Configuration et activation de la surveillance améliorée - Amazon Aurora
Création d'un rôle IAM pour la surveillance amélioréeActiver et désactiver la surveillance amélioréeLutter contre le problème de l'adjoint confus

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration et activation de la surveillance améliorée

Pour utiliser la surveillance améliorée, vous devez créer un rôle IAM, puis activer la surveillance améliorée.

Création d'un rôle IAM pour la surveillance améliorée

La surveillance améliorée nécessite l'autorisation d'agir en votre nom pour envoyer des informations métriques du système d'exploitation à CloudWatch Logs. Vous accordez des autorisations de surveillance améliorée à l'aide d'un rôle AWS Identity and Access Management (IAM). Vous pouvez soit créer ce rôle lorsque vous activez la surveillance améliorée, soit le créer au préalable.

Création du rôle IAM lorsque vous activez la surveillance améliorée

Lorsque vous activez la surveillance améliorée dans la console RDS, Amazon RDS peut créer le rôle IAM requis pour vous. Le rôle est nommé rds-monitoring-role. RDS utilise ce rôle pour l'instance de base de données, le réplica en lecture spécifié ou le cluster de base de données Multi-AZ.

Pour créer le rôle IAM lors de l'activation de la surveillance améliorée

  1. Suivez les étapes de Activer et désactiver la surveillance améliorée.

  2. Définissez Rôle de surveillance sur Par défaut à l'étape où vous choisissez un rôle.

Création du rôle IAM avant d'activer la surveillance améliorée

Vous pouvez créer le rôle requis avant d'activer la surveillance améliorée. Lorsque vous activez la surveillance améliorée, spécifiez le nom de votre nouveau rôle. Vous devez créer ce rôle requis si vous activez la surveillance améliorée à l'aide de l' AWS CLI ou de l'API RDS.

L'utilisateur qui active la surveillance améliorée doit se voir accorder l'autorisation PassRole. Pour plus d'informations, consultez l'exemple 2 de la section Octroi à un utilisateur des autorisations pour transmettre un rôle à un AWS service dans le guide de l'utilisateur IAM.

Pour créer un rôle IAM pour la surveillance améliorée Amazon RDS

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com.

  2. Dans le panneau de navigation, choisissez Roles (Rôles).

  3. Sélectionnez Create role (Créer un rôle).

  4. Choisissez l'onglet Service AWS , puis choisissez RDS dans la liste de services.

  5. Choisissez RDS - Enhanced Monitoring (RDS - Surveillance améliorée), puis Next (Suivant).

  6. Assurez-vous que les politiques d'autorisations indiquent AmazonRDS EnhancedMonitoringRole, puis choisissez Next.

  7. Dans le champ Role name (Nom de rôle), saisissez un nom pour votre rôle. Par exemple, entrez emaccess.

    L'entité de confiance correspondant à votre rôle est le AWS service monitoring.rds.amazonaws.com.

  8. Sélectionnez Créer un rôle.

Activer et désactiver la surveillance améliorée

Vous pouvez activer et désactiver la surveillance améliorée à l'aide de l'API AWS Management Console AWS CLI, ou RDS. Vous choisissez les instances de base de données RDS sur lesquelles vous souhaitez activer la surveillance améliorée. Vous pouvez définir différents niveaux de détails pour la collecte de métriques sur chaque instance de base de données.

Vous pouvez activer la surveillance améliorée lorsque vous créez un cluster de bases de données ou un réplica en lecture, ou lorsque vous modifiez une instance de base de données. Si vous modifiez une instance de base de données afin d'activer la surveillance améliorée, vous n'avez pas besoin de redémarrer votre instance de base de données pour que la modification prenne effet.

Vous pouvez activer la surveillance améliorée dans la console RDS lorsque vous effectuez l'une des opérations suivantes sur la page Databases (Bases de données) :

  • Création d’un cluster de base de données : choisissez Create database (Créer une base de données).

  • Créer un réplica en lecture : choisissez Actions, puis Create read replica (Créer un réplica en lecture).

  • Modification d’une instance de base de données : choisissez Modify (Modifier).

Pour activer ou désactiver la surveillance améliorée dans la console RDS

  1. Descendez jusqu'à Additional configuration (Configuration supplémentaire).

  2. Dans Monitoring (Surveillance), choisissez Enable Enhanced Monitoring (Activer la surveillance améliorée) pour votre instance de base de données ou réplica en lecture. Pour désactiver la surveillance améliorée, choisissez Disable Enhanced Monitoring (Désactiver la surveillance améliorée).

