Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Konfigurieren von Zugriffsrichtlinien für Performance Insights
Um auf Performance Insights zugreifen zu können, muss ein Principal über die entsprechenden Berechtigungen von AWS Identity and Access Management (IAM) verfügen.
**Anmerkung**
Um Performance Insights mit einem vom Kunden verwalteten Schlüssel zu verwenden, gewähren Sie Benutzern die `kms:GenerateDataKey` Berechtigungen `kms:Decrypt` und für Ihren AWS AWS KMS Schlüssel.
Greifen Sie mit diesen Methoden auf Performance Insights zu:
+ [Hängen Sie die `AmazonRDSPerformanceInsightsReadOnly` verwaltete Richtlinie für den schreibgeschützten Zugriff an](USER_PerfInsights.access-control.managed-policy.md)
+ [Hängen Sie die `AmazonRDSPerformanceInsightsFullAccess` verwaltete Richtlinie für den Zugriff auf alle Operationen der Performance Insights Insights-API an](USER_PerfInsights.access-control.FullAccess-managed-policy.md)
+ [Erstellen Sie eine benutzerdefinierte IAM-Richtlinie mit bestimmten Berechtigungen](USER_PerfInsights.access-control.custom-policy.md)
+ [AWS KMS Berechtigungen für verschlüsselte Performance Insights Insights-Daten konfigurieren](USER_PerfInsights.access-control.cmk-policy.md)
+ [Richten Sie mithilfe von Berechtigungen auf Ressourcenebene einen differenzierten Zugriff ein](USER_PerfInsights.access-control.dimensionAccess-policy.md)
+ [Verwenden Sie die Tag-basierte Zugriffskontrolle, um Berechtigungen mithilfe von Ressourcen-Tags zu verwalten](USER_PerfInsights.access-control.tag-based-policy.md)
# Anfügen der Richtlinie AmazonRDSPerformanceInsightsReadOnly an einen IAM-Prinzipal
`AmazonRDSPerformanceInsightsReadOnly`ist eine AWS verwaltete Richtlinie, die Zugriff auf alle schreibgeschützten Operationen der Amazon RDS Performance Insights-API gewährt.
Wenn Sie eine Verbindung `AmazonRDSPerformanceInsightsReadOnly` zu einem Berechtigungssatz oder einer Rolle herstellen, müssen Sie auch die folgenden CloudWatch Berechtigungen anhängen:
+ `GetMetricStatistics`
+ `ListMetrics`
+ `GetMetricData`
Mit diesen Berechtigungen kann der Empfänger Performance Insights mit anderen Konsolenfunktionen verwenden.
Weitere Informationen zu CloudWatch Berechtigungen finden Sie in der [ CloudWatch Amazon-Berechtigungsreferenz](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/permissions-reference-cw.html).
Mehr über `AmazonRDSPerformanceInsightsReadOnly` erfahren Sie unter [AWS verwaltete Richtlinie: Amazon RDSPerformance InsightsReadOnly](rds-security-iam-awsmanpol.md#rds-security-iam-awsmanpol-AmazonRDSPerformanceInsightsReadOnly).
# Anfügen der Richtlinie AmazonRDSPerformanceInsightsFullAccess an einen IAM-Prinzipal
`AmazonRDSPerformanceInsightsFullAccess`ist eine AWS verwaltete Richtlinie, die Zugriff auf alle Operationen der Amazon RDS Performance Insights API gewährt.
Wenn Sie eine Verbindung `AmazonRDSPerformanceInsightsFullAccess` zu einem Berechtigungssatz oder einer Rolle herstellen, müssen Sie auch die folgenden CloudWatch Berechtigungen anhängen:
+ `GetMetricStatistics`
+ `ListMetrics`
+ `GetMetricData`
Mit diesen Berechtigungen kann der Empfänger Performance Insights mit anderen Konsolenfunktionen verwenden.
Weitere Informationen zu CloudWatch Berechtigungen finden Sie in der [ CloudWatch Amazon-Berechtigungsreferenz](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/permissions-reference-cw.html).
