Configurar políticas de acesso para o Performance Insights - Amazon DocumentDB

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar políticas de acesso para o Performance Insights

Para acessar o Performance Insights, é necessário ter as permissões apropriadas do AWS Identity and Access Management (IAM). Você tem as seguintes opções para conceder acesso:

  • Anexe a política gerenciada AmazonRDSPerformanceInsightsReadOnly a um conjunto de permissões ou perfil.

  • Crie uma política do IAM personalizada e anexe ela a um conjunto de permissões ou perfil.

Além disso, se você especificou uma chave gerenciada pelo cliente quando ativou o Performance Insights, certifique-se de que os usuários em sua conta têm as permissões kms:Decrypt e kms:GenerateDataKey na chave do KMS.

Anexando a RDSPerformance InsightsReadOnly política da Amazon a um diretor do IAM

AmazonRDSPerformanceInsightsReadOnlyé uma política AWS gerenciada que concede acesso a todas as operações somente para leitura da API Amazon DocumentDB Performance Insights. Atualmente, todas as operações nesta API são somente leitura. Se você anexar AmazonRDSPerformanceInsightsReadOnly a um conjunto de permissões ou perfil, o destinatário poderá usar o Performance Insights com outros recursos do console.

Criação de uma política de IAM personalizada para o Performance Insights

Para usuários que não têm a política AmazonRDSPerformanceInsightsReadOnly, é possível conceder acesso ao Performance Insights criando ou modificando uma política do IAM gerenciada pelo usuário. Quando você anexa a política a um conjunto de permissões ou perfil, o destinatário pode usar o Performance Insights.

Para criar uma política personalizada
  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Políticas.

  3. Escolha Criar política.

  4. Na página Criar política, escolha a guia JSON.

  5. Copie e cole o texto a seguir, us-east-1 substituindo-o pelo nome da sua AWS região e 111122223333 pelo número da sua conta de cliente.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "rds:DescribeDBInstances", "Resource": "*" }, { "Effect": "Allow", "Action": "rds:DescribeDBClusters", "Resource": "*" }, { "Effect": "Allow", "Action": "pi:DescribeDimensionKeys", "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*" }, { "Effect": "Allow", "Action": "pi:GetDimensionKeyDetails", "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*" }, { "Effect": "Allow", "Action": "pi:GetResourceMetadata", "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*" }, { "Effect": "Allow", "Action": "pi:GetResourceMetrics", "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*" }, { "Effect": "Allow", "Action": "pi:ListAvailableResourceDimensions", "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*" }, { "Effect": "Allow", "Action": "pi:ListAvailableResourceMetrics", "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*" } ] }
  6. Escolha Revisar política.

  7. Forneça um nome para a política e, se preferir, uma descrição. Em seguida, escolha Criar política.

Agora você pode anexar a política a um conjunto de permissões ou perfil. O procedimento a seguir pressupõe que você já tem um usuário disponível para essa finalidade.

Como anexar a política a um usuário
  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Usuários.

  3. Escolha um usuário existente na lista.

  4. Na página Resumo, escolha Adicionar permissões.

  5. Escolha Anexar políticas existentes diretamente. Em Pesquisar, digite os primeiros caracteres do nome da sua política, conforme mostrado a seguir.

    Escolher uma política
  6. Escolha a política e, em seguida, escolha Próximo: revisar.

  7. Escolha Adicionar permissões.

Configurando uma AWS KMS política para Performance Insights

O Performance Insights usa um AWS KMS key para criptografar dados confidenciais. Ao habilitar o Performance Insights por meio da API ou do console, você tem as seguintes opções:

  • Escolha o padrão Chave gerenciada pela AWS.

    O Amazon DocumentDB usa o Chave gerenciada pela AWS para sua nova instância de banco de dados. O Amazon DocumentDB cria um Chave gerenciada pela AWS para sua AWS conta. Sua AWS conta tem uma conta diferente Chave gerenciada pela AWS para o Amazon DocumentDB para cada AWS região.

  • Escolha uma chave gerenciada pelo cliente.

    Se você especificar uma chave gerenciada pelo cliente, os usuários em sua conta que chamam a API do Performance Insights precisarão das permissões kms:Decrypt e kms:GenerateDataKey na chave do KMS. Você pode configurar essas permissões por meio de políticas do IAM. No entanto, recomendamos que você gerencie essas permissões por meio da política de chaves do KMS. Para obter mais informações, consulte o tópico sobre como Utilizar políticas de chaves no AWS KMS.

A política de chave de exemplo a seguir mostra como adicionar instruções à sua política da chaves do KMS. Essas instruções permitem acesso ao Performance Insights. Dependendo de como você usa o AWS KMS, talvez você queira alterar algumas restrições. Antes de adicionar instruções à política, remova todos os comentários.

{ "Version" : "2012-10-17", "Id" : "your-policy", "Statement" : [ { //This represents a statement that currently exists in your policy. } ...., //Starting here, add new statement to your policy for Performance Insights. //We recommend that you add one new statement for every RDS/DocumentDB instance { "Sid" : "Allow viewing RDS Performance Insights", "Effect": "Allow", "Principal": { "AWS": [ //One or more principals allowed to access Performance Insights "arn:aws:iam::444455556666:role/Role1" ] }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition" :{ "StringEquals" : { //Restrict access to only RDS APIs (including Performance Insights). //Replace *region* with your AWS Region. //For example, specify us-west-2. "kms:ViaService" : "rds.*region*.amazonaws.com" }, "ForAnyValue:StringEquals": { //Restrict access to only data encrypted by Performance Insights. "kms:EncryptionContext:aws:pi:service": "rds", "kms:EncryptionContext:service": "pi", //Restrict access to a specific DocDB instance. //The value is a DbiResourceId. "kms:EncryptionContext:aws:rds:db-id": "db-AAAAABBBBBCCCCDDDDDEEEEE" } } }