Mengonfigurasi kebijakan akses untuk Wawasan Performa

Untuk mengakses Wawasan Performa, pengguna utama harus memiliki izin yang sesuai dari AWS Identity and Access Management (IAM). Anda dapat memberikan akses dengan cara berikut:

• Melampirkan kebijakan AmazonRDSPerformanceInsightsReadOnly terkelola ke kumpulan izin atau peran untuk mengakses semua operasi hanya-baca dari API Wawasan Performa.

• Melampirkan kebijakan AmazonRDSPerformanceInsightsFullAccess terkelola ke kumpulan izin atau peran untuk mengakses semua operasi API Wawasan Performa.

• Membuat kebijakan IAM khusus dan melampirkannya ke kumpulan izin atau peran.

Jika Anda menentukan kunci yang dikelola pelanggan saat mengaktifkan Wawasan Performa, pastikan pengguna di akun Anda memiliki izin kms:Decrypt dan kms:GenerateDataKey izin pada kunci KMS.

Melampirkan kebijakan AmazonRDSPerformanceInsightsReadOnly ke pengguna utama IAM

AmazonRDSPerformanceInsightsReadOnly adalah kebijakan yang dikelola AWS yang memberikan akses ke semua operasi hanya-baca API Wawasan Performa Amazon RDS.

Jika Anda melampirkan AmazonRDSPerformanceInsightsReadOnly ke kumpulan izin atau peran, penerima dapat menggunakan Wawasan Performa beserta fitur konsol lainnya.

Untuk informasi selengkapnya, lihat AWS kebijakan terkelola: AmazonRDS PerformanceInsightsReadOnly.

Melampirkan kebijakan AmazonRDSPerformanceInsightsFullAccess ke pengguna utama IAM

AmazonRDSPerformanceInsightsFullAccess adalah kebijakan yang dikelola AWS yang memberikan akses ke semua operasi API Wawasan Performa Amazon RDS.

Jika Anda melampirkan AmazonRDSPerformanceInsightsFullAccess ke kumpulan izin atau peran, penerima dapat menggunakan Wawasan Performa beserta fitur konsol lainnya.

Untuk informasi selengkapnya, lihat AWS kebijakan terkelola: AmazonRDS PerformanceInsightsFullAccess.

Membuat kebijakan IAM khusus untuk Wawasan Performa

Bagi pengguna yang tidak memiliki kebijakan AmazonRDSPerformanceInsightsReadOnly atau AmazonRDSPerformanceInsightsFullAccess, Anda dapat memberikan akses ke Wawasan Performa dengan membuat atau memodifikasi kebijakan IAM yang dikelola pengguna. Jika Anda melampirkan kebijakan ini ke kumpulan izin atau peran IAM, penerima dapat menggunakan Wawasan Performa.

Untuk membuat kebijakan khusus

1. Buka konsol IAM di https://console.aws.amazon.com/iam/.

2. Di panel navigasi, pilih Kebijakan.

3. Pilih Buat kebijakan.

4. Di halaman Buat Kebijakan, pilih tab JSON.

5. Salin dan tempel teks yang disediakan di bagian dokumen kebijakan JSON di Panduan Referensi Kebijakan yang Dikelola AWS untuk kebijakan AmazonRDSPerformanceInsightsReadOnly atau AmazonRDSPerformanceInsightsFullAccess.

6. Pilih Tinjau kebijakan.

7. Berikan nama untuk kebijakan tersebut dan secara opsional deskripsi, lalu pilih Buat kebijakan.

Sekarang, Anda dapat menyisipkan kebijakan ke kumpulan izin atau peran. Prosedur berikut mengasumsikan bahwa Anda sudah memiliki pengguna yang tersedia untuk tujuan ini.