Mehr über `AmazonRDSPerformanceInsightsFullAccess` erfahren Sie unter [AWS verwaltete Richtlinie: Amazon RDSPerformance InsightsFullAccess](rds-security-iam-awsmanpol.md#rds-security-iam-awsmanpol-AmazonRDSPerformanceInsightsFullAccess).
# Erstellen einer benutzerdefinierten IAM-Richtlinie für Performance Insights
Für Benutzer, die nicht über die Richtlinie `AmazonRDSPerformanceInsightsReadOnly` oder `AmazonRDSPerformanceInsightsFullAccess` verfügen, können Sie den Zugriff auf Performance Insights gewähren, indem Sie eine benutzerverwaltete IAM-Richtlinie erstellen oder ändern. Wenn Sie diese Richtlinie an einen IAM-Berechtigungssatz oder eine Rolle anfügen, kann der Empfänger Performance Insights verwenden.
**Erstellen eine benutzerdefinierten Richtlinie**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Richtlinien**.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Wählen Sie auf der Seite **Richtlinie erstellen** die Option **JSON** aus.
1. Kopieren Sie den angegebenen Text in den Abschnitt *JSON-Richtliniendokument* im *AWS Managed Policy Reference Guide* für die Richtlinie [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRDSPerformanceInsightsReadOnly.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRDSPerformanceInsightsReadOnly.html) oder [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRDSPerformanceInsightsFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRDSPerformanceInsightsFullAccess.html).
1. Wählen Sie **Richtlinie prüfen**.
1. Geben Sie einen Namen und optional eine Beschreibung für die Richtlinie an und wählen Sie dann **Create policy** (Richtlinie erstellen) aus.
Sie können die Richtlinie nun an einen Berechtigungssatz oder eine Rolle anfügen. Das folgende Verfahren setzt voraus, dass Sie für diesen Zweck bereits einen Benutzer zur Verfügung haben.
**So fügen Sie die Richtlinie an einen Benutzer an**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Klicken Sie im Navigationsbereich auf **Users (Benutzer)**.
1. Wählen Sie einen vorhandenen Benutzer aus der Liste aus.
**Wichtig**
Um Performance Insights verwenden zu können, benötigen Sie zusätzlich zur benutzerdefinierten Richtlinie Zugriff auf Amazon RDS. Beispielsweise bietet die vordefinierte Richtlinie `AmazonRDSPerformanceInsightsReadOnly` schreibgeschützten Zugriff auf Amazon RDS. Weitere Informationen finden Sie unter [Verwalten des Zugriffs mit Richtlinien](UsingWithRDS.IAM.md#security_iam_access-manage).
1. Wählen Sie auf der Seite **Übersicht** die Option **Add permissions** (Berechtigungen hinzufügen) aus.
1. Wählen Sie **Attach existing policies directly** (Vorhandene Richtlinien direkt zuordnen). Geben Sie in **Suchen** die ersten Zeichen Ihres Richtliniennamens ein, wie in der folgenden Abbildung gezeigt.
![\[Auswählen einer Richtlinie\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/UserGuide/images/perf_insights_attach_iam_policy.png)
1. Wählen Sie Ihre Richtlinie und wählen Sie anschließend **Nächster Schritt: Prüfen**.
1. Wählen Sie **Add permissions** (Berechtigungen hinzufügen) aus.
# Änderung einer AWS KMS Richtlinie für Performance Insights
Performance Insights verwendet an AWS KMS key , um sensible Daten zu verschlüsseln. Wenn Sie Performance Insights über die API oder die Konsole aktivieren, haben Sie folgende Möglichkeiten:
+ Wählen Sie die Standardeinstellung Von AWS verwalteter Schlüssel.
Amazon RDS verwendet die Von AWS verwalteter Schlüssel für Ihre neue DB-Instance. Amazon RDS erstellt einen Von AWS verwalteter Schlüssel für Ihr AWS-Konto. Ihr AWS-Konto hat für jeden ein anderes Von AWS verwalteter Schlüssel für Amazon RDS AWS-Region.
