# Uso del control de acceso basado en etiquetas para información de rendimiento
<a name="USER_PerfInsights.access-control.tag-based-policy"></a>

Puede controlar el acceso a métricas de información de rendimiento mediante etiquetas heredadas de la instancia de base de datos principal. Para controlar el acceso a las operaciones de información de rendimiento, utilice políticas de IAM. Estas políticas pueden comprobar las etiquetas de la instancia de base de datos para determinar los permisos.

## Funcionamiento de las etiquetas con información de rendimiento
<a name="USER_PerfInsights.access-control.tag-inheritance"></a>

La información de rendimiento aplica automáticamente las etiquetas de la instancia de base de datos para autorizar las métricas de información de rendimiento. Al agregar etiquetas a la instancia de base de datos, puede utilizarlas inmediatamente para controlar el acceso a los datos de información de rendimiento.
+ Para agregar o actualizar etiquetas para las métricas de información de rendimiento, modifique las etiquetas de la instancia de base de datos.
+ Para ver las etiquetas de las métricas de información de rendimiento, llame a `ListTagsForResource` en el recurso de métricas de información de rendimiento. Devolverá las etiquetas de la instancia de base de datos asociada a la métrica.

**nota**  
Las operaciones `TagResource` y `UntagResource` devuelven un error si intenta usarlas directamente en las métricas de información de rendimiento.

## Creación de políticas de IAM basadas en etiquetas
<a name="USER_PerfInsights.access-control.tag-based-policies"></a>

Para controlar el acceso a las operaciones de información de rendimiento, utilice la clave de condición `aws:ResourceTag` en las políticas de IAM. Estas políticas comprueban las etiquetas de la instancia de base de datos.

**Example**  
Esta política impide el acceso a las métricas de información de rendimiento para las bases de datos de producción. La política rechaza la operación `pi:GetResourceMetrics` en información de rendimiento para cualquier recurso de base de datos etiquetado con `env:prod`.   

```
 {
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "pi:GetResourceMetrics",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/env": "prod"
                }
            }
        }
    ]
}
```