Configuration et activation de la surveillance améliorée - Amazon Relational Database Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration et activation de la surveillance améliorée

Pour utiliser la surveillance améliorée, vous devez créer un IAM rôle, puis activer la surveillance améliorée.

Création d'un IAM rôle pour une surveillance améliorée

La surveillance améliorée nécessite l'autorisation d'agir en votre nom pour envoyer des informations métriques du système d'exploitation à CloudWatch Logs. Vous accordez des autorisations de surveillance améliorée à l'aide d'un rôle AWS Identity and Access Management (IAM). Vous pouvez soit créer ce rôle lorsque vous activez la surveillance améliorée, soit le créer au préalable.

Création du IAM rôle lorsque vous activez la surveillance améliorée

Lorsque vous activez la surveillance améliorée dans la RDS console, Amazon RDS peut créer le IAM rôle requis pour vous. Le rôle est nommé rds-monitoring-role. RDSutilise ce rôle pour l'instance de base de données, la réplique de lecture ou le cluster de base de données multi-AZ spécifié.

Pour créer le IAM rôle lors de l'activation de la surveillance améliorée
  1. Suivez les étapes de Activer et désactiver la surveillance améliorée.

  2. Définissez Rôle de surveillance sur Par défaut à l'étape où vous choisissez un rôle.

Création du IAM rôle avant d'activer la surveillance améliorée

Vous pouvez créer le rôle requis avant d'activer la surveillance améliorée. Lorsque vous activez la surveillance améliorée, spécifiez le nom de votre nouveau rôle. Vous devez créer ce rôle obligatoire si vous activez la surveillance améliorée à l'aide du AWS CLI ou du RDSAPI.

L'utilisateur qui active la surveillance améliorée doit se voir accorder l'autorisation PassRole. Pour plus d'informations, consultez l'exemple 2 de la section Octroi à un utilisateur des autorisations pour transmettre un rôle à un AWS service dans le Guide de IAM l'utilisateur.

Pour créer un IAM rôle pour la surveillance RDS améliorée d'Amazon
  1. Ouvrez la IAMconsole à l'adresse https://console.aws.amazon.com.

  2. Dans le panneau de navigation, choisissez Roles (Rôles).

  3. Sélectionnez Create role (Créer un rôle).

  4. Choisissez l'onglet AWS Service, puis choisissez dans RDSla liste des services.

  5. Choisissez RDS- Surveillance améliorée, puis cliquez sur Suivant.

  6. Assurez-vous que les politiques d'autorisations indiquent A mazonRDSEnhanced MonitoringRole, puis choisissez Next.

  7. Dans le champ Role name (Nom de rôle), saisissez un nom pour votre rôle. Par exemple, entrez emaccess.

    L'entité de confiance correspondant à votre rôle est le AWS service monitoring.rds.amazonaws.com.

  8. Sélectionnez Créer un rôle.

Activer et désactiver la surveillance améliorée

Vous pouvez activer et désactiver la surveillance améliorée à l'aide du AWS Management Console AWS CLI, ou RDSAPI. Vous choisissez les RDS instances de base de données sur lesquelles vous souhaitez activer la surveillance améliorée. Vous pouvez définir différents niveaux de détails pour la collecte de métriques sur chaque instance de base de données.

Vous pouvez activer la surveillance améliorée lorsque vous créez une instance de base de données, un cluster de bases de données multi-AZ ou un réplica en lecture, ou lorsque vous modifiez une instance de base de données ou un cluster de bases de données multi-AZ. Si vous modifiez une instance de base de données afin d'activer la surveillance améliorée, vous n'avez pas besoin de redémarrer votre instance de base de données pour que la modification prenne effet.

Vous pouvez activer la surveillance améliorée dans la RDS console lorsque vous effectuez l'une des actions suivantes sur la page Bases de données :

  • Création d’une instance ou un cluster Multi-AZ de base de données : choisissez Create database (Créer une base de données).

  • Créer un réplica en lecture : choisissez Actions, puis Create read replica (Créer un réplica en lecture).

  • Modification d’une instance de base de données ou d’un cluster de base de données Multi-AZ : choisissez Modify (Modifier).

Pour activer ou désactiver la surveillance améliorée dans la RDS console
  1. Descendez jusqu'à Additional configuration (Configuration supplémentaire).

  2. Dans Monitoring (Surveillance), choisissez Enable Enhanced Monitoring (Activer la surveillance améliorée) pour votre instance de base de données ou réplica en lecture. Pour désactiver la surveillance améliorée, choisissez Disable Enhanced Monitoring (Désactiver la surveillance améliorée).