+ Wählen Sie einen kundenverwalteten Schlüssel.
Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, benötigen Benutzer in Ihrem Konto, die die Performance Insights API aufrufen, die Berechtigungen `kms:Decrypt` und `kms:GenerateDataKey` für den KMS-Schlüssel. Sie können diese Berechtigungen über IAM-Richtlinien konfigurieren. Wir empfehlen jedoch, dass Sie diese Berechtigungen über Ihre KMS-Schlüsselrichtlinie verwalten. Weitere Informationen finden Sie unter [Schlüsselrichtlinien in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) im *Entwicklerhandbuch für AWS Key Management Service *.
**Example**
Das folgende Beispiel zeigt, wie Sie Ihrer KMS-Schlüsselrichtlinie Anweisungen hinzufügen können. Diese Anweisungen erlaubt den Zugriff auf Performance Insights. Je nachdem, wie Sie den KMS-Schlüssel verwenden, möchten Sie möglicherweise einige Einschränkungen ändern. Bevor Sie Ihrer Richtlinie Anweisungen hinzufügen, entfernen Sie alle Kommentare.
****
```
{
"Version":"2012-10-17",
"Id" : "your-policy",
"Statement" : [
{
"Sid" : "AllowViewingRDSPerformanceInsights",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::444455556666:role/Role1"
]
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition" : {
"StringEquals" : {
"kms:ViaService" : "rds.us-east-1.amazonaws.com"
},
"ForAnyValue:StringEquals": {
"kms:EncryptionContext:aws:pi:service": "rds",
"kms:EncryptionContext:service": "pi",
"kms:EncryptionContext:aws:rds:db-id": "db-AAAAABBBBBCCCCDDDDDEEEEE"
}
}
}
]
}
```
## So verwendet Performance Insights vom AWS KMS Kunden verwaltete Schlüssel
Performance Insights verwendet vom Kunden verwaltete Schlüssel, um vertrauliche Daten zu verschlüsseln. Wenn Sie Performance Insights aktivieren, können Sie einen AWS KMS -Schlüssel über die API bereitstellen. Performance Insights erstellt AWS KMS Berechtigungen für diesen Schlüssel. Das Feature verwendet den Schlüssel und führt die erforderlichen Operationen aus, um vertrauliche Daten zu verarbeiten. Zu den vertraulichen Daten gehören Felder wie Benutzer, Datenbank, Anwendung und SQL-Abfragetext. Performance Insights stellt sicher, dass die Daten sowohl im Ruhezustand als auch während der Übertragung verschlüsselt bleiben.
## So arbeitet Performance Insights IAM mit AWS KMS
IAM erteilt Berechtigungen für bestimmte. APIs Performance Insights hat die folgenden öffentlichen Bereiche APIs, die Sie mithilfe von IAM-Richtlinien einschränken können:
+ `DescribeDimensionKeys`
+ `GetDimensionKeyDetails`
+ `GetResourceMetadata`
+ `GetResourceMetrics`
+ `ListAvailableResourceDimensions`
+ `ListAvailableResourceMetrics`
Sie können die folgenden API-Abfragen verwenden, um vertrauliche Daten abzurufen.
+ `DescribeDimensionKeys`
+ `GetDimensionKeyDetails`
+ `GetResourceMetrics`
Wenn Sie die API verwenden, um vertrauliche Daten abzurufen, nutzt Performance Insights die Anmeldeinformationen des Aufrufers. Diese Überprüfung stellt sicher, dass der Zugriff auf vertrauliche Daten auf Benutzer beschränkt ist, die Zugriff auf den KMS-Schlüssel haben.
Wenn Sie diese aufrufen APIs, benötigen Sie Berechtigungen zum Aufrufen der API über die IAM-Richtlinie und Berechtigungen zum Aufrufen der `kms:decrypt` Aktion über die AWS KMS Schlüsselrichtlinie.
