Einrichten und Aktivieren von „Enhanced Monitoring“ (Erweiterte Überwachung) - Amazon Relational Database Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichten und Aktivieren von „Enhanced Monitoring“ (Erweiterte Überwachung)

Um „Enhanced Monitoring“ (Erweiterte Überwachung) zu verwenden, müssen Sie eine IAM-Rolle erstellen und dann „Enhanced Monitoring“ (Erweiterte Überwachung) aktivieren.

So erstellen Sie eine IAM-Rolle für „Enhanced Monitoring“ (Erweiterte Überwachung)

Enhanced Monitoring erfordert die Erlaubnis, in Ihrem Namen zu handeln, um Betriebssystem-Metrikinformationen an CloudWatch Logs zu senden. Sie gewähren Enhanced Monitoring-Berechtigungen mithilfe einer AWS Identity and Access Management (IAM-) Rolle. Sie können diese Rolle entweder erstellen, wenn Sie „Enhanced Monitoring“ (Erweiterte Überwachung) aktivieren oder vorher erstellen.

Erstellen der IAM-Rolle, wenn Sie „Enhanced Monitoring“ (Erweiterte Überwachung) aktivieren

Wenn Sie „Enhanced Monitoring“ (Erweiterte Überwachung) in der RDS-Konsole aktivieren, kann Amazon RDS die erforderliche IAM-Rolle für Sie erstellen. Der Name der Rolle lautet rds-monitoring-role. RDS verwendet diese Rolle für die angegebene DB-Instance, das Lesereplikat oder den Multi-AZ-DB-Cluster.

So erstellen Sie die IAM-Rolle beim Aktivieren von „Enhanced Monitoring“ (Erweiterte Überwachung)
  1. Führen Sie die Schritte unter au Aktivieren und Deaktivieren von „Enhanced Monitoring“ (Erweiterte Überwachung).

  2. Setzen Sie die Überwachungsrolle in dem Schritt, in dem Sie eine Rolle auswählen auf Standard.

Erstellen der IAM-Rolle, bevor Sie „Enhanced Monitoring“ (Erweiterte Überwachung) aktivieren

Sie können die erforderliche Rolle erstellen, bevor Sie „Enhanced Monitoring“ (Erweiterte Überwachung) aktivieren. Wenn Sie „Enhanced Monitoring“ (Erweiterte Überwachung) aktivieren, geben Sie den Namen Ihrer neuen Rolle an. Sie müssen diese erforderliche Rolle erstellen, wenn Sie „Enhanced Monitoring“ (Erweiterte Überwachung) mithilfe der AWS CLI oder RDS API aktivieren.

Der Benutzer, der „Enhanced Monitoring“ (Erweiterte Überwachung) aktiviert, muss über die PassRole-Berechtigung verfügen. Weitere Informationen finden Sie unter Beispiel 2 unter Erteilen von Benutzerberechtigungen zur Übergabe einer Rolle an einen AWS Dienst im IAM-Benutzerhandbuch.

So erstellen Sie eine IAM-Rolle für „Enhanced Monitoring“ (Erweiterte Überwachung) in Amazon RDS
  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com.

  2. Wählen Sie im Navigationsbereich Rollen aus.

  3. Wählen Sie Rolle erstellen aus.

  4. Wählen Sie die Registerkarte AWS -Service und RDS in der Liste der Services aus.

  5. Wählen Sie RDS – Enhanced Monitoring (RDS – erweiterte Überwachung) und Next (Weiter) aus.

  6. Vergewissern Sie sich, dass in den Berechtigungsrichtlinien AmazonRDS angezeigt wirdEnhancedMonitoringRole, und klicken Sie dann auf Weiter.

  7. Geben Sie unter Role name (Rollenname) einen Namen für Ihre Rolle ein. Geben Sie z. B. ei emaccess.

    Die vertrauenswürdige Entität für Ihre Rolle ist der AWS Service monitoring.rds.amazonaws.com.

