Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Menyiapkan dan mengaktifkan Pemantauan yang Ditingkatkan
<a name="USER_Monitoring.OS.Enabling"></a>

Untuk menggunakan Pemantauan yang Ditingkatkan, Anda harus membuat peran IAM, lalu mengaktifkan Pemantauan yang Ditingkatkan.

**Topics**
+ [Membuat peran IAM untuk Pemantauan yang Ditingkatkan](#USER_Monitoring.OS.Enabling.Prerequisites)
+ [Mengaktifkan dan menonaktifkan Pemantauan yang Ditingkatkan](#USER_Monitoring.OS.Enabling.Procedure)
+ [Melindungi dari masalah confused deputy](#USER_Monitoring.OS.confused-deputy)

## Membuat peran IAM untuk Pemantauan yang Ditingkatkan
<a name="USER_Monitoring.OS.Enabling.Prerequisites"></a>

Pemantauan yang Ditingkatkan memerlukan izin untuk bertindak atas nama Anda untuk mengirim informasi metrik OS ke CloudWatch Log. Anda memberikan izin Pemantauan yang Ditingkatkan menggunakan peran AWS Identity and Access Management (IAM). Anda dapat membuat peran ini saat mengaktifkan Pemantauan yang Ditingkatkan atau membuatnya terlebih dahulu.

**Topics**
+ [Membuat peran IAM saat Anda mengaktifkan Pemantauan yang Ditingkatkan](#USER_Monitoring.OS.Enabling.Prerequisites.creating-role-automatically)
+ [Membuat peran IAM saat Anda mengaktifkan Pemantauan yang Ditingkatkan](#USER_Monitoring.OS.Enabling.Prerequisites.creating-role-manually)

### Membuat peran IAM saat Anda mengaktifkan Pemantauan yang Ditingkatkan
<a name="USER_Monitoring.OS.Enabling.Prerequisites.creating-role-automatically"></a>

Jika Anda mengaktifkan Pemantauan yang Ditingkatkan di konsol RDS, Amazon RDS dapat membuat peran IAM yang diperlukan untuk Anda. Peran ini bernama `rds-monitoring-role`. RDS menggunakan peran ini untuk instans DB tertentu, replika baca, atau cluster Multi-AZ DB.

**Untuk membuat peran IAM saat Anda mengaktifkan Pemantauan yang Ditingkatkan**

1. Ikuti langkah-langkah di [Mengaktifkan dan menonaktifkan Pemantauan yang Ditingkatkan](#USER_Monitoring.OS.Enabling.Procedure).

1. Atur **Peran Pemantauan** ke **Default** pada langkah tempat Anda memilih peran.

### Membuat peran IAM saat Anda mengaktifkan Pemantauan yang Ditingkatkan
<a name="USER_Monitoring.OS.Enabling.Prerequisites.creating-role-manually"></a>

Anda dapat membuat peran yang diperlukan sebelum mengaktifkan Pemantauan yang Ditingkatkan. Jika Anda mengaktifkan Pemantauan yang Ditingkatkan, tentukan nama peran baru Anda. Anda harus membuat peran yang diperlukan ini jika Anda mengaktifkan Pemantauan yang Ditingkatkan menggunakan AWS CLI atau API RDS.

Pengguna yang mengaktifkan Pemantauan yang Ditingkatkan harus diberi izin `PassRole`. Untuk informasi selengkapnya, lihat Contoh 2 dalam [Memberikan izin pengguna untuk meneruskan peran ke AWS layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) di Panduan Pengguna *IAM*.<a name="USER_Monitoring.OS.IAMRole"></a>

**Untuk membuat peran IAM untuk pemantauan yang ditingkatkan Amazon RDS**

1. Buka [konsol IAM](https://console.aws.amazon.com/iam/home?#home) di [https://console.aws.amazon.com](https://console.aws.amazon.com/).

1. Di panel navigasi, pilih **Peran**.

1. Pilih **Buat peran**.

1. Pilih tab **Layanan AWS **, lalu pilih **RDS** dari daftar layanan.

1. Pilih **RDS - Pemantauan yang Ditingkatkan**, lalu pilih **Berikutnya**.

1. Pastikan **kebijakan Izin** ditampilkan **AmazonRDSEnhancedMonitoringRole**, lalu pilih **Berikutnya**.

1. Untuk **Nama peran**, masukkan nama peran Anda. Misalnya, masukkan **emaccess**.

   Entitas tepercaya untuk peran Anda adalah AWS layanan **monitoring.rds.amazonaws.com**.