Untuk melampirkan kebijakan ini ke pengguna

1. Buka konsol IAM di https://console.aws.amazon.com/iam/.

2. Di panel navigasi, pilih Users (Pengguna).

3. Pilih pengguna yang ada dari daftar.

   penting

   Untuk menggunakan Wawasan Performa, pastikan Anda memiliki akses ke Amazon RDS selain ke kebijakan khusus. Misalnya, kebijakan AmazonRDSPerformanceInsightsReadOnly yang ditentukan sebelumnya memberikan akses hanca-baca ke Amazon RDS. Untuk informasi selengkapnya, lihat Mengelola akses menggunakan kebijakan.

4. Di halaman Ringkasan, pilih Tambahkan izin.

5. Pilih Lampirkan kebijakan yang sudah ada secara langsung. Untuk Pencarian, ketik beberapa karakter pertama dari nama kebijakan Anda, seperti yang ditampilkan di bawah ini.

   

6. Pilih kebijakan Anda, lalu pilih Berikutnya: Tinjauan.

7. Pilih Tambahkan izin.

Mengonfigurasi kebijakan AWS KMS untuk Wawasan Performa

Wawasan Performa menggunakan AWS KMS key untuk mengenkripsi data sensitif. Saat mengaktifkan Wawasan Performa melalui API atau konsol, Anda dapat melakukan salah satu tindakan berikut:

• Memilih Kunci yang dikelola AWS default.

  Amazon RDS Kunci yang dikelola AWS untuk instans DB baru Anda. Amazon RDS membuat Kunci yang dikelola AWS untuk Akun AWS Anda. Akun AWS Anda memiliki Kunci yang dikelola AWS yang berbeda untuk Amazon RDS untuk masing-masing Wilayah AWS.

• Memilih kunci yang dikelola pelanggan.

  Jika Anda menentukan kunci yang dikelola pelanggan, pengguna di akun Anda yang memanggil API Wawasan Performa memerlukan izin kms:Decrypt dan kms:GenerateDataKey pada kunci KMS. Anda dapat mengonfigurasi izin ini melalui kebijakan IAM. Namun, sebaiknya Anda mengelola izin ini melalui kebijakan kunci KMS Anda. Untuk informasi selengkapnya, lihat Menggunakan kebijakan kunci dalam KMS AWS.

Contoh berikut menunjukkan cara menambahkan pernyataan ke kebijakan kunci KMS Anda. Pernyataan ini mengizinkan akses ke Wawasan Performa. Bergantung pada bagaimana Anda menggunakan kunci KMS, sebaiknya Anda mengubah beberapa pembatasan. Sebelum menambahkan pernyataan ke kebijakan, hapus semua komentar.

{
 "Version" : "2012-10-17",
 "Id" : "your-policy",
 "Statement" : [ {
    //This represents a statement that currently exists in your policy.
 }
 ....,
 //Starting here, add new statement to your policy for Performance Insights.
 //We recommend that you add one new statement for every RDS instance
{
    "Sid" : "Allow viewing RDS Performance Insights",
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            //One or more principals allowed to access Performance Insights
            "arn:aws:iam::444455556666:role/Role1"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition" : {
        "StringEquals" : {
            //Restrict access to only RDS APIs (including Performance Insights).
            //Replace region with your AWS Region. 
            //For example, specify us-west-2.
            "kms:ViaService" : "rds.region.amazonaws.com"
        },
        "ForAnyValue:StringEquals": {
            //Restrict access to only data encrypted by Performance Insights.
            "kms:EncryptionContext:aws:pi:service": "rds",
            "kms:EncryptionContext:service": "pi",
            
            //Restrict access to a specific RDS instance.
            //The value is a DbiResourceId.
           "kms:EncryptionContext:aws:rds:db-id": "db-AAAAABBBBBCCCCDDDDDEEEEE"
        }
    }
}

Bagaimana Wawasan Performa menggunakan kunci yang dikelola pelanggan AWS KMS

Wawasan Performa menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data sensitif. Jika mengaktifkan Wawasan Performa, Anda dapat memberikan kunci AWS KMS melalui API. Wawasan Performa membuat izin KMS pada kunci ini. Ini menggunakan kunci dan melakukan operasi yang diperlukan untuk memproses data sensitif. Data sensitif mencakup kolom-kolom seperti pengguna, basis data, aplikasi, dan teks kueri SQL. Wawasan Performa memastikan bahwa data tetap terenkripsi baik saat tidak aktif maupun saat transit.

