Adjuntar la mazonRDSPerformance InsightsReadOnly política A a un director IAM Creación de una IAM política personalizada para Performance Insights Configuración de una AWS KMS política para Performance Insights

Configuración de directivas de acceso para información sobre rendimiento

Para acceder a Performance Insights, debe tener los permisos adecuados de AWS Identity and Access Management (IAM). Tiene las siguientes opciones para conceder acceso:

Asocie la política administrada AmazonRDSPerformanceInsightsReadOnly a un conjunto de permisos o a un rol.
Cree una IAM política personalizada y adjúntela a un conjunto de permisos o un rol.

Además, si especificó una clave gestionada por el cliente al activar Performance Insights, asegúrese de que los usuarios de su cuenta tengan la KMS clave kms:Decrypt y kms:GenerateDataKey los permisos correspondientes.

nota

Para la encryption-at-rest administración de AWS KMS claves y grupos de seguridad, Amazon DocumentDB aprovecha la tecnología operativa que se comparte con Amazon. RDS

Adjuntar la mazonRDSPerformance InsightsReadOnly política A a un director IAM

AmazonRDSPerformanceInsightsReadOnlyes una política AWS gestionada que concede acceso a todas las operaciones de solo lectura de Amazon DocumentDB Performance Insights. API Actualmente, todas sus operaciones son de solo lectura. API Si asocia AmazonRDSPerformanceInsightsReadOnly a un conjunto de permisos o a un rol, el destinatario puede utilizar Información de rendimiento con las demás características de la consola.

Creación de una IAM política personalizada para Performance Insights

Para los usuarios que no tienen la AmazonRDSPerformanceInsightsReadOnly política, puede conceder acceso a Performance Insights creando o modificando una IAM política administrada por el usuario. Al asociar la política a un conjunto de permisos o a un rol, el destinatario puede utilizar Información de rendimiento.

Creación de una política personalizada

Abra la IAM consola en. https://console.aws.amazon.com/iam/
En el panel de navegación, seleccione Políticas.
Elija Create Policy (Crear política).
En la página Crear política, seleccione la JSON pestaña.

Copie y pegue el siguiente texto, sustituyendo us-east-1 con el nombre de su AWS región y 111122223333 con su número de cuenta de cliente.



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rds:DescribeDBInstances",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "rds:DescribeDBClusters",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:DescribeDimensionKeys",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:GetDimensionKeyDetails",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:GetResourceMetadata",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:GetResourceMetrics",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:ListAvailableResourceDimensions",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:ListAvailableResourceMetrics",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        }
    ]
}

Elija Review policy (Revisar política).
Proporcione un nombre para la política y, opcionalmente, una descripción, a continuación, elija Create policy (Crear política).

Ahora ya puede asociar la política a un conjunto de permisos o a un rol. En el procedimiento siguiente, se presupone que ya tiene un usuario para este fin.

Asociación de la política a un usuario

Abra la IAM consola en https://console.aws.amazon.com/iam/.
En el panel de navegación, seleccione Users.
Elija en la lista un usuario existente.

importante
Para utilizar Información sobre rendimiento, asegúrese de tener acceso a Amazon DocumentDB además de la política personalizada. Por ejemplo, la política AmazonDocDBReadOnlyAccesspredefinida proporciona acceso de solo lectura a Amazon DocDB. Para obtener más información, consulte Administrar el acceso mediante políticas.
En la página Summary (Resumen), elija Añadir permisos.
Elija Attach existing policies directly (Adjuntar políticas existentes directamente). En Search (Buscar), escriba los primeros caracteres del nombre de la política, como se muestra más abajo.
Elija la política y, a continuación, elija Next: Review.
Elija Add permissions (Agregar permisos).

Configuración de una AWS KMS política para Performance Insights

Performance Insights utiliza AWS KMS key y para cifrar datos confidenciales. Al habilitar Performance Insights a través de la consola API o la consola, tiene las siguientes opciones:

Elija la opción predeterminada Clave administrada de AWS.

Amazon DocumentDB usa el Clave administrada de AWS para su nueva instancia de base de datos. Amazon DocumentDB crea una Clave administrada de AWS para su cuenta. AWS Su AWS cuenta tiene una cuenta de Amazon DocumentDB diferente Clave administrada de AWS para cada AWS región.
Elija una clave administrada por el cliente.

Si especificas una clave gestionada por el cliente, los usuarios de tu cuenta que llamen a Performance Insights API necesitarán la KMS clave kms:Decrypt y kms:GenerateDataKey los permisos correspondientes. Puede configurar estos permisos mediante IAM políticas. Sin embargo, le recomendamos que administre estos permisos a través de su política de KMS claves. Para obtener más información, consulte Uso de políticas clave en AWS KMS.

El siguiente ejemplo de política clave muestra cómo añadir declaraciones a su política KMS clave. Estas instrucciones permiten el acceso a la información sobre rendimiento. En función de cómo la utilices AWS KMS, es posible que desees cambiar algunas restricciones. Antes de agregar sentencias a la directiva, elimine todos los comentarios.


{
 "Version" : "2012-10-17",
 "Id" : "your-policy",
 "Statement" : [ {
    //This represents a statement that currently exists in your policy.
 }
 ....,
 //Starting here, add new statement to your policy for Performance Insights.
 //We recommend that you add one new statement for every RDS/DocumentDB instance
 {
    "Sid" : "Allow viewing RDS Performance Insights",
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            //One or more principals allowed to access Performance Insights
            "arn:aws:iam::444455556666:role/Role1"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition" :{
        "StringEquals" : {
            //Restrict access to only RDS APIs (including Performance Insights).
            //Replace *region* with your AWS Region. 
            //For example, specify us-west-2.
            "kms:ViaService" : "rds.*region*.amazonaws.com"
        },
        "ForAnyValue:StringEquals": {
            //Restrict access to only data encrypted by Performance Insights.
            "kms:EncryptionContext:aws:pi:service": "rds",
            "kms:EncryptionContext:service": "pi",
            
            //Restrict access to a specific DocDB instance.
            //The value is a DbiResourceId.
           "kms:EncryptionContext:aws:rds:db-id": "db-AAAAABBBBBCCCCDDDDDEEEEE"
        }
    }
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Activación y desactivación de Información sobre rendimiento

Análisis de métricas mediante el panel de Información sobre rendimiento