1. Pilih **Buat peran**.

## Mengaktifkan dan menonaktifkan Pemantauan yang Ditingkatkan
<a name="USER_Monitoring.OS.Enabling.Procedure"></a>

Anda dapat mengelola Enhanced Monitoring menggunakan Konsol Manajemen AWS, AWS CLI, atau RDS API. Anda dapat mengatur granularitas yang berbeda untuk pengumpulan metrik pada setiap instans . 

### Konsol
<a name="USER_Monitoring.OS.Enabling.Procedure.Console"></a>

Anda dapat mengaktifkan Enhanced Monitoring saat membuat instans DB, cluster Multi-AZ DB, , atau replika baca, atau saat Anda memodifikasi instans DB atau cluster DB. Jika Anda memodifikasi instans DB untuk mengaktifkan Enhanced Monitoring, Anda tidak perlu me-reboot instans DB Anda agar perubahan diterapkan. 

Anda dapat mengaktifkan Pemantauan yang Ditingkatkan di konsol RDS saat Anda melakukan salah satu tindakan berikut di halaman **Basis data**: 
+ **Buat instans Multi-AZ DB atau cluster DB** — Pilih **Buat database**.
+ **Buat replika baca** – Pilih **Tindakan**, lalu **Buat replika baca**.
+ **Ubah instans DB atau cluster Multi-AZ DB** — Pilih **Ubah**.

**Untuk mengaktifkan atau menonaktifkan Pemantauan yang Ditingkatkan di konsol RDS**

1. Gulir ke bagian **Konfigurasi tambahan**.

1. Di **Monitoring**, pilih **Aktifkan Pemantauan yang Ditingkatkan** untuk instans DB atau replika baca Anda. Hapus pilihan untuk menonaktifkan Enhanced Monitoring . 

1. Setel properti **Peran Pemantauan** ke peran IAM yang Anda buat untuk mengizinkan Amazon RDS berkomunikasi dengan CloudWatch Log Amazon untuk Anda, atau pilih **Default** agar RDS membuat peran untuk Anda namai. `rds-monitoring-role`

1. Atur properti **Granularity** ke interval, dalam hitungan detik, di antara titik saat metrik dikumpulkan untuk instans DB, atau replika baca Anda. Properti **Granularitas** dapat diatur ke salah satu nilai berikut: `1`, `5`, `10`, `15`, `30`, atau `60`.

   Waktu yang paling cepat di mana konsol RDS disegarkan adalah setiap 5 detik. Jika Anda mengatur granularitas ke 1 detik di konsol RDS, Anda masih dapat melihat metrik yang diperbarui hanya setiap 5 detik. Anda dapat mengambil pembaruan metrik 1 detik dengan menggunakan CloudWatch Log.

### AWS CLI
<a name="USER_Monitoring.OS.Enabling.Procedure.CLI"></a>

Untuk mengaktifkan Enhanced Monitoring menggunakan AWS CLI, dalam perintah berikut, atur `--monitoring-interval` opsi ke nilai selain `0` dan atur `--monitoring-role-arn` opsi ke peran yang Anda buat[Membuat peran IAM untuk Pemantauan yang Ditingkatkan](#USER_Monitoring.OS.Enabling.Prerequisites).
+ [create-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-instance.html)
+ [create-db-instance-read-replica](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-instance-read-replica.html)
+ [modify-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html)
+ [buat-db-cluster (cluster DB](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-cluster.html)) Multi-AZ 
+ [memodifikasi-db-cluster (cluster DB](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-cluster.html)) Multi-AZ 

Opsi `--monitoring-interval` menentukan interval, dalam detik, antara titik-titik saat metrik Pemantauan yang Ditingkatkan dikumpulkan. Nilai yang valid untuk opsi ini adalah `0`, `1`, `5`, `10`, `15`, `30`, dan `60`.

Untuk mematikan Enhanced Monitoring menggunakan AWS CLI, atur `--monitoring-interval` opsi ke `0` dalam perintah ini.