  8. Wählen Sie Rolle erstellen aus.

Aktivieren und Deaktivieren von „Enhanced Monitoring“ (Erweiterte Überwachung)

Sie können Enhanced Monitoring mithilfe der, oder RDS-API ein- und ausschalten. AWS Management Console AWS CLI Sie wählen die RDS-DB-Instances aus, auf denen Sie die „Enhanced Monitoring“ (Erweiterte Überwachung) aktivieren möchten. Sie können für jede DB-Instance unterschiedliche Granularitäten für die Metriksammlung festlegen.

Sie können die erweiterte·Überwachung) aktivieren, wenn Sie eine DB-Instance, einen Multi-AZ-DB-Cluster oder ein Lesereplikat erstellen oder wenn Sie eine DB-Instance oder einen Multi-AZ-DB-Cluster ändern. Wenn Sie eine DB-Instance ändern, um „Enhanced Monitoring“·(Erweiterte·Überwachung) zu aktivieren, müssen Sie Ihre DB-Instance nicht neu starten, damit die Änderung wirksam wird.

Sie können „Enhanced Monitoring“·(Erweiterte·Überwachung) in der RDS-Konsole aktivieren, wenn Sie eine der folgenden Aktionen auf der Seite Databases (Datenbanken) ausführen:

  • Erstellen einer DB-Instance oder eines Multi-AZ-DB-Clusters – Wählen Sie Create database (Datenbank erstellen) aus.

  • Erstellen eines Lesereplikats – Wählen Sie Actions (Aktionen) und dann Create Read Replica (Lesereplikat erstellen) aus.

  • Modify a DB instance (Eine DB-Instance ändern) oder Multi-AZ-DB-Cluster – wählen Sie Modify (Ändern) aus.

„Enhanced Monitoring“ (Erweiterte Überwachung) in der RDS-Konsole aktivieren/deaktivieren
  1. Scrollen Sie zu Additional Configuration (Zusätzliche Konfiguration).

  2. Wählen Sie unter Monitoring Enable enhanced monitoring (Erweiterte Überwachung aktivieren) für Ihre DB-Instance oder Ihr Lesereplikat aus. Klicken Sie zum Deaktivieren von „Enhanced Monitoring“ (Erweiterte Überwachung) auf Disable Enhanced Monitoring (Erweiterte Überwachung deaktivieren).

  3. Setzen Sie die Eigenschaft Monitoring Role auf die IAM-Rolle, die Sie erstellt haben, damit Amazon RDS für Sie mit Amazon CloudWatch Logs kommunizieren kann, oder wählen Sie Standard, damit RDS eine Rolle für Sie erstellt. rds-monitoring-role

  4. Stellen Sie die Eigenschaft Granularity (Granularität) auf das Intervall (in Sekunden) zwischen Punkten ein, an denen Metriken für Ihre DB-Instance oder Ihr Lesereplikat erfasst werden. Die Eigenschaft Granularität kann auf einen der folgenden Werte eingestellt werden: 1, 5, 10, 15, 30 oder 60.

    Die schnellste Aktualisierung der RDS-Konsole erfolgt alle 5 Sekunden. Wenn Sie die Granularität in der RDS-Konsole auf 1 Sekunde einstellen, sehen Sie die aktualisierten Metriken dennoch nur alle 5 Sekunden. Mithilfe von Logs können Sie Metrik-Updates innerhalb von einer CloudWatch Sekunde abrufen.

Um Enhanced Monitoring mit den AWS CLI folgenden Befehlen zu aktivieren, setzen Sie die --monitoring-interval Option auf einen anderen Wert als 0 und setzen Sie die --monitoring-role-arn Option auf die Rolle, in So erstellen Sie eine IAM-Rolle für „Enhanced Monitoring“ (Erweiterte Überwachung) der Sie sie erstellt haben.

Die Option --monitoring-interval gibt das Intervall in Sekunden zwischen den Punkten an, an denen Enhanced Monitoring-Metriken erfasst werden. Gültige Werte für die Option sind 0, 1, 5, 10, 15, 30 und 60.

