Configurare e abilitare il monitoraggio avanzato - Amazon Relational Database Service
Creazione di un ruolo IAM per Enhanced MonitoringAttivazione e disattivazione del monitoraggio avanzatoProtezione dal problema del "confused deputy"

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurare e abilitare il monitoraggio avanzato

Per utilizzare il monitoraggio avanzato, è necessario creare un ruolo IAM e quindi abilitare il monitoraggio avanzato.

Creazione di un ruolo IAM per Enhanced Monitoring

Il monitoraggio avanzato richiede l'autorizzazione ad agire per conto dell'utente per inviare le informazioni sui parametri del sistema operativo ai CloudWatch registri. Concedi le autorizzazioni di Enhanced Monitoring utilizzando un ruolo AWS Identity and Access Management (IAM). È possibile creare questo ruolo quando si abilita il monitoraggio avanzato o lo si crea in anticipo.

Creazione del ruolo IAM quando si attiva Enhanced Monitoring

Quando si attiva Enhanced Monitoring nella console RDS, Amazon RDS è possibile creare il ruolo IAM necessario. Il ruolo è denominato rds-monitoring-role. RDS utilizza questo ruolo per l'istanza database specificata, la replica di lettura o il cluster di database Multi-AZ.

Per creare il ruolo IAM quando si attiva Enhanced Monitoring

  1. Segui la procedura riportata in Attivazione e disattivazione del monitoraggio avanzato.

  2. Imposta Ruolo di monitoraggio su Predefinito nel passaggio in cui si sceglie un ruolo.

Creazione del ruolo IAM prima di abilitare Enhanced Monitoring

È possibile creare il ruolo richiesto prima di abilitare Enhanced Monitoring. Quando si abilita Enhanced Monitoring, specifica il nome del nuovo ruolo. Si deve creare questo ruolo necessario se si abilita il monitoraggio avanzato utilizzando AWS CLI oppure l'API RDS.

L'utente che abilita il monitoraggio avanzato deve ricevere l'autorizzazione PassRole. Per ulteriori informazioni, consulta l'Esempio 2 in Concessione a un utente delle autorizzazioni per il trasferimento di un ruolo a un AWS servizio nella Guida per l'utente IAM.

Per creare un ruolo IAM per Amazon RDS Enhanced Monitoring

  1. Apri la console IAM all'indirizzo. https://console.aws.amazon.com

  2. Nel pannello di navigazione, seleziona Roles (Ruoli).

  3. Selezionare Create role (Crea ruolo).

  4. Scegliere la scheda Servizio AWS quindi seleziona RDS dall’elenco di servizi.

  5. Scegli RDS - Enhanced Monitoring (RDS - Monitoraggio avanzato), quindi seleziona Next (Avanti).

  6. Assicurati che le politiche di autorizzazione mostrino Amazon RDSEnhanced MonitoringRole, quindi scegli Avanti.

  7. In Nome ruolo, immetti un nome per il ruolo. Ad esempio, specifica emaccess.

    L'entità affidabile per il tuo ruolo è il AWS servizio monitoring.rds.amazonaws.com.

  8. Scegliere Crea ruolo.

Attivazione e disattivazione del monitoraggio avanzato

Puoi gestire il monitoraggio avanzato utilizzando l'API, o RDS. AWS Management Console AWS CLIÈ possibile impostare diverse granularità per la raccolta delle metriche su ogni istanza DB del cluster .

È possibile attivare il monitoraggio avanzato quando si crea un’istanza database, un cluster di database Multi-AZ, o una replica di lettura oppure quando si modifica un’istanza database o un cluster di database Multi-AZ. Se modifichi un'istanza DB per attivare il monitoraggio avanzato, non è necessario riavviare l'istanza DB per rendere effettiva la modifica.

È possibile abilitare il monitoraggio avanzato nella console RDS quando si esegue una delle seguenti operazioni nella pagina Databases (Database):

  • Creazione di un’istanza database o un cluster di database Multi-AZ: scegli Create database (Crea database).

  • Creazione di una replica di lettura: scegli Actions (Operazioni), quindi Create read replica (Crea replica di lettura).

  • Modifica un'istanza DB DB Multi-AZ: scegli Modifica.

Per attivare o disattivare il monitoraggio avanzato nella console RDS

  1. Scorri fino a Additional configuration (Configurazione aggiuntiva).

  2. In Monitoring, scegli Enhanced Monitoring per l'istanza DB o la replica di lettura. Deseleziona l'opzione per disabilitare il monitoraggio avanzato .

