Tag-basierte Zugriffskontrolle für Performance Insights verwenden - Amazon Aurora
So funktionieren Tags mit Performance InsightsTag-basierte IAM-Richtlinien erstellen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Tag-basierte Zugriffskontrolle für Performance Insights verwenden

Sie können den Zugriff auf Performance Insights Insights-Metriken mithilfe von Tags steuern, die von der übergeordneten DB-Instance geerbt wurden. Verwenden Sie IAM-Richtlinien, um den Zugriff auf Performance Insights Insights-Operationen zu steuern. Diese Richtlinien können die Tags auf Ihrer DB-Instance überprüfen, um die Berechtigungen zu ermitteln.

So funktionieren Tags mit Performance Insights

Performance Insights wendet automatisch Ihre DB-Instance-Tags an, um Performance Insights Insights-Metriken zu autorisieren. Wenn Sie Ihrer DB-Instance Tags hinzufügen, können Sie diese Tags sofort verwenden, um den Zugriff auf Performance Insights Insights-Daten zu steuern.

  • Um Tags für Performance Insights Insights-Metriken hinzuzufügen oder zu aktualisieren, ändern Sie die Tags auf Ihrer DB-Instance.

  • Um Tags für Performance Insights-Metriken anzuzeigen, rufen Sie die Metrik-Ressource Performance Insights ListTagsForResource auf. Sie gibt die Tags aus der DB-Instance zurück, die der Metrik zugeordnet ist.

Anmerkung

Die UntagResource Operationen TagResource und geben einen Fehler zurück, wenn Sie versuchen, sie direkt für Performance Insights Insights-Metriken zu verwenden.

Tag-basierte IAM-Richtlinien erstellen

Um den Zugriff auf Performance Insights Insights-Operationen zu steuern, verwenden Sie den aws:ResourceTag Bedingungsschlüssel in Ihren IAM-Richtlinien. Diese Richtlinien überprüfen die Tags auf Ihrer DB-Instance.

Diese Richtlinie verhindert den Zugriff auf Performance Insights Insights-Metriken für Produktionsdatenbanken. Die Richtlinie verweigert den pi:GetResourceMetrics Vorgang in Performance Insights für alle mit env:prod markierten Datenbankressourcen. 

 {
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "pi:GetResourceMetrics",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/env": "prod"
                }
            }
        }
    ]
}