성능 개선 도우미에 대한 액세스 정책 구성 - Amazon DocumentDB
A mazonRDSPerformance InsightsReadOnly 정책을 보안 주체에 연결 IAMPerformance Insights에 대한 사용자 지정 IAM 정책 생성Performance Insights에 대한 AWS KMS 정책 구성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

성능 개선 도우미에 대한 액세스 정책 구성

Performance Insights에 액세스하려면 AWS Identity and Access Management (IAM) 에서 적절한 권한을 가져야 합니다. 액세스 권한 부여 옵션은 다음과 같습니다:

  • 권한 세트 또는 역할에 AmazonRDSPerformanceInsightsReadOnly 관리형 정책을 연결합니다.

  • 사용자 지정 IAM 정책을 생성하여 권한 집합 또는 역할에 연결합니다.

또한 Performance Insights를 켤 때 고객 관리 키를 지정한 경우 계정의 사용자에게 KMS 키에 대한 kms:Decryptkms:GenerateDataKey 권한이 있는지 확인하십시오.

참고

AWS KMS 키 및 보안 그룹 관리의 경우 Amazon DocumentDB는 Amazon과 encryption-at-rest 공유하는 운영 기술을 활용합니다. RDS

A mazonRDSPerformance InsightsReadOnly 정책을 보안 주체에 연결 IAM

AmazonRDSPerformanceInsightsReadOnlyAmazon DocumentDB Performance Insights의 모든 읽기 전용 작업에 대한 액세스 권한을 부여하는 AWS관리형 정책입니다. API 현재 이 시스템의 모든 작업은 읽기 전용입니다. API AmazonRDSPerformanceInsightsReadOnly를 권한 세트 또는 역할에 연결하면 수신자는 성능 개선 도우미를 다른 콘솔 기능과 함께 사용할 수 있습니다.

Performance Insights에 대한 사용자 지정 IAM 정책 생성

정책이 없는 사용자의 경우 사용자 관리형 AmazonRDSPerformanceInsightsReadOnly IAM 정책을 만들거나 수정하여 Performance Insights에 대한 액세스 권한을 부여할 수 있습니다. 정책을 권한 세트 또는 역할에 연결할 때 수신자는 성능 개선 도우미을 사용할 수 있습니다.

사용자 지정 정책을 생성하는 방법

  1. 에서 IAM 콘솔을 엽니다. https://console.aws.amazon.com/iam/

  2. 탐색 창에서 정책을 선택합니다.

  3. 정책 생성을 선택합니다.

  4. 정책 생성 페이지에서 JSON 탭을 선택합니다.

  5. 다음 텍스트를 복사하여 붙여넣고 대체합니다.us-east-1 AWS 지역 이름과 함께 111122223333 고객 계정 번호와 함께

    
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rds:DescribeDBInstances",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "rds:DescribeDBClusters",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:DescribeDimensionKeys",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:GetDimensionKeyDetails",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:GetResourceMetadata",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:GetResourceMetrics",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:ListAvailableResourceDimensions",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:ListAvailableResourceMetrics",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        }
    ]
}

  6. 정책 검토를 선택합니다.

  7. 정책의 이름과 설명(선택 사항)을 지정한 다음 정책 검토를 선택합니다.

이제 정책을 권한 세트 또는 역할에 연결할 수 있습니다. 다음 절차에서는 이 목적으로 사용할 수 있는 사용자가 이미 있다고 가정합니다.

사용자에게 정책을 연결

  1. 에서 IAM 콘솔을 엽니다 https://console.aws.amazon.com/iam/.

  2. 탐색 창에서 사용자를 선택합니다.

  3. 목록에서 기존 사용자를 선택합니다.

    중요

    성능 개선 도우미을 사용하려면 사용자 정의 정책 외에 Amazon DocumentDB에 액세스할 수 있어야 합니다. 예를 들어, AmazonDocDBReadOnlyAccess사전 정의된 정책은 Amazon DocDB에 대한 읽기 전용 액세스를 제공합니다. 자세한 내용은 정책을 사용한 액세스 관리를 참조하십시오.

  4. 요약 페이지에서 권한 추가를 선택합니다.

  5. 기존 정책 직접 첨부를 선택합니다. 검색에 다음과 같이 정책 이름의 첫 문자 몇 개를 입력합니다.

    정책 선택

  6. 정책을 선택하고 다음: 검토를 선택합니다.

  7. 권한 추가를 선택합니다.

Performance Insights에 대한 AWS KMS 정책 구성

Performance Insights는 AWS KMS key 를 사용하여 민감한 데이터를 암호화합니다. API또는 콘솔을 통해 Performance Insights를 활성화하면 다음과 같은 옵션을 사용할 수 있습니다.

  • 기본값을 선택합니다 AWS 관리형 키.

    Amazon DocumentDB는 새 DB 인스턴스에 AWS 관리형 키 를 사용합니다. Amazon DocumentDB는 사용자 계정에 AWS 관리형 키 사용할 계정을 생성합니다. AWS 각 AWS 관리형 키 지역마다 Amazon DocumentDB AWS 계정이 다릅니다. AWS

  • 고객 관리형 키를 선택합니다.

    고객 관리 키를 지정하는 경우 Performance Insights를 호출하는 계정 내 사용자에게 KMS 키에 대한 kms:Decryptkms:GenerateDataKey 권한이 API 필요합니다. IAM정책을 통해 이러한 권한을 구성할 수 있습니다. 하지만 KMS 키 정책을 통해 이러한 권한을 관리하는 것이 좋습니다. 자세한 내용은 에서 키 정책 사용을 참조하십시오 AWS KMS.

다음 샘플 키 정책은 키 정책에 명령문을 추가하는 KMS 방법을 보여줍니다. 이러한 문을 통해 성능 개선 도우미에 액세스할 수 있습니다. 사용 방법에 따라 일부 제한을 변경하고 싶을 수 있습니다. AWS KMS정책에 문을 추가하기 전에 모든 문을 제거하세요.

{
 "Version" : "2012-10-17",
 "Id" : "your-policy",
 "Statement" : [ {
    //This represents a statement that currently exists in your policy.
 }
 ....,
 //Starting here, add new statement to your policy for Performance Insights.
 //We recommend that you add one new statement for every RDS/DocumentDB instance
 {
    "Sid" : "Allow viewing RDS Performance Insights",
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            //One or more principals allowed to access Performance Insights
            "arn:aws:iam::444455556666:role/Role1"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition" :{
        "StringEquals" : {
            //Restrict access to only RDS APIs (including Performance Insights).
            //Replace *region* with your AWS Region. 
            //For example, specify us-west-2.
            "kms:ViaService" : "rds.*region*.amazonaws.com"
        },
        "ForAnyValue:StringEquals": {
            //Restrict access to only data encrypted by Performance Insights.
            "kms:EncryptionContext:aws:pi:service": "rds",
            "kms:EncryptionContext:service": "pi",
            
            //Restrict access to a specific DocDB instance.
            //The value is a DbiResourceId.
           "kms:EncryptionContext:aws:rds:db-id": "db-AAAAABBBBBCCCCDDDDDEEEEE"
        }
    }
}