분석에 한계 발생.

Technical Solution

  • 개별 유저 계정별 pgAudit 설정을 통한 Application Service Account 제외 및 감사 노이즈 최소화
  • CloudWatch Logs의 비정형 텍스트 데이터를 정형 데이터로 변환하기 위한 Lambda 기반의 중간 매개체 설계
  • EventBridge를 통한 5분 주기 트리거 및 Log Insights 쿼리를 통한 특정 패턴 필터링으로 유효 신호 추출
  • Lambda가 필터링된 결과의 Count Metric을 발행하여 CloudWatch Alarm과 SNS 연동을 통한 Incident Pipeline 구축
  • shared_preload_libraries 설정 외에 CREATE EXTENSION pgaudit 명시적 실행을 통한 바이너리 로드 및 활성화 보장

1. pgAudit 설정 후 `pg_extension` 뷰를 통해 실제 Extension 활성화 여부 검증

2. DB Tool(DBeaver 등)의 Catalog Query로 인한 로그 노이즈 제거를 위한 Log Insights 필터 쿼리 우선 설계

3. 장기 보관 및 분석이 필요한 경우 Kinesis Firehose를 통한 S3/Athena 또는 DynamoDB 저장소 확장 고려

4. 인프라 전반의 IAM Role, KMS Key, SNS Topic을 Terraform 모듈로 관리하여 환경 간 일관성 확보

원문 읽기