Konfigurieren von Zugriffsrichtlinien für Performance Insights - Amazon DocumentDB
Anhängen der RDSPerformance InsightsReadOnly Amazon-Richtlinie an einen IAM-PrincipalErstellen einer benutzerdefinierten IAM-Richtlinie für Performance InsightsKonfiguration einer AWS KMS Richtlinie für Performance Insights

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren von Zugriffsrichtlinien für Performance Insights

Um auf Performance Insights zugreifen zu können, müssen Sie über die entsprechenden Berechtigungen von AWS Identity and Access Management (IAM) verfügen. Sie haben folgende Möglichkeiten, Zugriff zu gewähren:

  • Fügen Sie die verwaltete Richtlinie AmazonRDSPerformanceInsightsReadOnly an einen Berechtigungssatz oder eine Rolle an.

  • Erstellen Sie eine benutzerdefinierte IAM-Richtlinie und fügen Sie diese an einen Berechtigungssatz oder eine Rolle an.

Wenn Sie bei der Aktivierung von Performance Insights einen vom Kunden verwalteten Schlüssel angegeben haben, stellen Sie außerdem sicher, dass die Benutzer in Ihrem Konto über die Berechtigungen kms:Decrypt und kms:GenerateDataKey für den KMS-Schlüssel verfügen.

Anmerkung

Für die encryption-at-rest Verwaltung von AWS KMS Schlüsseln und Sicherheitsgruppen nutzt Amazon DocumentDB Betriebstechnologie, die mit Amazon RDS gemeinsam genutzt wird.

Anhängen der RDSPerformance InsightsReadOnly Amazon-Richtlinie an einen IAM-Principal

AmazonRDSPerformanceInsightsReadOnlyist eine AWS verwaltete Richtlinie, die Zugriff auf alle schreibgeschützten Operationen der Amazon DocumentDB Performance Insights-API gewährt. Derzeit sind alle Operationen in dieser API schreibgeschützt. Wenn Sie AmazonRDSPerformanceInsightsReadOnly an einen Berechtigungssatz oder eine Rolle anfügen, kann der Empfänger Performance Insights mit anderen Konsolenfunktionen verwenden.

Erstellen einer benutzerdefinierten IAM-Richtlinie für Performance Insights

Für Benutzer, die nicht über die AmazonRDSPerformanceInsightsReadOnly-Richtlinien verfügen, können Sie den Zugriff auf Performance Insights gewähren, indem Sie eine benutzerverwaltete IAM-Richtlinie erstellen oder ändern. Wenn Sie die Richtlinie an einen Berechtigungssatz oder eine Rolle anhängen, kann der Empfänger Performance Insights verwenden.

Erstellen eine benutzerdefinierten Richtlinie

  1. Öffnen Sie unter https://console.aws.amazon.com/iam/ die IAM-Konsole.

  2. Wählen Sie im Navigationsbereich Richtlinien.

  3. Wählen Sie Richtlinie erstellen aus.

  4. Wählen Sie auf der Seite Create Policy (Richtlinie erstellen) die Registerkarte „JSON“ aus.

  5. Kopieren Sie den folgenden Text und fügen Sie ihn ein. us-east-1 Ersetzen Sie ihn durch den Namen Ihrer AWS Region und 111122223333 durch Ihre Kundenkontonummer.

    JSON
    
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rds:DescribeDBInstances",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "rds:DescribeDBClusters",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:DescribeDimensionKeys",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:GetDimensionKeyDetails",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:GetResourceMetadata",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:GetResourceMetrics",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:ListAvailableResourceDimensions",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:ListAvailableResourceMetrics",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        }
    ]
}

  6. Wählen Sie Richtlinie prüfen.

  7. Geben Sie einen Namen und optional eine Beschreibung für die Richtlinie an und wählen Sie dann Create policy (Richtlinie erstellen) aus.

Sie können die Richtlinie nun an einen Berechtigungssatz oder eine Rolle anfügen. Das folgende Verfahren setzt voraus, dass Sie für diesen Zweck bereits einen Benutzer zur Verfügung haben.

So fügen Sie die Richtlinie an einen Benutzer an

  1. Öffnen Sie unter https://console.aws.amazon.com/iam/ die IAM-Konsole.

