Configuration des stratégies d'accès pour Performance Insights - Amazon Relational Database Service

Configuration des stratégies d'accès pour Performance Insights

Pour accéder à Performance Insights, vous devez disposer des autorisations appropriées d'AWS Identity and Access Management (IAM). Vous disposez des options suivantes pour accorder l'accès :

  • Attacher la stratégie gérée AmazonRDSFullAccess à un utilisateur ou rôle IAM.

  • Créer une stratégie personnalisée IAM et l'attacher à un utilisateur ou rôle IAM.

En outre, si vous avez spécifié une CMK gérée par le client lorsque vous avez activé Performance Insights, assurez-vous que les utilisateurs de votre compte disposent des autorisations kms:Decrypt et kms:GenerateDataKey sur la CMK.

Attacher la stratégie AmazonRDSullAccess à un IAM principal

AmazonRDSFullAccess est une stratégie gérée AWS qui accorde l'accès à toutes les opérations d'API Amazon RDS. Cette stratégie effectue les opérations suivantes :

  • Accorde l'accès aux services associés utilisés par la console Amazon RDS. Par exemple, cette stratégie accorde l'accès aux notifications d'événements à l'aide de Amazon SNS.

  • Accorde les autorisations nécessaires pour utiliser Performance Insights.

Si vous attachez AmazonRDSFullAccess à un utilisateur ou un rôle IAM, le destinataire peut utiliser Performance Insights avec d'autres fonctionnalités de la console.

Création d'une stratégie IAM personnalisée pour Performance Insights

Pour les utilisateurs qui ne bénéficient pas d'un accès total avec la stratégie AmazonRDSFullAccess, vous pouvez accorder l'accès à Performance Insights en créant ou modifiant une stratégie IAM gérée par l'utilisateur. Quand vous attachez la stratégie à un utilisateur ou rôle IAM, le destinataire peut se servir de Performance Insights.

Pour créer une stratégie personnalisée

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Policies.

  3. Choisissez Créer une stratégie.

  4. Sur la page Créer une stratégie, choisissez l'onglet JSON.

  5. Copiez et collez ce qui suit.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "pi:*", "Resource": "&region-arn;pi:*:*:metrics/rds/*" } ] }
  6. Choisissez Examiner une stratégie.

  7. Indiquez un nom pour la stratégie et éventuellement une description, puis choisissez Créer une stratégie.

Vous pouvez maintenant attacher la stratégie à un utilisateur ou rôle IAM. La procédure suivante suppose que vous disposez déjà d'un utilisateur IAM à cette fin.

Pour attacher la stratégie à un utilisateur IAM

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, sélectionnez Users.

  3. Choisissez un utilisateur existant dans la liste.

    Important

    Pour utiliser Performance Insights, assurez-vous que vous avez accès à Amazon RDS en plus de l'accès à la stratégie personnalisée. Par exemple, la stratégie prédéfinie AmazonRDSReadOnlyAccess fournit un accès en lecture seule à Amazon RDS. Pour plus d'informations, consultez Gestion de l'accès à l'aide de stratégies.

  4. Sur la page Récapitulatif, choisissez Ajouter des autorisations.

  5. Choisissez Attacher directement les stratégies existantes. Pour Recherche, tapez les premiers caractères du nom de votre stratégie, comme illustré ci-après.

    
							Choisissez une stratégie
  6. Choisissez votre stratégie, puis sélectionnez Suivant : Vérification.

  7. Choisissez Add permissions.

Configuration d'une stratégie KMS pour Performance Insights

Performance Insights utilise une clé principale client AWS KMS (CMK) pour chiffrer les données sensibles. Lorsque vous activez Performance Insights via l'API ou la console, vous disposez des options suivantes :

  • Choisissez la clé CMK AWS gérée par défaut.

    Amazon RDS utilise la clé CMK gérée par AWS pour votre nouvelle instance de base de données. Amazon RDS crée une clé CMK gérée par AWS pour votre compte AWS. Votre compte AWS dispose d'une clé CMK gérée par AWS pour Amazon RDS différente pour chaque région AWS.

  • Choisissez une clé CMK gérée par le client.

    Si vous spécifiez une clé CMK gérée par le client, les utilisateurs de votre compte qui appellent l'API Performance Insights ont besoin des autorisations kms:Decrypt et kms:GenerateDataKey sur la clé CMK. Vous pouvez configurer ces autorisations via des stratégies IAM. Toutefois, nous vous recommandons de gérer ces autorisations via votre stratégie de clé KMS. Pour plus d'informations, veuillez consulter Utilisation des stratégies de clé dans AWS KMS.

L'exemple de stratégie de clé suivant montre comment ajouter des instructions à votre stratégie CMK. Ces instructions permettent d'accéder à Performance Insights. Selon la façon dont vous utilisez la clé KMS, vous pouvez modifier certaines restrictions. Avant d'ajouter des instructions à votre stratégie, supprimez tous les commentaires.

{ "Version" : "2012-10-17", "Id" : "your-policy", "Statement" : [ { //This represents a statement that currently exists in your policy. } ...., //Starting here, add new statement to your policy for Performance Insights. //We recommend that you add one new statement for every RDS instance { "Sid" : "Allow viewing RDS Performance Insights", "Effect": "Allow", "Principal": { "AWS": [ //One or more principals allowed to access Performance Insights "arn:aws:iam::444455556666:role/Role1" ] }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition" : { "StringEquals" : { //Restrict access to only RDS APIs (including Performance Insights). //Replace region with your AWS Region. //For example, specify us-west-2. "kms:ViaService" : "rds.region.amazonaws.com" }, "ForAnyValue:StringEquals": { //Restrict access to only data encrypted by Performance Insights. "kms:EncryptionContext:aws:pi:service": "rds", "kms:EncryptionContext:service": "pi", //Restrict access to a specific RDS instance. //The value is a DbiResourceId. "kms:EncryptionContext:aws:rds:db-id": "db-AAAAABBBBBCCCCDDDDDEEEEE" } } }