變更效 Per AWS KMS formance Insights 的原則 - Amazon Aurora
Performance Insights 如何使用 AWS KMS 客戶管理的金鑰Performance Insights 如何IAM搭配使用 AWS KMS

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

變更效 Per AWS KMS formance Insights 的原則

Performance Insights 使用 AWS KMS key 加密機密資料。當您透過API或主控台啟用 Performance Insights 時,您可以執行下列其中一項作業:

  • 選擇預設值 AWS 受管金鑰。

    Amazon 將您的新 AWS 受管金鑰 資料庫執行個體RDS使用。Amazon 為您RDS創 AWS 受管金鑰 建一個 AWS 帳戶. 你 AWS 帳戶 有一個不同 AWS 受管金鑰 的 Amazon RDS 為每個 AWS 區域。

  • 選擇客戶受管金鑰。

    如果您指定客戶受管金鑰,則呼叫 Performance Insights 的帳戶中的使用者API需要KMS金鑰的kms:Decryptkms:GenerateDataKey權限。您可以透過IAM原則設定這些權限。不過,我們建議您透過KMS金鑰原則來管理這些權限。如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的在 AWS KMS中使用金鑰政策

下列範例顯示如何將陳述式新增至KMS金鑰原則。這些陳述式允許存取績效詳情。視您使用KMS金鑰的方式而定,您可能需要變更某些限制。在將陳述式新增至您的政策之前,請先移除所有註解。

{
"Version" : "2012-10-17",
 "Id" : "your-policy",
 "Statement" : [ {
    //This represents a statement that currently exists in your policy.
 }
 ....,
 //Starting here, add new statement to your policy for Performance Insights.
 //We recommend that you add one new statement for every RDS instance
{
    "Sid" : "Allow viewing RDS Performance Insights",
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            //One or more principals allowed to access Performance Insights
            "arn:aws:iam::444455556666:role/Role1"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition" : {
        "StringEquals" : {
            //Restrict access to only RDS APIs (including Performance Insights).
            //Replace region with your AWS Region. 
            //For example, specify us-west-2.
            "kms:ViaService" : "rds.region.amazonaws.com"
        },
        "ForAnyValue:StringEquals": {
            //Restrict access to only data encrypted by Performance Insights.
            "kms:EncryptionContext:aws:pi:service": "rds",
            "kms:EncryptionContext:service": "pi",
            
            //Restrict access to a specific RDS instance.
            //The value is a DbiResourceId.
           "kms:EncryptionContext:aws:rds:db-id": "db-AAAAABBBBBCCCCDDDDDEEEEE"
        }
    }
}

Performance Insights 如何使用 AWS KMS 客戶管理的金鑰

Performance Insights 使用客戶壽館金鑰來加密敏感資料。當您開啟 Performance Insights 時,您可以透過API. AWS KMS Performance Insights 會建立此金鑰的KMS權限。它會使用金鑰並執行必要的操作來處理敏感資料。敏感資料包括使用者、資料庫、應用程式和SQL查詢文字等欄位。Performance Insights 可確保靜態資料和傳輸中資料保持加密狀態。

Performance Insights 如何IAM搭配使用 AWS KMS

IAM授予特定的權限APIs。Performance Insights 具有下列公開項目APIs,您可以使用IAM原則來限制這些公用:

  • DescribeDimensionKeys

  • GetDimensionKeyDetails

  • GetResourceMetadata

  • GetResourceMetrics

  • ListAvailableResourceDimensions

  • ListAvailableResourceMetrics

您可以使用以下API請求來獲取敏感數據。

  • DescribeDimensionKeys

  • GetDimensionKeyDetails

  • GetResourceMetrics

當您使用取API得敏感資料時,Performance Insights 會利用呼叫者的認證。此檢查可確保敏感資料的存取權限於可存取KMS金鑰的使用者。

呼叫這些項目時APIs,您需要API透過IAM原則和權限呼叫透過 AWS KMS 金鑰原則呼叫kms:decrypt動作的權限。

GetResourceMetricsAPI可以返回敏感和非敏感數據。請求參數會決定回應是否應包含敏感資料。當要求在篩選器或 group by 參數中包含敏感維度時,會API傳回敏感資料。

如需可搭配使用之標註的更多資訊 GetResourceMetricsAPI,請參閱DimensionGroup

範例

以下範例會請求 db.user 群組的敏感資料:


POST / HTTP/1.1
Host: <Hostname>
Accept-Encoding: identity
X-Amz-Target: PerformanceInsightsv20180227.GetResourceMetrics
Content-Type: application/x-amz-json-1.1
User-Agent: <UserAgentString>
X-Amz-Date: <Date> 
Authorization: AWS4-HMAC-SHA256 Credential=<Credential>, SignedHeaders=<Headers>, Signature=<Signature>
Content-Length: <PayloadSizeBytes>
{
  "ServiceType": "RDS",
  "Identifier": "db-ABC1DEFGHIJKL2MNOPQRSTUV3W",
  "MetricQueries": [
    {
      "Metric": "db.load.avg",
      "GroupBy": {
        "Group": "db.user",
        "Limit": 2
      }
    }
  ],
  "StartTime": 1693872000,
  "EndTime": 1694044800,
  "PeriodInSeconds": 86400
}

以下範例會請求 db.load.avg 指標的非敏感資料:


POST / HTTP/1.1
Host: <Hostname>
Accept-Encoding: identity
X-Amz-Target: PerformanceInsightsv20180227.GetResourceMetrics
Content-Type: application/x-amz-json-1.1
User-Agent: <UserAgentString>
X-Amz-Date: <Date> 
Authorization: AWS4-HMAC-SHA256 Credential=<Credential>, SignedHeaders=<Headers>, Signature=<Signature>
Content-Length: <PayloadSizeBytes>
{
    "ServiceType": "RDS",
    "Identifier": "db-ABC1DEFGHIJKL2MNOPQRSTUV3W",
    "MetricQueries": [
        {
            "Metric": "db.load.avg"
        }
    ],
    "StartTime": 1693872000,
    "EndTime": 1694044800,
    "PeriodInSeconds": 86400
}