  3. Définissez la propriété Monitoring Role sur le IAM rôle que vous avez créé pour permettre RDS à Amazon de communiquer avec Amazon CloudWatch Logs à votre place, ou choisissez Default pour RDS créer un rôle nommé pour vousrds-monitoring-role.

  4. Définissez la propriété Granularité sur l'intervalle, en secondes, entre les points lorsque les métriques sont collectées pour votre instance de base de données ou réplica en lecture. La propriété Granularité peut être définie sur l'une des valeurs suivantes : 1, 5, 10, 15, 30 ou 60.

    La RDS console se rafraîchit le plus rapidement toutes les 5 secondes. Si vous définissez la granularité sur 1 seconde dans la RDS console, les métriques mises à jour ne s'affichent toujours que toutes les 5 secondes. Vous pouvez récupérer les mises à jour des métriques en une seconde à l'aide CloudWatch des journaux.

Pour activer la surveillance améliorée à l'aide des commandes suivantes AWS CLI, définissez l'--monitoring-intervaloption sur une valeur autre que le rôle dans lequel vous l'avez créé 0 et définissez l'--monitoring-role-arnoption sur le rôle dans lequel vous l'avez crééCréation d'un IAM rôle pour une surveillance améliorée.

L'option --monitoring-interval spécifie l'intervalle, en secondes, entre les points lorsque des métriques de surveillance améliorée sont collectées. Les valeurs valides pour l'option sont 0, 1, 5, 10, 15, 30 et 60.

Pour désactiver la surveillance améliorée à l'aide de AWS CLI, définissez l'--monitoring-intervaloption sur 0 dans ces commandes.

Exemple

L'exemple suivant active la surveillance améliorée pour une instance de base de données :

Pour LinuxmacOS, ou Unix :

aws rds modify-db-instance \ --db-instance-identifier mydbinstance \ --monitoring-interval 30 \ --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess

Dans Windows :

aws rds modify-db-instance ^ --db-instance-identifier mydbinstance ^ --monitoring-interval 30 ^ --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess
Exemple

L'exemple suivant active la surveillance améliorée pour une cluster de base de données Multi-AZ :

Pour LinuxmacOS, ou Unix :

aws rds modify-db-cluster \ --db-cluster-identifier mydbcluster \ --monitoring-interval 30 \ --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess

Dans Windows :

aws rds modify-db-cluster ^ --db-cluster-identifier mydbcluster ^ --monitoring-interval 30 ^ --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess

Pour activer la surveillance améliorée à l'aide du RDSAPI, définissez le MonitoringInterval paramètre sur une valeur autre que 0 le MonitoringRoleArn rôle que vous avez créé dansCréation d'un IAM rôle pour une surveillance améliorée. Définissez ces paramètres dans les actions suivantes :

Le paramètre MonitoringInterval spécifie l'intervalle, en secondes, entre les points lorsque des métriques de surveillance améliorée sont collectées. Les valeurs valides sont 0, 1, 5, 10, 15, 30 et 60.

Pour désactiver la surveillance améliorée à l'aide du RDSAPI, réglez MonitoringInterval sur0.

Lutter contre le problème de l'adjoint confus

Le problème de député confus est un problème de sécurité dans lequel une entité qui n’est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à le faire. En AWS, l'usurpation d'identité interservices peut entraîner la confusion des adjoints. L’usurpation d’identité entre services peut se produire lorsqu’un service (le service appelant) appelle un autre service (le service appelé). Le service appelant peut être manipulé et ses autorisations utilisées pour agir sur les ressources d’un autre client auxquelles on ne serait pas autorisé d’accéder autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services avec des principaux de service qui ont eu accès aux ressources de votre compte. Pour de plus amples informations, veuillez consulter Le problème de l'adjoint confus.

Pour limiter les autorisations à la ressource qu'Amazon RDS peut accorder à un autre service, nous vous recommandons d'utiliser les clés de contexte de condition aws:SourceAccount globale aws:SourceArn et les clés de contexte dans une politique de confiance pour votre rôle de surveillance améliorée. Si vous utilisez les deux clés de contexte de condition globale, elles doivent utiliser le même ID de compte.

Le moyen le plus efficace de se protéger contre le problème de confusion des adjoints consiste à utiliser la clé de contexte de la condition aws:SourceArn globale avec l'intégralité ARN de la ressource. Pour AmazonRDS, définissez aws:SourceArn surarn:aws:rds:Region:my-account-id:db:dbname.

L'exemple suivant utilise les clés de contexte de condition globale aws:SourceArn et aws:SourceAccount dans une politique d'approbation afin d'empêcher le problème d'adjoint confus.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "monitoring.rds.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringLike": { "aws:SourceArn": "arn:aws:rds:Region:my-account-id:db:dbname" }, "StringEquals": { "aws:SourceAccount": "my-account-id" } } } ] }