为 Performance Insights 配置访问策略 - Amazon DocumentDB
将 AmazonRDSPerformanceInsightsReadOnly 策略附加到 IAM 主体为 Performance Insights 创建自定义 IAM policy为 Performance Insights 配置 Amazon KMS 策略
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Performance Insights 配置访问策略

要访问 Performance Insights,您必须拥有 Amazon Identity and Access Management(IAM)的相应权限。您可以使用以下选项来授予访问权限:

  • AmazonRDSPerformanceInsightsReadOnly 托管式策略附加到权限集或角色。

  • 创建自定义 IAM policy 并将其附加到权限集或角色。

此外,如果您在启用 Performance Insights 时指定了客户托管密钥,请确保账户中的用户对 KMS 密钥具有 kms:Decryptkms:GenerateDataKey 权限。

注意

对于使用 Amazon KMS 密钥的静态加密和安全组管理,Amazon DocumentDB 利用了与 Amazon RDS 共享的操作技术。

将 AmazonRDSPerformanceInsightsReadOnly 策略附加到 IAM 主体

AmazonRDSPerformanceInsightsReadOnly 是 Amazon 托管式策略,可以授予对 Amazon DocumentDB Performance Insights API 的所有只读操作的访问权限。目前,此 API 中的所有操作均为只读。如果将 AmazonRDSPerformanceInsightsReadOnly 附加到权限集或角色,接收人可以使用 Performance Insights 以及其他控制台功能。

为 Performance Insights 创建自定义 IAM policy

对于没有 AmazonRDSPerformanceInsightsReadOnly 策略的用户,您可以通过创建或修改用户托管 IAM policy 来授予对 Performance Insights 的访问权限。当您将策略附加到一个权限集或角色时,接收人可以使用 Performance Insights。

创建自定义策略

  1. 打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择 Policies (策略)

  3. 选择 Create policy (创建策略)

  4. 创建策略页面上,选择“JSON”选项卡。

  5. 复制并粘贴以下文本,将 us-east-1 替换为您的 Amazon 区域的名称,并将 111122223333 替换为您的客户账号。

    
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rds:DescribeDBInstances",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "rds:DescribeDBClusters",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:DescribeDimensionKeys",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:GetDimensionKeyDetails",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:GetResourceMetadata",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:GetResourceMetrics",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:ListAvailableResourceDimensions",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:ListAvailableResourceMetrics",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        }
    ]
}

  6. 选择Review policy(查看策略)

  7. 为策略提供名称并可以选择提供描述,然后选择创建策略

现在,可以将策略附加到权限集或角色。以下过程假设您已经有一个可用于此目的的用户。

将策略附加到用户

  1. 打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择 Users

  3. 从列表中选择现有用户。

    重要

    要使用 Performance Insights,请确保除了自定义策略之外,您还有权访问 Amazon DocumentDB。例如,AmazonDocDBReadOnlyAccess 预定义策略提供了对 Amazon Docdb 的只读访问权限。有关更多信息,请参阅使用策略管理访问

  4. Summary (摘要) 页上,选择 Add permissions (添加权限)

  5. 选择直接附加现有策略。对于 Search,键入策略名称的前几个字符,如下所示。

    选择一个策略

  6. 选择策略,然后选择 Next: Review

  7. 选择 Add permissions (添加权限)

为 Performance Insights 配置 Amazon KMS 策略

Performance Insights 使用 Amazon KMS key 加密敏感数据。当您通过 API 或控制台启用 Performance Insights 时,您可以选择以下选项:

  • 选择原定设置 Amazon 托管式密钥。

    Amazon DocumentDB 为新的数据库实例使用 Amazon 托管式密钥。Amazon DocumentDB 将为您的 Amazon 账户创建 Amazon 托管式密钥。您的 Amazon 账户在每个 Amazon 区域都有用于 Amazon DocumentDB 的不同 Amazon 托管式密钥。

  • 选择客户托管密钥。

    如果您指定一个客户托管密钥,则您账户中调用 Performance Insights API 的用户需要在 KMS 密钥具有 kms:Decryptkms:GenerateDataKey 权限。您可以通过 IAM policy 配置这些权限。但是,我们建议您通过 KMS 密钥策略来管理这些权限。有关更多信息,请参阅在 Amazon KMS 中使用密钥策略

以下示例密钥策略显示了如何将语句添加到 KMS 密钥策略。这些语句可以访问 Performance Insights。您可能需要更改一些限制,这取决于您使用 Amazon KMS 的方式。在将语句添加到您的策略之前,请删除所有注释。

{
 "Version" : "2012-10-17",
 "Id" : "your-policy",
 "Statement" : [ {
    //This represents a statement that currently exists in your policy.
 }
 ....,
 //Starting here, add new statement to your policy for Performance Insights.
 //We recommend that you add one new statement for every RDS/DocumentDB instance
 {
    "Sid" : "Allow viewing RDS Performance Insights",
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            //One or more principals allowed to access Performance Insights
            "arn:aws:iam::444455556666:role/Role1"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition" :{
        "StringEquals" : {
            //Restrict access to only RDS APIs (including Performance Insights).
            //Replace *region* with your AWS Region. 
            //For example, specify us-west-2.
            "kms:ViaService" : "rds.*region*.amazonaws.com"
        },
        "ForAnyValue:StringEquals": {
            //Restrict access to only data encrypted by Performance Insights.
            "kms:EncryptionContext:aws:pi:service": "rds",
            "kms:EncryptionContext:service": "pi",
            
            //Restrict access to a specific DocDB instance.
            //The value is a DbiResourceId.
           "kms:EncryptionContext:aws:rds:db-id": "db-AAAAABBBBBCCCCDDDDDEEEEE"
        }
    }
}