Die API `GetResourceMetrics` kann sowohl vertrauliche als auch nicht vertrauliche Daten zurückgeben. Die Anforderungsparameter bestimmen, ob die Antwort vertrauliche Daten enthalten soll. Die API gibt vertrauliche Daten zurück, wenn die Anfrage eine vertrauliche Dimension im Filter- oder Group-by-Parameter enthält.
Weitere Informationen zu den Dimensionen, die Sie mit der `GetResourceMetrics` API verwenden können, finden Sie unter. [DimensionGroup](https://docs.aws.amazon.com/performance-insights/latest/APIReference/API_DimensionGroup.html)
**Example Beispiele**
Im folgenden Beispiel werden die vertraulichen Daten für die Gruppe `db.user` angefordert:
```
POST / HTTP/1.1
Host:
Accept-Encoding: identity
X-Amz-Target: PerformanceInsightsv20180227.GetResourceMetrics
Content-Type: application/x-amz-json-1.1
User-Agent:
X-Amz-Date:
Authorization: AWS4-HMAC-SHA256 Credential=, SignedHeaders=, Signature=
Content-Length:
{
"ServiceType": "RDS",
"Identifier": "db-ABC1DEFGHIJKL2MNOPQRSTUV3W",
"MetricQueries": [
{
"Metric": "db.load.avg",
"GroupBy": {
"Group": "db.user",
"Limit": 2
}
}
],
"StartTime": 1693872000,
"EndTime": 1694044800,
"PeriodInSeconds": 86400
}
```
**Example**
Im folgenden Beispiel werden die nicht vertraulichen Daten für die Metrik `db.load.avg` angefordert:
```
POST / HTTP/1.1
Host:
Accept-Encoding: identity
X-Amz-Target: PerformanceInsightsv20180227.GetResourceMetrics
Content-Type: application/x-amz-json-1.1
User-Agent:
X-Amz-Date:
Authorization: AWS4-HMAC-SHA256 Credential=, SignedHeaders=, Signature=
Content-Length:
{
"ServiceType": "RDS",
"Identifier": "db-ABC1DEFGHIJKL2MNOPQRSTUV3W",
"MetricQueries": [
{
"Metric": "db.load.avg"
}
],
"StartTime": 1693872000,
"EndTime": 1694044800,
"PeriodInSeconds": 86400
}
```
# Gewähren von differenziertem Zugriff für Performance Insights
Eine differenzierte Zugriffskontrolle bietet zusätzliche Möglichkeiten, den Zugriff auf Performance Insights zu steuern. Diese Zugriffskontrolle kann den Zugriff auf einzelne Dimensionen für die Performance-Insights-Aktionen `GetResourceMetrics`, `DescribeDimensionKeys` und `GetDimensionKeyDetails` zulassen oder verweigern. Um einen differenzierten Zugriff zu verwenden, geben Sie Dimensionen in der IAM-Richtlinie mithilfe von Bedingungsschlüsseln an. Die Auswertung des Zugriffs folgt der Bewertungslogik der IAM-Richtlinie. Weitere Informationen finden Sie unter [Logik der Richtlinienauswertung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *Handbuch zu -IAM-Benutzer*. Wenn in der IAM-Richtlinienanweisung keine Dimension angegeben ist, steuert die Anweisung den Zugriff auf alle Dimensionen für die angegebene Aktion. Eine Liste der verfügbaren Dimensionen finden Sie unter [https://docs.aws.amazon.com/performance-insights/latest/APIReference/API_DimensionGroup.html](https://docs.aws.amazon.com/performance-insights/latest/APIReference/API_DimensionGroup.html).
Um herauszufinden, auf welche Dimensionen Ihre Anmeldeinformationen zugreifen dürfen, verwenden Sie den Parameter `AuthorizedActions` in `ListAvailableResourceDimensions` und geben Sie die Aktion an. Die folgenden Werte sind für `AuthorizedActions` zulässig:
+ `GetResourceMetrics`
+ `DescribeDimensionKeys`
+ `GetDimensionKeyDetails`
Wenn Sie `GetResourceMetrics` für den Parameter `AuthorizedActions` angeben, gibt `ListAvailableResourceDimensions` die Liste der Dimensionen zurückgegeben, auf die die Aktion `GetResourceMetrics` zugreifen darf. Wenn Sie im Parameter `AuthorizedActions` mehrere Aktionen angeben, gibt `ListAvailableResourceDimensions` einen Schnittpunkt von Dimensionen zurück, auf die diese Aktionen zugreifen dürfen.
