Configuración de directivas de acceso para información sobre rendimiento

Para acceder a Información sobre rendimiento, debe tener los permisos adecuados de AWS Identity and Access Management (IAM). Tiene las siguientes opciones para conceder acceso:

• Asocie la política administrada AmazonRDSPerformanceInsightsReadOnly a un conjunto de permisos o a un rol.

• Cree una política de IAM personalizada y asóciela a un conjunto de permisos o a un rol.

Además, si especificó una clave administrada por el cliente al activar Información sobre rendimiento, asegúrese de que los usuarios de su cuenta tengan los permisos kms:Decrypt y kms:GenerateDataKey sobre la clave de KMS.

nota

Para el cifrado en reposo con la administración de claves AWS KMS y grupos de seguridad, Amazon DocumentDB aprovecha la tecnología operativa que se comparte con Amazon RDS.

Adjuntar la política AmazonRDSPerformanceInsightsReadOnly a una entidad principal de IAM

AmazonRDSPerformanceInsightsReadOnly es una política administrada por AWS que concede acceso a todas las operaciones de solo lectura de la API de Información sobre rendimiento de Amazon DocumentDB. Actualmente, todas las operaciones de esta API son de solo lectura. Si asocia AmazonRDSPerformanceInsightsReadOnly a un conjunto de permisos o a un rol, el destinatario puede utilizar Información de rendimiento con las demás características de la consola.

Creación de una política de IAM personalizada para la información sobre rendimiento

Para los usuarios que no tienen la política AmazonRDSPerformanceInsightsReadOnly, puede conceder acceso a Información sobre rendimiento creando o modificando una política de IAM administrada por el usuario. Al asociar la política a un conjunto de permisos o a un rol, el destinatario puede utilizar Información de rendimiento.

Para crear una política personalizada

1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

2. En el panel de navegación, seleccione Policies (Políticas).

3. Elija Create Policy (Crear política).

4. En la página Create Policy (Crear política), elija la pestaña JSON.

5. Copie y pegue el texto siguiente y sustituya us-east-1 por el nombre de su región de AWS y 111122223333 por su número de cuenta de cliente.

   
   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "rds:DescribeDBInstances",
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": "rds:DescribeDBClusters",
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": "pi:DescribeDimensionKeys",
               "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
           },
           {
               "Effect": "Allow",
               "Action": "pi:GetDimensionKeyDetails",
               "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
           },
           {
               "Effect": "Allow",
               "Action": "pi:GetResourceMetadata",
               "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
           },
           {
               "Effect": "Allow",
               "Action": "pi:GetResourceMetrics",
               "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
           },
           {
               "Effect": "Allow",
               "Action": "pi:ListAvailableResourceDimensions",
               "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
           },
           {
               "Effect": "Allow",
               "Action": "pi:ListAvailableResourceMetrics",
               "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
           }
       ]
   }

6. Elija Review policy (Revisar política).

7. Proporcione un nombre para la política y, opcionalmente, una descripción, a continuación, elija Create policy (Crear política).

Ahora ya puede asociar la política a un conjunto de permisos o a un rol. En el procedimiento siguiente, se presupone que ya tiene un usuario para este fin.

Para asociar la política a un usuario

1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

2. En el panel de navegación, seleccione Users.

3. Elija en la lista un usuario existente.

   importante

   Para utilizar Información sobre rendimiento, asegúrese de tener acceso a Amazon DocumentDB además de la política personalizada. Por ejemplo, la política predefinida AmazonDocdBreadOnlyAccess ofrece acceso de solo lectura a Amazon DocDB. Para obtener más información, consulte Administración de acceso a través de políticas.

4. En la página Summary (Resumen), elija Añadir permisos.

5. Elija Attach existing policies directly (Adjuntar polìticas existentes directamente). En Search (Buscar), escriba los primeros caracteres del nombre de la política, como se muestra más abajo.

   

6. Elija la política y, a continuación, elija Next: Review.

7. Elija Add permissions (Agregar permisos).

Configuración de una política de AWS KMS para Performance Insights

Performance Insights utiliza una AWS KMS key para cifrar información confidencial. Cuando habilita la información sobre rendimiento a través de la API o la consola, tiene las siguientes opciones:

• Elegir la Clave administrada de AWS predeterminada.

  Amazon DocumentDB utiliza la Clave administrada de AWS para su nueva instancia de base de datos. Amazon DocumentDB crea una Clave administrada de AWS para su cuenta de AWS. Su cuenta de AWS tiene una Clave administrada de AWS diferente para Amazon DocumentDB para cada región de AWS.

• Elija una clave administrada por el cliente.

  Si especifica una clave administrada por el cliente, los usuarios de su cuenta que llamen a la API de Performance Insights necesitarán los permisos kms:Decrypt y kms:GenerateDataKey sobre la clave de KMS. Puede configurar estos permisos a través de directivas de IAM. Sin embargo, le recomendamos que administre estos permisos a través de su directiva de clave KMS. Para obtener más información, consulte Uso de políticas clave en AWS KMS.

La siguiente política de clave de ejemplo muestra cómo agregar instrucciones a la clave de KMS. Estas instrucciones permiten el acceso a la información sobre rendimiento. Dependiendo de cómo utilice la AWS KMS, es posible que desee cambiar algunas restricciones. Antes de agregar sentencias a la directiva, elimine todos los comentarios.

{
 "Version" : "2012-10-17",
 "Id" : "your-policy",
 "Statement" : [ {
    //This represents a statement that currently exists in your policy.
 }
 ....,
 //Starting here, add new statement to your policy for Performance Insights.
 //We recommend that you add one new statement for every RDS/DocumentDB instance
 {
    "Sid" : "Allow viewing RDS Performance Insights",
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            //One or more principals allowed to access Performance Insights
            "arn:aws:iam::444455556666:role/Role1"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition" :{
        "StringEquals" : {
            //Restrict access to only RDS APIs (including Performance Insights).
            //Replace *region* with your AWS Region. 
            //For example, specify us-west-2.
            "kms:ViaService" : "rds.*region*.amazonaws.com"
        },
        "ForAnyValue:StringEquals": {
            //Restrict access to only data encrypted by Performance Insights.
            "kms:EncryptionContext:aws:pi:service": "rds",
            "kms:EncryptionContext:service": "pi",
            
            //Restrict access to a specific DocDB instance.
            //The value is a DbiResourceId.
           "kms:EncryptionContext:aws:rds:db-id": "db-AAAAABBBBBCCCCDDDDDEEEEE"
        }
    }
}