Cara kerja IAM Wawasan Performa dengan AWS KMS

IAM memberikan izin ke API tertentu. Wawasan Performa memiliki API publik berikut, yang dapat Anda batasi menggunakan kebijakan IAM:

• DescribeDimensionKeys

• GetDimensionKeyDetails

• GetResourceMetadata

• GetResourceMetrics

• ListAvailableResourceDimensions

• ListAvailableResourceMetrics

Anda dapat menggunakan permintaan API berikut untuk mendapatkan data sensitif.

• DescribeDimensionKeys

• GetDimensionKeyDetails

• GetResourceMetrics

Saat Anda menggunakan API untuk mendapatkan data sensitif, Wawasan Performa memanfaatkan kredensial pemanggil. Pemeriksaan ini memastikan bahwa akses ke data sensitif dibatasi pada mereka yang memiliki akses ke kunci KMS.

Saat memanggil API ini, Anda memerlukan izin untuk memanggil API melalui kebijakan IAM dan izin untuk menginvokasi tindakan kms:decrypt melalui kebijakan kunci AWS KMS.

API GetResourceMetrics dapat menampilkan data sensitif dan non-sensitif. Parameter permintaan menentukan apakah respons harus menyertakan data sensitif. API menampilkan data sensitif ketika permintaan menyertakan dimensi sensitif baik dalam parameter filter atau kelompokkan-menurut.

Untuk informasi selengkapnya tentang dimensi yang dapat digunakan dengan API GetResourceMetrics, lihat DimensionGroup.

contoh Contoh

Contoh berikut meminta data sensitif untuk grup db.user:

POST / HTTP/1.1
Host: <Hostname>
Accept-Encoding: identity
X-Amz-Target: PerformanceInsightsv20180227.GetResourceMetrics
Content-Type: application/x-amz-json-1.1
User-Agent: <UserAgentString>
X-Amz-Date: <Date> 
Authorization: AWS4-HMAC-SHA256 Credential=<Credential>, SignedHeaders=<Headers>, Signature=<Signature>
Content-Length: <PayloadSizeBytes>
{
  "ServiceType": "RDS",
  "Identifier": "db-ABC1DEFGHIJKL2MNOPQRSTUV3W",
  "MetricQueries": [
    {
      "Metric": "db.load.avg",
      "GroupBy": {
        "Group": "db.user",
        "Limit": 2
      }
    }
  ],
  "StartTime": 1693872000,
  "EndTime": 1694044800,
  "PeriodInSeconds": 86400
}
				

Contoh berikut meminta data non-sensitif untuk metrik db.load.avg:

POST / HTTP/1.1
Host: <Hostname>
Accept-Encoding: identity
X-Amz-Target: PerformanceInsightsv20180227.GetResourceMetrics
Content-Type: application/x-amz-json-1.1
User-Agent: <UserAgentString>
X-Amz-Date: <Date> 
Authorization: AWS4-HMAC-SHA256 Credential=<Credential>, SignedHeaders=<Headers>, Signature=<Signature>
Content-Length: <PayloadSizeBytes>
{
    "ServiceType": "RDS",
    "Identifier": "db-ABC1DEFGHIJKL2MNOPQRSTUV3W",
    "MetricQueries": [
        {
            "Metric": "db.load.avg"
        }
    ],
    "StartTime": 1693872000,
    "EndTime": 1694044800,
    "PeriodInSeconds": 86400
}