**Example**
Das folgende Beispiel bietet Zugriff auf die angegebenen Dimensionen für die Aktionen `GetResourceMetrics` und `DescribeDimensionKeys`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowToDiscoverDimensions",
"Effect": "Allow",
"Action": [
"pi:ListAvailableResourceDimensions"
],
"Resource": [
"arn:aws:pi:us-east-1:123456789012:metrics/rds/db-ABC1DEFGHIJKL2MNOPQRSTUV3W"
]
},
{
"Sid": "SingleAllow",
"Effect": "Allow",
"Action": [
"pi:GetResourceMetrics",
"pi:DescribeDimensionKeys"
],
"Resource": [
"arn:aws:pi:us-east-1:123456789012:metrics/rds/db-ABC1DEFGHIJKL2MNOPQRSTUV3W"
],
"Condition": {
"ForAllValues:StringEquals": {
"pi:Dimensions": [
"db.sql_tokenized.id",
"db.sql_tokenized.statement"
]
}
}
}
]
}
```
Im Folgenden finden Sie die Antwort für die angeforderte Dimension:
```
// ListAvailableResourceDimensions API
// Request
{
"ServiceType": "RDS",
"Identifier": "db-ABC1DEFGHIJKL2MNOPQRSTUV3W",
"Metrics": [ "db.load" ],
"AuthorizedActions": ["DescribeDimensionKeys"]
}
// Response
{
"MetricDimensions": [ {
"Metric": "db.load",
"Groups": [
{
"Group": "db.sql_tokenized",
"Dimensions": [
{ "Identifier": "db.sql_tokenized.id" },
// { "Identifier": "db.sql_tokenized.db_id" }, // not included because not allows in the IAM Policy
{ "Identifier": "db.sql_tokenized.statement" }
]
}
] }
]
}
```
Im folgenden Beispiel werden eine Zulassung und zwei Ablehnungen für den Zugriff auf die Dimensionen festgelegt.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowToDiscoverDimensions",
"Effect": "Allow",
"Action": [
"pi:ListAvailableResourceDimensions"
],
"Resource": [
"arn:aws:pi:us-east-1:123456789012:metrics/rds/db-ABC1DEFGHIJKL2MNOPQRSTUV3W"
]
},
{
"Sid": "O01AllowAllWithoutSpecifyingDimensions",
"Effect": "Allow",
"Action": [
"pi:GetResourceMetrics",
"pi:DescribeDimensionKeys"
],
"Resource": [
"arn:aws:pi:us-east-1:123456789012:metrics/rds/db-ABC1DEFGHIJKL2MNOPQRSTUV3W"
]
},
{
"Sid": "O01DenyAppDimensionForAll",
"Effect": "Deny",
"Action": [
"pi:GetResourceMetrics",
"pi:DescribeDimensionKeys"
],
"Resource": [
"arn:aws:pi:us-east-1:123456789012:metrics/rds/db-ABC1DEFGHIJKL2MNOPQRSTUV3W"
],
"Condition": {
"ForAnyValue:StringEquals": {
"pi:Dimensions": [
"db.application.name"
]
}
}
},
{
"Sid": "O01DenySQLForGetResourceMetrics",
"Effect": "Deny",
"Action": [
"pi:GetResourceMetrics"
],
"Resource": [
"arn:aws:pi:us-east-1:123456789012:metrics/rds/db-ABC1DEFGHIJKL2MNOPQRSTUV3W"
],
"Condition": {
"ForAnyValue:StringEquals": {
"pi:Dimensions": [
"db.sql_tokenized.statement"
]
}
}
}
]
}
```
Im Folgenden finden Sie die Antwort für die angeforderten Dimensionen:
```
// ListAvailableResourceDimensions API
// Request
{
"ServiceType": "RDS",
"Identifier": "db-ABC1DEFGHIJKL2MNOPQRSTUV3W",
"Metrics": [ "db.load" ],
"AuthorizedActions": ["GetResourceMetrics"]
}
// Response
{
"MetricDimensions": [ {
"Metric": "db.load",
"Groups": [
{
"Group": "db.application",
"Dimensions": [
// removed from response because denied by the IAM Policy
// { "Identifier": "db.application.name" }
]
},
{
"Group": "db.sql_tokenized",
"Dimensions": [
{ "Identifier": "db.sql_tokenized.id" },
{ "Identifier": "db.sql_tokenized.db_id" },
// removed from response because denied by the IAM Policy
// { "Identifier": "db.sql_tokenized.statement" }
]
},
...