Um Enhanced Monitoring mit dem zu deaktivieren AWS CLI, setzen Sie die --monitoring-interval Option 0 in diesen Befehlen auf.

Beispiel

Im folgenden Beispiel wird „Enhanced Monitoring“·(Erweiterte·Überwachung) für eine DB-Instance aktiviert:

Für LinuxmacOS, oderUnix:

aws rds modify-db-instance \ --db-instance-identifier mydbinstance \ --monitoring-interval 30 \ --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess

Windows:

aws rds modify-db-instance ^ --db-instance-identifier mydbinstance ^ --monitoring-interval 30 ^ --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess
Beispiel

Im folgenden Beispiel wird „Enhanced Monitoring“·(Erweiterte·Überwachung) für ein Multi-AZ-DB-Cluster aktiviert:

Für LinuxmacOS, oderUnix:

aws rds modify-db-cluster \ --db-cluster-identifier mydbcluster \ --monitoring-interval 30 \ --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess

Windows:

aws rds modify-db-cluster ^ --db-cluster-identifier mydbcluster ^ --monitoring-interval 30 ^ --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess

Um „Enhanced Monitoring“ (Erweiterte Überwachung) mithilfe der RDS API zu aktivieren, setzen Sie den Parameter MonitoringInterval auf einen anderen Wert als 0 und legen Sie den Parameter MonitoringRoleArn auf die Rolle fest, die Sie in So erstellen Sie eine IAM-Rolle für „Enhanced Monitoring“ (Erweiterte Überwachung) erstellt haben. Legen Sie diese Parameter in den folgenden Aktionen fest:

Der Parameter MonitoringInterval gibt das Intervall in Sekunden zwischen den Punkten an, an denen Enhanced Monitoring-Metriken erfasst werden. Gültige Werte sind: 0, 1, 5, 10, 15, 30 und 60.

Um „Enhanced Monitoring“ (Erweiterte Überwachung) mit Hilfe der RDS API zu deaktivieren, setzen Sie MonitoringInterval auf 0.

Schutz vor dem Confused-Deputy-Problem

Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann. In AWS kann ein dienstübergreifendes Identitätswechsels zum Problem des verwirrten Stellvertreters führen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der Anruf-Dienst) einen anderen Dienst anruft (den aufgerufenen Dienst). Der aufrufende Service kann manipuliert werden, um seine Berechtigungen zu verwenden, um Aktionen auf die Ressourcen eines anderen Kunden auszuführen, für die er sonst keine Zugriffsberechtigung haben sollte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben. Weitere Informationen finden Sie unter Confused-Deputy-Problem.

Um die Berechtigungen einzuschränken, die Amazon RDS einem anderen Service für eine Ressource gewährt, empfehlen wir die globalen Bedingungskontextschlüssel aws:SourceArn und aws:SourceAccount in einer Vertrauensrichtlinie für Ihre Enhanced-Monitoring-Rolle. Wenn Sie beide globalen Bedingungskontextschlüssel verwenden, müssen diese dieselbe Konto-ID verwenden.

Der effektivste Weg, um sich vor dem Confused-Deputy-Problem zu schützen, ist die Verwendung des globalen Bedingungskontextschlüssels aws:SourceArn mit dem vollständigen ARN der Ressource. Setzen Sie für Amazon RDS aws:SourceArn auf arn:aws:rds:Region:my-account-id:db:dbname.

Im folgenden Beispiel werden die globalen Bedingungskontextschlüssel aws:SourceArn und aws:SourceAccount in einer Vertrauensrichtlinie verwendet, um das Confused-Deputy-Problem zu verhindern.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "monitoring.rds.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringLike": { "aws:SourceArn": "arn:aws:rds:Region:my-account-id:db:dbname" }, "StringEquals": { "aws:SourceAccount": "my-account-id" } } } ] }