Configuration des politiques d'accès pour Performance Insights

Pour accéder à Performance Insights, vous devez disposer des autorisations appropriées auprès de AWS Identity and Access Management (IAM). Vous disposez des options suivantes pour accorder l'accès :

• Attachez la politique gérée par AmazonRDSPerformanceInsightsReadOnly à un jeu d'autorisations ou à un rôle.

• Créez une IAM politique personnalisée et associez-la à un ensemble d'autorisations ou à un rôle.

De même, si vous avez spécifié une clé gérée par le client lorsque vous avez activé Performance Insights, assurez-vous que les utilisateurs de votre compte disposent des kms:GenerateDataKey autorisations kms:Decrypt et associées à cette KMS clé.

Note

Pour la gestion encryption-at-rest des AWS KMS clés et des groupes de sécurité, Amazon DocumentDB utilise une technologie opérationnelle partagée avec Amazon. RDS

Attacher la mazonRDSPerformance InsightsReadOnly politique A à un IAM directeur

AmazonRDSPerformanceInsightsReadOnlyest une politique AWS gérée qui donne accès à toutes les opérations en lecture seule d'Amazon DocumentDB Performance Insights. API Actuellement, toutes les opérations de ce type API sont en lecture seule. Si vous attachez AmazonRDSPerformanceInsightsReadOnly à un jeu d'autorisations ou à un rôle, le destinataire peut utiliser Performance Insights avec d'autres fonctions de la console.

Création d'une IAM politique personnalisée pour Performance Insights

Pour les utilisateurs qui ne disposent pas de cette AmazonRDSPerformanceInsightsReadOnly politique, vous pouvez accorder l'accès à Performance Insights en créant ou en modifiant une IAM politique gérée par l'utilisateur. Lorsque vous associez la politique à un ensemble d'autorisations ou à un rôle, le destinataire peut utiliser Performance Insights.

Créer une stratégie personnalisée

1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

2. Dans le panneau de navigation, choisissez Politiques.

3. Sélectionnez Create policy (Créer une politique).

4. Sur la page Créer une politique, choisissez l'JSONonglet.

5. Copiez et collez le texte suivant, en remplaçant us-east-1 avec le nom de votre AWS région et 111122223333 avec votre numéro de compte client.

   
   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "rds:DescribeDBInstances",
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": "rds:DescribeDBClusters",
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": "pi:DescribeDimensionKeys",
               "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
           },
           {
               "Effect": "Allow",
               "Action": "pi:GetDimensionKeyDetails",
               "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
           },
           {
               "Effect": "Allow",
               "Action": "pi:GetResourceMetadata",
               "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
           },
           {
               "Effect": "Allow",
               "Action": "pi:GetResourceMetrics",
               "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
           },
           {
               "Effect": "Allow",
               "Action": "pi:ListAvailableResourceDimensions",
               "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
           },
           {
               "Effect": "Allow",
               "Action": "pi:ListAvailableResourceMetrics",
               "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
           }
       ]
   }

6. Choisissez Examiner une stratégie.

7. Indiquez un nom pour la stratégie et éventuellement une description, puis choisissez Créer une stratégie.

Vous pouvez désormais attacher la politique à un jeu d'autorisations ou à un rôle. La procédure suivante suppose que vous disposez déjà d'un utilisateur à cette fin.

Pour attacher la politique à un utilisateur

1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

2. Dans le volet de navigation, sélectionnez Users.

3. Choisissez un utilisateur existant dans la liste.

   Important

   Pour utiliser Performance Insights, assurez-vous d'avoir accès à Amazon DocumentDB en plus de la politique personnalisée. Par exemple, la politique AmazonDocDBReadOnlyAccessprédéfinie fournit un accès en lecture seule à Amazon DocDB. Pour plus d'informations, consultez Gérer l'accès à l'aide de politiques.

4. Sur la page Récapitulatif, choisissez Ajouter des autorisations.

5. Choisissez Attacher directement les stratégies existantes. Pour Recherche, tapez les premiers caractères du nom de votre stratégie, comme illustré ci-après.

   

6. Choisissez votre stratégie, puis sélectionnez Suivant : Vérification.

7. Choisissez Add permissions.

Configuration d'une AWS KMS politique pour Performance Insights

Performance Insights utilise un AWS KMS key pour chiffrer les données sensibles. Lorsque vous activez Performance Insights par le biais de la console API ou de la console, les options suivantes s'offrent à vous :

• Choisissez la valeur par défaut Clé gérée par AWS.

  Amazon DocumentDB utilise le Clé gérée par AWS pour votre nouvelle instance de base de données. Amazon DocumentDB crée un Clé gérée par AWS pour votre AWS compte. Votre AWS compte possède un identifiant Amazon DocumentDB différent Clé gérée par AWS pour chaque AWS région.

• Choisissez une clé gérée par le client.

  Si vous spécifiez une clé gérée par le client, les utilisateurs de votre compte qui appellent Performance Insights API ont besoin des kms:GenerateDataKey autorisations kms:Decrypt et relatives à la KMS clé. Vous pouvez configurer ces autorisations par le biais IAM de politiques. Cependant, nous vous recommandons de gérer ces autorisations par le biais de votre politique KMS clé. Pour plus d'informations, consultez la section Utilisation de politiques clés dans AWS KMS.

L'exemple de politique clé suivant montre comment ajouter des déclarations à votre politique KMS clé. Ces instructions permettent d'accéder à Performance Insights. Selon la manière dont vous utilisez le AWS KMS, vous souhaiterez peut-être modifier certaines restrictions. Avant d'ajouter des instructions à votre politique, supprimez tous les commentaires.

{
 "Version" : "2012-10-17",
 "Id" : "your-policy",
 "Statement" : [ {
    //This represents a statement that currently exists in your policy.
 }
 ....,
 //Starting here, add new statement to your policy for Performance Insights.
 //We recommend that you add one new statement for every RDS/DocumentDB instance
 {
    "Sid" : "Allow viewing RDS Performance Insights",
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            //One or more principals allowed to access Performance Insights
            "arn:aws:iam::444455556666:role/Role1"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition" :{
        "StringEquals" : {
            //Restrict access to only RDS APIs (including Performance Insights).
            //Replace *region* with your AWS Region. 
            //For example, specify us-west-2.
            "kms:ViaService" : "rds.*region*.amazonaws.com"
        },
        "ForAnyValue:StringEquals": {
            //Restrict access to only data encrypted by Performance Insights.
            "kms:EncryptionContext:aws:pi:service": "rds",
            "kms:EncryptionContext:service": "pi",
            
            //Restrict access to a specific DocDB instance.
            //The value is a DbiResourceId.
           "kms:EncryptionContext:aws:rds:db-id": "db-AAAAABBBBBCCCCDDDDDEEEEE"
        }
    }
}