Configurar políticas de acesso para o Performance Insights - Amazon DocumentDB
Anexando a mazonRDSPerformance InsightsReadOnly política A a um diretor IAMCriação de uma IAM política personalizada para Performance InsightsConfigurando uma AWS KMS política para Performance Insights

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar políticas de acesso para o Performance Insights

Para acessar o Performance Insights, você deve ter as permissões apropriadas de AWS Identity and Access Management (IAM). Você tem as seguintes opções para conceder acesso:

  • Anexe a política gerenciada AmazonRDSPerformanceInsightsReadOnly a um conjunto de permissões ou perfil.

  • Crie uma IAM política personalizada e anexe-a a um conjunto de permissões ou função.

Além disso, se você especificou uma chave gerenciada pelo cliente ao ativar o Performance Insights, certifique-se de que os usuários da sua conta tenham as kms:GenerateDataKey permissões kms:Decrypt e na KMS chave.

nota

encryption-at-rest Com o gerenciamento de AWS KMS chaves e grupos de segurança, o Amazon DocumentDB aproveita a tecnologia operacional que é compartilhada com a Amazon. RDS

Anexando a mazonRDSPerformance InsightsReadOnly política A a um diretor IAM

AmazonRDSPerformanceInsightsReadOnlyé uma política AWS gerenciada que concede acesso a todas as operações somente para leitura do Amazon DocumentDB Performance Insights. API Atualmente, todas as operações API são somente para leitura. Se você anexar AmazonRDSPerformanceInsightsReadOnly a um conjunto de permissões ou perfil, o destinatário poderá usar o Insights de Performance com outros atributos do console.

Criação de uma IAM política personalizada para Performance Insights

Para usuários que não têm a AmazonRDSPerformanceInsightsReadOnly política, você pode conceder acesso ao Performance Insights criando ou modificando uma política gerenciada pelo usuárioIAM. Quando você anexa a política a um conjunto de permissões ou perfil, o destinatário pode usar o Performance Insights.

Para criar uma política personalizada

  1. Abra o IAM console em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Policies.

  3. Escolha Criar política.

  4. Na página Criar política, escolha a JSON guia.

  5. Copie e cole o texto a seguir, substituindo us-east-1 com o nome da sua AWS região e 111122223333 com o número da sua conta de cliente.

    
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rds:DescribeDBInstances",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "rds:DescribeDBClusters",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:DescribeDimensionKeys",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:GetDimensionKeyDetails",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:GetResourceMetadata",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:GetResourceMetrics",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:ListAvailableResourceDimensions",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:ListAvailableResourceMetrics",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        }
    ]
}

  6. Escolha Review policy (Revisar política).

  7. Forneça um nome para a política e, se preferir, uma descrição. Em seguida, escolha Create policy (Criar política).

Agora você pode anexar a política a um conjunto de permissões ou perfil. O procedimento a seguir pressupõe que você já tem um usuário disponível para essa finalidade.

Como anexar a política a um usuário

  1. Abra o IAM console em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários.

  3. Escolha um usuário existente na lista.

    Importante

    Para usar o Performance Insights, você deve ter acesso ao Amazon DocumentDB e à política personalizada. Por exemplo, a política AmazonDocDBReadOnlyAccesspredefinida fornece acesso somente de leitura ao Amazon DocDB. Para obter mais informações, consulte Gerenciando o acesso usando políticas.

  4. Na página Summary (Resumo), escolha Add permissions (Adicionar permissões).

  5. Escolha Attach existing policies directly (Anexar políticas existentes diretamente). Em Search (Pesquisar), digite os primeiros caracteres do nome da sua política, conforme mostrado a seguir.

    Escolher uma política

  6. Escolha a política e, em seguida, escolha Next: Review (Próximo: revisar).

  7. Escolha Add permissions (Adicionar permissões).

Configurando uma AWS KMS política para Performance Insights

O Performance Insights usa um AWS KMS key para criptografar dados confidenciais. Ao ativar o Performance Insights por meio do console API ou do console, você tem as seguintes opções:

  • Escolha o padrão Chave gerenciada pela AWS.

    O Amazon DocumentDB usa o Chave gerenciada pela AWS para sua nova instância de banco de dados. O Amazon DocumentDB cria um Chave gerenciada pela AWS para sua AWS conta. Sua AWS conta tem uma conta diferente Chave gerenciada pela AWS para o Amazon DocumentDB para cada AWS região.

  • Escolha uma chave gerenciada pelo cliente.

    Se você especificar uma chave gerenciada pelo cliente, os usuários da sua conta que ligam para o Performance Insights API precisam das kms:GenerateDataKey permissões kms:Decrypt e da KMS chave. Você pode configurar essas permissões por meio de IAM políticas. No entanto, recomendamos que você gerencie essas permissões por meio de sua política de KMS chaves. Para obter mais informações, consulte Usando políticas de chaves em AWS KMS.

O exemplo de política de chaves a seguir mostra como adicionar declarações à sua política de KMS chaves. Essas instruções permitem acesso ao Performance Insights. Dependendo de como você usa o AWS KMS, talvez você queira alterar algumas restrições. Antes de adicionar instruções à política, remova todos os comentários.

{
 "Version" : "2012-10-17",
 "Id" : "your-policy",
 "Statement" : [ {
    //This represents a statement that currently exists in your policy.
 }
 ....,
 //Starting here, add new statement to your policy for Performance Insights.
 //We recommend that you add one new statement for every RDS/DocumentDB instance
 {
    "Sid" : "Allow viewing RDS Performance Insights",
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            //One or more principals allowed to access Performance Insights
            "arn:aws:iam::444455556666:role/Role1"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition" :{
        "StringEquals" : {
            //Restrict access to only RDS APIs (including Performance Insights).
            //Replace *region* with your AWS Region. 
            //For example, specify us-west-2.
            "kms:ViaService" : "rds.*region*.amazonaws.com"
        },
        "ForAnyValue:StringEquals": {
            //Restrict access to only data encrypted by Performance Insights.
            "kms:EncryptionContext:aws:pi:service": "rds",
            "kms:EncryptionContext:service": "pi",
            
            //Restrict access to a specific DocDB instance.
            //The value is a DbiResourceId.
           "kms:EncryptionContext:aws:rds:db-id": "db-AAAAABBBBBCCCCDDDDDEEEEE"
        }
    }
}