**Example**  
Contoh berikut mengaktifkan Pemantauan yang Ditingkatkan untuk instans DB:  
Untuk Linux, macOS, atau Unix:  

```
aws rds modify-db-instance \
    --db-instance-identifier {{mydbinstance}} \
    --monitoring-interval {{30}} \
    --monitoring-role-arn {{arn:aws:iam::123456789012:role/emaccess}}
```
Untuk Windows:  

```
aws rds modify-db-instance ^
    --db-instance-identifier {{mydbinstance}} ^
    --monitoring-interval {{30}} ^
    --monitoring-role-arn {{arn:aws:iam::123456789012:role/emaccess}}
```

**Example**  
Contoh berikut mengaktifkan Enhanced Monitoring untuk cluster Multi-AZ DB:  
Untuk Linux, macOS, atau Unix:  

```
aws rds modify-db-cluster \
    --db-cluster-identifier {{mydbcluster}} \
    --monitoring-interval {{30}} \
    --monitoring-role-arn {{arn:aws:iam::123456789012:role/emaccess}}
```
Untuk Windows:  

```
aws rds modify-db-cluster ^
    --db-cluster-identifier {{mydbcluster}} ^
    --monitoring-interval {{30}} ^
    --monitoring-role-arn {{arn:aws:iam::123456789012:role/emaccess}}
```

### API RDS
<a name="USER_Monitoring.OS.Enabling.Procedure.API"></a>

Untuk mengaktifkan Pemantauan yang Ditingkatkan menggunakan RDS API, atur parameter `MonitoringInterval` ke nilai selain `0` dan atur parameter `MonitoringRoleArn` ke peran yang Anda buat di [Membuat peran IAM untuk Pemantauan yang Ditingkatkan](#USER_Monitoring.OS.Enabling.Prerequisites). Tetapkan parameter ini dalam tindakan berikut:
+ [CreateDBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBInstance.html)
+ [CreateDBInstanceReadReplica](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBInstanceReadReplica.html)
+ [ModifyDBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html)
+ [CreatedBCluster (cluster](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBCluster.html) DB) Multi-AZ 
+ [ModifyDBCluster (cluster](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBCluster.html) DB) Multi-AZ 

Parameter `MonitoringInterval` menentukan interval, dalam detik, antara titik-titik saat metrik Pemantauan yang Ditingkatkan dikumpulkan. Nilai yang valid adalah `0`, `1`, `5`, `10`, `15`, `30`, dan `60`.

Untuk menonaktifkan Pemantauan yang Ditingkatkan menggunakan API RDS, atur `MonitoringInterval` ke `0`.

## Melindungi dari masalah confused deputy
<a name="USER_Monitoring.OS.confused-deputy"></a>

Masalah deputi yang bingung adalah masalah keamanan di mana entitas yang tidak memiliki izin untuk melakukan tindakan dapat memaksa entitas yang lebih istimewa untuk melakukan tindakan. Pada tahun AWS, peniruan lintas layanan dapat mengakibatkan masalah wakil yang membingungkan. Cross-service peniruan identitas dapat terjadi ketika satu layanan (layanan panggilan) *memanggil layanan* lain (layanan yang *disebut*). Layanan pemanggilan dapat dimanipulasi menggunakan izinnya untuk bertindak pada sumber daya pelanggan lain dengan cara yang seharusnya tidak dilakukannya kecuali bila memiliki izin untuk mengakses. Untuk mencegah hal ini, AWS menyediakan alat yang membantu Anda melindungi data untuk semua layanan dengan pengguna utama layanan yang telah diberi akses ke sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Masalah confused deputy](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).

Untuk membatasi izin ke sumber daya yang dapat diberikan Amazon RDS kepada layanan lain, sebaiknya gunakan kunci konteks kondisi global `aws:SourceArn` dan `aws:SourceAccount` dalam kebijakan kepercayaan untuk peran Pemantauan yang Ditingkatkan. Jika Anda menggunakan kedua kunci konteks kondisi global, keduanya harus menggunakan ID akun yang sama.

Cara paling efektif untuk melindungi dari masalah confused deputy adalah dengan menggunakan kunci konteks kondisi global `aws:SourceArn` dengan ARN lengkap sumber daya. Untuk Amazon RDS, atur `aws:SourceArn` ke `arn:aws:rds:{{Region}}:{{my-account-id}}:db:{{dbname}}`.

Contoh berikut menggunakan kunci konteks kondisi global `aws:SourceArn` dan `aws:SourceAccount` dalam kebijakan kepercayaan untuk mencegah masalah deputi yang bingung.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "monitoring.rds.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringLike": {
          "aws:SourceArn": "arn:aws:rds:{{Region}}:{{my-123456789012}}:db:{{dbname}}"
        },
        "StringEquals": {
          "aws:SourceAccount": "{{my-123456789012}}"
        }
      }
    }
  ]
}
```

------