  3. Définissez la propriété Monitoring Role sur le rôle IAM que vous avez créé pour permettre à Amazon RDS de communiquer avec Amazon CloudWatch Logs à votre place, ou choisissez Default pour que RDS crée un rôle nommé pour vous. rds-monitoring-role

  4. Définissez la propriété Granularité sur l'intervalle, en secondes, entre les points lorsque les métriques sont collectées pour votre instance de base de données ou réplica en lecture. La propriété Granularité peut être définie sur l'une des valeurs suivantes : 1, 5, 10, 15, 30 ou 60.

    La console RDS est actualisée toutes les 5 secondes. Si la granularité est définie sur 1 seconde dans la console RDS, les métriques mises à jour s'affichent toutes les 5 secondes uniquement. Vous pouvez récupérer les mises à jour des métriques en une seconde à l'aide CloudWatch des journaux.

Pour activer la surveillance améliorée à l'aide des commandes suivantes AWS CLI, définissez l'--monitoring-intervaloption sur une valeur autre que le rôle dans lequel vous l'avez créé 0 et définissez l'--monitoring-role-arnoption sur le rôle dans lequel vous l'avez crééCréation d'un rôle IAM pour la surveillance améliorée.

L'option --monitoring-interval spécifie l'intervalle, en secondes, entre les points lorsque des métriques de surveillance améliorée sont collectées. Les valeurs valides pour l'option sont 0, 1, 5, 10, 15, 30 et 60.

Pour désactiver la surveillance améliorée à l'aide de AWS CLI, définissez l'--monitoring-intervaloption sur 0 dans ces commandes.

Exemple

L'exemple suivant active la surveillance améliorée pour une instance de base de données :

Pour LinuxmacOS, ou Unix :

aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --monitoring-interval 30 \
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess

Dans Windows :

aws rds modify-db-instance ^
    --db-instance-identifier mydbinstance ^
    --monitoring-interval 30 ^
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess
Exemple

L'exemple suivant active la surveillance améliorée pour une cluster de base de données Multi-AZ :

Pour LinuxmacOS, ou Unix :

aws rds modify-db-cluster \
    --db-cluster-identifier mydbcluster \
    --monitoring-interval 30 \
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess

Dans Windows :

aws rds modify-db-cluster ^
    --db-cluster-identifier mydbcluster ^
    --monitoring-interval 30 ^
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess

Pour activer la surveillance améliorée à l'aide de l'AP RDS, définissez le paramètre MonitoringInterval sur une valeur autre que 0 et définissez le paramètre MonitoringRoleArn sur le rôle que vous avez créé dans Création d'un rôle IAM pour la surveillance améliorée. Définissez ces paramètres dans les actions suivantes :

Le paramètre MonitoringInterval spécifie l'intervalle, en secondes, entre les points lorsque des métriques de surveillance améliorée sont collectées. Les valeurs valides sont 0, 1, 5, 10, 15, 30 et 60.

Pour désactiver la surveillance améliorée à l'aide de l'API RDS, définissez MonitoringInterval sur 0.

Lutter contre le problème de l'adjoint confus

Le problème de l’adjoint confus est un problème de sécurité dans lequel une entité qui n’a pas l’autorisation d’effectuer une action peut contraindre une entité plus privilégiée à effectuer cette action. En AWS, l'usurpation d'identité interservices peut entraîner un problème de confusion chez les adjoints. L’usurpation d’identité entre services peut se produire lorsqu’un service (le service appelant) appelle un autre service (le service appelé). Le service appelant peut être manipulé et ses autorisations utilisées pour agir sur les ressources d’un autre client auxquelles on ne serait pas autorisé d’accéder autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services avec des principaux de service qui ont eu accès aux ressources de votre compte. Pour de plus amples informations, veuillez consulter Le problème de l'adjoint confus.

Afin de limiter les autorisations octroyées par Amazon RDS à un autre service pour la ressource, nous vous recommandons d'utiliser les clés de contexte de condition globale aws:SourceArn et aws:SourceAccount dans une politique d'approbation pour votre rôle de surveillance améliorée. Si vous utilisez les deux clés de contexte de condition globale, elles doivent utiliser le même ID de compte.

Le moyen le plus efficace de se protéger du problème de l’adjoint désorienté consiste à utiliser la clé de contexte de condition globale aws:SourceArn avec l’ARN complet de la ressource. Pour Amazon RDS, définissez aws:SourceArn sur arn:aws:rds:Region:my-account-id:db:dbname.

L'exemple suivant utilise les clés de contexte de condition globale aws:SourceArn et aws:SourceAccount dans une politique d'approbation afin d'empêcher le problème d'adjoint confus.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "monitoring.rds.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringLike": {
          "aws:SourceArn": "arn:aws:rds:Region:my-account-id:db:dbname"
        },
        "StringEquals": {
          "aws:SourceAccount": "my-account-id"
        }
      }
    }
  ]
}