  2. Klicken Sie im Navigationsbereich auf Users (Benutzer).

  3. Wählen Sie einen vorhandenen Benutzer aus der Liste aus.

    Wichtig

    Um Performance Insights verwenden zu können, stellen Sie sicher, dass Sie zusätzlich zur benutzerdefinierten Richtlinie Zugriff auf Amazon DocumentDB haben. Die AmazonDocDBReadOnlyAccessvordefinierte Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf Amazon DoCDB. Weitere Informationen finden Sie unter Zugriff mithilfe von Richtlinien verwalten.

  4. Wählen Sie auf der Seite Summary (Übersicht) die Option Add permissions (Berechtigungen hinzufügen) aus.

  5. Wählen Sie Attach existing policies directly (Vorhandene Richtlinien direkt zuordnen). Geben Sie in Suche die ersten Zeichen Ihres Richtliniennamens ein, wie nachfolgend gezeigt.

    Auswählen einer Richtlinie

  6. Wählen Sie Ihre Richtlinie und wählen Sie anschließend Nächster Schritt: Prüfen.

  7. Wählen Sie Add permissions (Berechtigungen hinzufügen) aus.

Konfiguration einer AWS KMS Richtlinie für Performance Insights

Performance Insights verwendet an AWS KMS key , um sensible Daten zu verschlüsseln. Wenn Sie Performance Insights über die API oder die Konsole aktivieren, haben Sie folgende Möglichkeiten:

  • Wählen Sie die Standardeinstellung Von AWS verwalteter Schlüssel.

    Amazon DocumentDB verwendet die Von AWS verwalteter Schlüssel für Ihre neue DB-Instance. Amazon DocumentDB erstellt eine Von AWS verwalteter Schlüssel für Ihr AWS Konto. Ihr AWS Konto hat Von AWS verwalteter Schlüssel für Amazon DocumentDB für jede AWS Region ein anderes.

  • Wählen Sie einen kundenverwalteten Schlüssel.

    Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, benötigen Benutzer in Ihrem Konto, die die Performance Insights API aufrufen, die Berechtigungen kms:Decrypt und kms:GenerateDataKey für den KMS-Schlüssel. Sie können diese Berechtigungen über IAM-Richtlinien konfigurieren. Wir empfehlen jedoch, dass Sie diese Berechtigungen über Ihre KMS-Schlüsselrichtlinie verwalten. Weitere Informationen finden Sie unter Verwenden von Schlüsselrichtlinien in AWS -KMS.

Das folgende Beispiel für eine Schlüsselrichtlinie zeigt, wie Sie Ihrer KMS-Schlüsselrichtlinie Anweisungen hinzufügen können. Diese Anweisungen erlaubt den Zugriff auf Performance Insights. Je nachdem, wie Sie das verwenden AWS KMS, möchten Sie möglicherweise einige Einschränkungen ändern. Bevor Sie Ihrer Richtlinie Anweisungen hinzufügen, entfernen Sie alle Kommentare.

JSON
{
 "Version" : "2012-10-17",
 "Id" : "your-policy",
 "Statement" : [ {
    //This represents a statement that currently exists in your policy.
 }
 ....,
 //Starting here, add new statement to your policy for Performance Insights.
 //We recommend that you add one new statement for every RDS/DocumentDB instance
 {
    "Sid" : "Allow viewing RDS Performance Insights",
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            //One or more principals allowed to access Performance Insights
            "arn:aws:iam::444455556666:role/Role1"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition" :{
        "StringEquals" : {
            //Restrict access to only RDS APIs (including Performance Insights).
            //Replace *region* with your AWS Region. 
            //For example, specify us-west-2.
            "kms:ViaService" : "rds.*region*.amazonaws.com"
        },
        "ForAnyValue:StringEquals": {
            //Restrict access to only data encrypted by Performance Insights.
            "kms:EncryptionContext:aws:pi:service": "rds",
            "kms:EncryptionContext:service": "pi",
            
            //Restrict access to a specific DocDB instance.
            //The value is a DbiResourceId.
           "kms:EncryptionContext:aws:rds:db-id": "db-AAAAABBBBBCCCCDDDDDEEEEE"
        }
    }
}