  3. Imposta la proprietà Monitoring Role sul ruolo IAM che hai creato per consentire ad Amazon RDS di comunicare con Amazon CloudWatch Logs per te, oppure scegli Default per fare in modo che RDS crei un ruolo per te denominato. rds-monitoring-role

  4. Imposta la proprietà Granularity sull'intervallo, in secondi, tra i punti in cui vengono raccolte le metriche per l'istanza DB il cluster DB o la replica di lettura. La proprietà Granularity (Granularità) può essere impostata su uno dei valori seguenti: 1, 5, 10, 15, 30 oppure 60.

    L'intervallo più veloce in cui la console RDS si aggiorna è ogni 5 secondi. Se si imposta la granularità su 1 secondo nella console RDS, vengono comunque visualizzati parametri aggiornati solo ogni 5 secondi. Puoi recuperare gli aggiornamenti delle metriche di 1 secondo utilizzando Logs. CloudWatch

Per attivare il monitoraggio avanzato utilizzando i comandi seguenti AWS CLI, impostate l'--monitoring-intervalopzione su un valore diverso da 0 e impostate l'--monitoring-role-arnopzione sul ruolo in cui avete creato. Creazione di un ruolo IAM per Enhanced Monitoring

L'opzione --monitoring-interval specifica l'intervallo, in secondi, tra i punti quando vengono raccolti i parametri di monitoraggio avanzato. I valori validi per l'opzione sono 0, 1, 5, 10, 15, 30 e 60.

Per disattivare il monitoraggio avanzato utilizzando il AWS CLI, imposta l'--monitoring-intervalopzione su 0 in questi comandi.

Esempio

Nell'esempio seguente viene attivato il monitoraggio avanzato per un'istanza database:

In Linux, macOS, oppure Unix:

aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --monitoring-interval 30 \
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess

In Windows:

aws rds modify-db-instance ^
    --db-instance-identifier mydbinstance ^
    --monitoring-interval 30 ^
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess
Esempio

Nell'esempio seguente viene attivato il monitoraggio avanzato per un cluster di database Multi-AZ:

In Linux, macOS, oppure Unix:

aws rds modify-db-cluster \
    --db-cluster-identifier mydbcluster \
    --monitoring-interval 30 \
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess

In Windows:

aws rds modify-db-cluster ^
    --db-cluster-identifier mydbcluster ^
    --monitoring-interval 30 ^
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess

Per attivare il monitoraggio avanzato utilizzando l'API RDS, imposta il parametro MonitoringInterval su un valore diverso da 0 e imposta il parametro MonitoringRoleArn sul ruolo creato in Creazione di un ruolo IAM per Enhanced Monitoring. Imposta questi parametri nelle seguenti operazioni:

Il parametro MonitoringInterval specifica l'intervallo, in secondi, tra i punti quando vengono raccolti i parametri di monitoraggio avanzato. I valori validi sono 0, 1, 5, 10, 15, 30 e 60.

Per disattivare il monitoraggio avanzato utilizzando l'API RDS, imposta MonitoringInterval su 0.

Protezione dal problema del "confused deputy"

Con "confused deputy" si intende un problema di sicurezza in cui un'entità che non dispone dell'autorizzazione per eseguire una certa operazione può costringere un'entità con più privilegi a eseguire tale operazione. Nel AWS, l'impersonificazione tra servizi può portare alla confusione del vicesceriffo. La rappresentazione tra servizi può verificarsi quando un servizio (il servizio chiamante) effettua una chiamata a un altro servizio (il servizio chiamato). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l'accesso alle risorse del tuo account. Per ulteriori informazioni, consulta Problema del "confused deputy".

Per limitare le autorizzazioni relative alle risorse che Amazon RDS può fornire a un altro servizio, si consiglia di utilizzare le chiavi di contesto delle condizioni globali aws:SourceArn e aws:SourceAccount in una policy di attendibilità per il tuo ruolo di monitoraggio avanzato. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali, devono utilizzare lo stesso ID account.

Il modo più efficace per proteggersi dal problema "confused deputy" è quello di usare la chiave di contesto della condizione globale aws:SourceArn con l'ARN completo della risorsa. Per Amazon RDS, imposta aws:SourceArn su arn:aws:rds:Region:my-account-id:db:dbname.

L'esempio seguente usa le chiavi di contesto delle condizioni globali aws:SourceArn e aws:SourceAccount in una policy di affidabilità per prevenire il problema del "confused deputy".

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "monitoring.rds.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringLike": {
          "aws:SourceArn": "arn:aws:rds:Region:my-account-id:db:dbname"
        },
        "StringEquals": {
          "aws:SourceAccount": "my-account-id"
        }
      }
    }
  ]
}