Änderung einer AWS KMS Richtlinie für Performance Insights

Performance Insights verwendet an AWS KMS key , um sensible Daten zu verschlüsseln. Wenn Sie Performance Insights über die API oder die Konsole aktivieren, haben Sie folgende Möglichkeiten:

• Wählen Sie die Standardeinstellung Von AWS verwalteter Schlüssel.

  Amazon RDS verwendet die Von AWS verwalteter Schlüssel für Ihre neue DB-Instance. Amazon RDS erstellt einen Von AWS verwalteter Schlüssel für Ihr AWS-Konto. Ihr AWS-Konto hat für jeden einen anderen Von AWS verwalteter Schlüssel für Amazon RDS AWS-Region.

• Wählen Sie einen kundenverwalteten Schlüssel.

  Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, benötigen Benutzer in Ihrem Konto, die die Performance Insights API aufrufen, die Berechtigungen kms:Decrypt und kms:GenerateDataKey für den KMS-Schlüssel. Sie können diese Berechtigungen über IAM-Richtlinien konfigurieren. Wir empfehlen jedoch, dass Sie diese Berechtigungen über Ihre KMS-Schlüsselrichtlinie verwalten. Weitere Informationen finden Sie unter Schlüsselrichtlinien in AWS KMS im Entwicklerhandbuch für AWS Key Management Service .

Das folgende Beispiel zeigt, wie Sie Ihrer KMS-Schlüsselrichtlinie Anweisungen hinzufügen können. Diese Anweisungen erlaubt den Zugriff auf Performance Insights. Je nachdem, wie Sie den KMS-Schlüssel verwenden, möchten Sie möglicherweise einige Einschränkungen ändern. Bevor Sie Ihrer Richtlinie Anweisungen hinzufügen, entfernen Sie alle Kommentare.

JSON

{
    "Version" : "2012-10-17",
    "Id" : "your-policy",
    "Statement" : [ 
        {
            "Sid" : "AllowViewingRDSPerformanceInsights",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::444455556666:role/Role1"
                ]
                },
             "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
                ],
            "Resource": "*",
            "Condition" : {
            "StringEquals" : {
                "kms:ViaService" : "rds.us-east-1.amazonaws.com"
                },
            "ForAnyValue:StringEquals": {
                "kms:EncryptionContext:aws:pi:service": "rds",
                "kms:EncryptionContext:service": "pi",
                "kms:EncryptionContext:aws:rds:db-id": "db-AAAAABBBBBCCCCDDDDDEEEEE"
                }
            }
        }
    ]
}

So verwendet Performance Insights vom AWS KMS Kunden verwaltete Schlüssel

Performance Insights verwendet vom Kunden verwaltete Schlüssel, um vertrauliche Daten zu verschlüsseln. Wenn Sie Performance Insights aktivieren, können Sie einen AWS KMS -Schlüssel über die API bereitstellen. Performance Insights erstellt KMS-Berechtigungen für diesen Schlüssel. Das Feature verwendet den Schlüssel und führt die erforderlichen Operationen aus, um vertrauliche Daten zu verarbeiten. Zu den vertraulichen Daten gehören Felder wie Benutzer, Datenbank, Anwendung und SQL-Abfragetext. Performance Insights stellt sicher, dass die Daten sowohl im Ruhezustand als auch während der Übertragung verschlüsselt bleiben.

So arbeitet Performance Insights IAM mit AWS KMS

IAM erteilt Berechtigungen für bestimmte. APIs Performance Insights hat die folgenden öffentlichen Bereiche APIs, die Sie mithilfe von IAM-Richtlinien einschränken können:

• DescribeDimensionKeys

• GetDimensionKeyDetails

• GetResourceMetadata

• GetResourceMetrics

• ListAvailableResourceDimensions

• ListAvailableResourceMetrics

Sie können die folgenden API-Abfragen verwenden, um vertrauliche Daten abzurufen.

• DescribeDimensionKeys

• GetDimensionKeyDetails

• GetResourceMetrics

Wenn Sie die API verwenden, um vertrauliche Daten abzurufen, nutzt Performance Insights die Anmeldeinformationen des Aufrufers. Diese Überprüfung stellt sicher, dass der Zugriff auf vertrauliche Daten auf Benutzer beschränkt ist, die Zugriff auf den KMS-Schlüssel haben.

Wenn Sie diese aufrufen APIs, benötigen Sie Berechtigungen zum Aufrufen der API über die IAM-Richtlinie und Berechtigungen zum Aufrufen der kms:decrypt Aktion über die AWS KMS Schlüsselrichtlinie.

Die API GetResourceMetrics kann sowohl vertrauliche als auch nicht vertrauliche Daten zurückgeben. Die Anforderungsparameter bestimmen, ob die Antwort vertrauliche Daten enthalten soll. Die API gibt vertrauliche Daten zurück, wenn die Anfrage eine vertrauliche Dimension im Filter- oder Group-by-Parameter enthält.

Weitere Informationen zu den Dimensionen, die Sie mit der GetResourceMetrics API verwenden können, finden Sie unter. DimensionGroup

Beispiele

Im folgenden Beispiel werden die vertraulichen Daten für die Gruppe db.user angefordert:

POST / HTTP/1.1
Host: <Hostname>
Accept-Encoding: identity
X-Amz-Target: PerformanceInsightsv20180227.GetResourceMetrics
Content-Type: application/x-amz-json-1.1
User-Agent: <UserAgentString>
X-Amz-Date: <Date> 
Authorization: AWS4-HMAC-SHA256 Credential=<Credential>, SignedHeaders=<Headers>, Signature=<Signature>
Content-Length: <PayloadSizeBytes>
{
  "ServiceType": "RDS",
  "Identifier": "db-ABC1DEFGHIJKL2MNOPQRSTUV3W",
  "MetricQueries": [
    {
      "Metric": "db.load.avg",
      "GroupBy": {
        "Group": "db.user",
        "Limit": 2
      }
    }
  ],
  "StartTime": 1693872000,
  "EndTime": 1694044800,
  "PeriodInSeconds": 86400
}
				

Im folgenden Beispiel werden die nicht vertraulichen Daten für die Metrik db.load.avg angefordert:

POST / HTTP/1.1
Host: <Hostname>
Accept-Encoding: identity
X-Amz-Target: PerformanceInsightsv20180227.GetResourceMetrics
Content-Type: application/x-amz-json-1.1
User-Agent: <UserAgentString>
X-Amz-Date: <Date> 
Authorization: AWS4-HMAC-SHA256 Credential=<Credential>, SignedHeaders=<Headers>, Signature=<Signature>
Content-Length: <PayloadSizeBytes>
{
    "ServiceType": "RDS",
    "Identifier": "db-ABC1DEFGHIJKL2MNOPQRSTUV3W",
    "MetricQueries": [
        {
            "Metric": "db.load.avg"
        }
    ],
    "StartTime": 1693872000,
    "EndTime": 1694044800,
    "PeriodInSeconds": 86400
}