] }
]
}
```
```
// ListAvailableResourceDimensions API
// Request
{
"ServiceType": "RDS",
"Identifier": "db-ABC1DEFGHIJKL2MNOPQRSTUV3W",
"Metrics": [ "db.load" ],
"AuthorizedActions": ["DescribeDimensionKeys"]
}
// Response
{
"MetricDimensions": [ {
"Metric": "db.load",
"Groups": [
{
"Group": "db.application",
"Dimensions": [
// removed from response because denied by the IAM Policy
// { "Identifier": "db.application.name" }
]
},
{
"Group": "db.sql_tokenized",
"Dimensions": [
{ "Identifier": "db.sql_tokenized.id" },
{ "Identifier": "db.sql_tokenized.db_id" },
// allowed for DescribeDimensionKeys because our IAM Policy
// denies it only for GetResourceMetrics
{ "Identifier": "db.sql_tokenized.statement" }
]
},
...
] }
]
}
```
# Tag-basierte Zugriffskontrolle für Performance Insights verwenden
Sie können den Zugriff auf Performance Insights Insights-Metriken mithilfe von Tags steuern, die von der übergeordneten DB-Instance geerbt wurden. Verwenden Sie IAM-Richtlinien, um den Zugriff auf Performance Insights Insights-Operationen zu steuern. Diese Richtlinien können die Tags auf Ihrer DB-Instance überprüfen, um die Berechtigungen zu ermitteln.
## So funktionieren Tags mit Performance Insights
Performance Insights wendet automatisch Ihre DB-Instance-Tags an, um Performance Insights Insights-Metriken zu autorisieren. Wenn Sie Ihrer DB-Instance Tags hinzufügen, können Sie diese Tags sofort verwenden, um den Zugriff auf Performance Insights Insights-Daten zu steuern.
+ Um Tags für Performance Insights Insights-Metriken hinzuzufügen oder zu aktualisieren, ändern Sie die Tags auf Ihrer DB-Instance.
+ Um Tags für Performance Insights-Metriken anzuzeigen, rufen Sie die Metrik-Ressource Performance Insights `ListTagsForResource` auf. Sie gibt die Tags aus der DB-Instance zurück, die der Metrik zugeordnet ist.
**Anmerkung**
Die `UntagResource` Operationen `TagResource` und geben einen Fehler zurück, wenn Sie versuchen, sie direkt für Performance Insights Insights-Metriken zu verwenden.
## Tag-basierte IAM-Richtlinien erstellen
Um den Zugriff auf Performance Insights Insights-Operationen zu steuern, verwenden Sie den `aws:ResourceTag` Bedingungsschlüssel in Ihren IAM-Richtlinien. Diese Richtlinien überprüfen die Tags auf Ihrer DB-Instance.
**Example**
Diese Richtlinie verhindert den Zugriff auf Performance Insights Insights-Metriken für Produktionsdatenbanken. Die Richtlinie verweigert den `pi:GetResourceMetrics` Vorgang in Performance Insights für alle mit `env:prod` markierten Datenbankressourcen.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "pi:GetResourceMetrics",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/env": "prod"
}
}
}
]
}
```