Mengonfigurasi kebijakan akses untuk Wawasan Performa - Amazon DocumentDB
Melampirkan mazonRDSPerformance InsightsReadOnly kebijakan A ke kepala sekolah IAMMembuat IAM kebijakan khusus untuk Performance InsightsMengonfigurasi AWS KMS kebijakan untuk Performance Insights

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengonfigurasi kebijakan akses untuk Wawasan Performa

Untuk mengakses Performance Insights, Anda harus memiliki izin yang sesuai dari AWS Identity and Access Management (). IAM Anda memiliki opsi berikut untuk memberikan akses:

  • Lampirkan kebijakan AmazonRDSPerformanceInsightsReadOnly terkelola ke set izin atau peran.

  • Buat IAM kebijakan kustom dan lampirkan ke set izin atau peran.

Selain itu, jika Anda menetapkan kunci terkelola pelanggan saat mengaktifkan Performance Insights, pastikan pengguna di akun Anda memiliki kms:Decrypt dan kms:GenerateDataKey izin pada kunci tersebut. KMS

catatan

Untuk encryption-at-rest dengan manajemen AWS KMS kunci dan grup keamanan, Amazon DocumentDB memanfaatkan teknologi operasional yang dibagikan dengan Amazon. RDS

Melampirkan mazonRDSPerformance InsightsReadOnly kebijakan A ke kepala sekolah IAM

AmazonRDSPerformanceInsightsReadOnlyadalah kebijakan AWS terkelola yang memberikan akses ke semua operasi hanya-baca dari Amazon DocumentDB Performance Insights. API Saat ini, semua operasi dalam hal ini API hanya-baca. Jika Anda melampirkan AmazonRDSPerformanceInsightsReadOnly ke kumpulan izin atau peran, penerima dapat menggunakan Wawasan Performa beserta fitur konsol lainnya.

Membuat IAM kebijakan khusus untuk Performance Insights

Untuk pengguna yang tidak memiliki AmazonRDSPerformanceInsightsReadOnly kebijakan, Anda dapat memberikan akses ke Performance Insights dengan membuat atau memodifikasi kebijakan yang dikelola pengguna. IAM Jika Anda melampirkan kebijakan ke set izin atau peran, penerima dapat menggunakan Performance Insights.

Untuk membuat kebijakan kustom

  1. Buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Kebijakan.

  3. Pilih Buat kebijakan.

  4. Pada halaman Buat Kebijakan, pilih JSON tab.

  5. Salin dan tempel teks berikut, ganti us-east-1 dengan nama AWS daerah Anda dan 111122223333 dengan nomor rekening pelanggan Anda.

    
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rds:DescribeDBInstances",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "rds:DescribeDBClusters",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:DescribeDimensionKeys",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:GetDimensionKeyDetails",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:GetResourceMetadata",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:GetResourceMetrics",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:ListAvailableResourceDimensions",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:ListAvailableResourceMetrics",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        }
    ]
}

  6. Pilih Tinjau kebijakan.

  7. Berikan nama untuk kebijakan tersebut dan secara opsional deskripsi, lalu pilih Buat kebijakan.

Sekarang, Anda dapat menyisipkan kebijakan ke kumpulan izin atau peran. Prosedur berikut mengasumsikan bahwa Anda sudah memiliki pengguna yang tersedia untuk tujuan ini.

Untuk melampirkan kebijakan ini ke pengguna

  1. Buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Pengguna.

  3. Pilih pengguna yang ada dari daftar.

    penting

    Untuk menggunakan Performance Insights, pastikan Anda memiliki akses ke Amazon DocumentDB selain kebijakan kustom. Misalnya, kebijakan yang AmazonDocDBReadOnlyAccesstelah ditentukan menyediakan akses hanya-baca ke Amazon docdb.Untuk informasi selengkapnya, lihat Mengelola akses menggunakan kebijakan.

  4. Di halaman Ringkasan, pilih Tambahkan izin.

  5. Pilih Lampirkan kebijakan yang sudah ada secara langsung. Untuk Pencarian, ketik beberapa karakter pertama dari nama kebijakan Anda, seperti yang ditampilkan di bawah ini.

    Pilih Kebijakan

  6. Pilih kebijakan Anda, lalu pilih Berikutnya: Tinjauan.

  7. Pilih Tambahkan izin.

Mengonfigurasi AWS KMS kebijakan untuk Performance Insights

Performance Insights menggunakan perangkat AWS KMS key untuk mengenkripsi data sensitif. Saat mengaktifkan Performance Insights melalui API atau konsol, Anda memiliki opsi berikut:

  • Pilih default Kunci yang dikelola AWS.

    Amazon DocumentDB menggunakan Kunci yang dikelola AWS instans DB baru Anda. Amazon DocumentDB membuat untuk Kunci yang dikelola AWS akun Anda. AWS AWS Akun Anda memiliki Amazon DocumentDB yang berbeda Kunci yang dikelola AWS untuk setiap Wilayah. AWS

  • Memilih kunci yang dikelola pelanggan.

    Jika Anda menentukan kunci yang dikelola pelanggan, pengguna di akun Anda yang memanggil Performance Insights API memerlukan izin kms:Decrypt dan kms:GenerateDataKey izin pada kunci tersebut. KMS Anda dapat mengonfigurasi izin ini melalui IAM kebijakan. Namun, kami menyarankan Anda mengelola izin ini melalui kebijakan KMS utama Anda. Untuk informasi selengkapnya, lihat Menggunakan kebijakan utama di AWS KMS.

Contoh kebijakan kunci berikut menunjukkan cara menambahkan pernyataan ke kebijakan KMS kunci Anda. Pernyataan ini mengizinkan akses ke Wawasan Performa. Tergantung pada bagaimana Anda menggunakan AWS KMS, Anda mungkin ingin mengubah beberapa batasan. Sebelum menambahkan pernyataan ke kebijakan, hapus semua komentar.

{
 "Version" : "2012-10-17",
 "Id" : "your-policy",
 "Statement" : [ {
    //This represents a statement that currently exists in your policy.
 }
 ....,
 //Starting here, add new statement to your policy for Performance Insights.
 //We recommend that you add one new statement for every RDS/DocumentDB instance
 {
    "Sid" : "Allow viewing RDS Performance Insights",
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            //One or more principals allowed to access Performance Insights
            "arn:aws:iam::444455556666:role/Role1"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition" :{
        "StringEquals" : {
            //Restrict access to only RDS APIs (including Performance Insights).
            //Replace *region* with your AWS Region. 
            //For example, specify us-west-2.
            "kms:ViaService" : "rds.*region*.amazonaws.com"
        },
        "ForAnyValue:StringEquals": {
            //Restrict access to only data encrypted by Performance Insights.
            "kms:EncryptionContext:aws:pi:service": "rds",
            "kms:EncryptionContext:service": "pi",
            
            //Restrict access to a specific DocDB instance.
            //The value is a DbiResourceId.
           "kms:EncryptionContext:aws:rds:db-id": "db-AAAAABBBBBCCCCDDDDDEEEEE"
        }
    }
}