Configurar políticas de acesso para o Performance Insights - Amazon Relational Database Service

Configurar políticas de acesso para o Performance Insights

Para acessar o Performance Insights, é necessário ter as permissões apropriadas do AWS Identity and Access Management (IAM). Você tem as seguintes opções para conceder acesso:

  • Anexe a política gerenciada AmazonRDSFullAccess a um usuário ou função do IAM.

  • Crie uma política personalizada do IAM e a anexe a um usuário ou função do IAM.

Além disso, se você especificou uma chave gerenciada pelo cliente quando ativou o Performance Insights, certifique-se de que os usuários em sua conta têm as permissões kms:Decrypt e kms:GenerateDataKey na chave do KMS.

Anexar a política AmazonRdsFullAccess a um principal do IAM

O AmazonRDSFullAccess é uma política gerenciada pela AWS que concede acesso a todas as operações da API do Amazon RDS. Essa política faz o seguinte:

  • Concede acesso a serviços relacionados usados pelo console Amazon RDS. Por exemplo, essa política concede acesso a notificações de eventos usando Amazon SNS.

  • Concede permissões necessárias para usar o Performance Insights.

Se você associar o AmazonRDSFullAccess a um usuário ou uma função do IAM, o destinatário poderá usar o Performance Insights junto com outros recursos do console.

Criação de uma política de IAM personalizada para o Performance Insights

Para usuários que não têm acesso total com a política AmazonRDSFullAccess, é possível conceder acesso ao Performance Insights criando ou modificando uma política do IAM gerenciada pelo usuário. Quando você anexa a política a um usuário ou uma função do IAM, o destinatário pode usar o Performance Insights.

Para criar uma política personalizada

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Policies (Políticas).

  3. Escolha Create policy (Criar política).

  4. Na página Create Policy (Criar política), escolha a guia JSON.

  5. Copie e cole o seguinte texto, substituindo us-east-1 pelo nome da região da AWS e 111122223333 pelo número da sua conta de cliente.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "pi:*", "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*" }, { "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" } ] }
  6. Escolha Review policy (Revisar política).

  7. Forneça um nome para a política e, se preferir, uma descrição. Em seguida, escolha Create policy (Criar política).

Agora você pode anexar a política a um usuário ou uma função do IAM. O procedimento a seguir pressupõe que você já tenha um usuário do IAM disponível para essa finalidade.

Para anexar a política a um usuário do IAM

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários.

  3. Escolha um usuário existente na lista.

    Importante

    Para usar o Performance Insights, você deve ter acesso ao Amazon RDS e à política personalizada. Por exemplo, a política predefinida AmazonRDSReadOnlyAccess concede acesso somente leitura ao Amazon RDS. Para obter mais informações, consulte Gerenciamento do acesso usando políticas.

  4. Na página Summary (Resumo), escolha Add permissions (Adicionar permissões).

  5. Selecione Attach existing policies directly. Em Search (Pesquisar), digite os primeiros caracteres do nome da sua política, conforme mostrado a seguir.

    
						Escolher uma política
  6. Escolha a política e, em seguida, selecione Next: Review (Próximo: revisar).

  7. Selecione Add permissions (Adicionar permissões).

Como configurar uma política do AWS KMS para o Performance Insights

O Performance Insights usa uma AWS KMS key para criptografar dados sigilosos. Ao habilitar o Performance Insights por meio da API ou do console, você tem as seguintes opções:

  • Escolha o padrão Chave gerenciada pela AWS.

    O Amazon RDS usa a Chave gerenciada pela AWS para a sua nova instância de banco de dados. O Amazon RDS cria uma Chave gerenciada pela AWS para a sua conta da AWS. A sua conta da AWS tem uma Chave gerenciada pela AWS diferente para o Amazon RDS para cada região da AWS.

  • Escolha uma chave gerenciada pelo cliente.

    Se você especificar uma chave gerenciada pelo cliente, os usuários em sua conta que chamam a API do Performance Insights precisarão das permissões kms:Decrypt e kms:GenerateDataKey na chave do KMS. Você pode configurar essas permissões por meio de políticas do IAM. No entanto, recomendamos que você gerencie essas permissões por meio da política de chaves do KMS. Para obter mais informações, consulte o tópico sobre como Utilizar políticas de chaves no AWS KMS.

A política de chave de exemplo a seguir mostra como adicionar instruções à sua política da chaves do KMS. Essas instruções permitem acesso ao Performance Insights. Dependendo de como você usa a chave KMS, talvez você queira alterar algumas restrições. Antes de adicionar instruções à política, remova todos os comentários.

{ "Version" : "2012-10-17", "Id" : "your-policy", "Statement" : [ { //This represents a statement that currently exists in your policy. } ...., //Starting here, add new statement to your policy for Performance Insights. //We recommend that you add one new statement for every RDS instance { "Sid" : "Allow viewing RDS Performance Insights", "Effect": "Allow", "Principal": { "AWS": [ //One or more principals allowed to access Performance Insights "arn:aws:iam::444455556666:role/Role1" ] }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition" : { "StringEquals" : { //Restrict access to only RDS APIs (including Performance Insights). //Replace region with your AWS Region. //For example, specify us-west-2. "kms:ViaService" : "rds.region.amazonaws.com" }, "ForAnyValue:StringEquals": { //Restrict access to only data encrypted by Performance Insights. "kms:EncryptionContext:aws:pi:service": "rds", "kms:EncryptionContext:service": "pi", //Restrict access to a specific RDS instance. //The value is a DbiResourceId. "kms:EncryptionContext:aws:rds:db-id": "db-AAAAABBBBBCCCCDDDDDEEEEE" } } }