Einrichten und Aktivieren von „Enhanced Monitoring“ (Erweiterte Überwachung) - Amazon Aurora
Eine IAM Rolle für Enhanced Monitoring erstellenAktivieren und Deaktivieren von „Enhanced Monitoring“ (Erweiterte Überwachung)Schutz vor dem Confused-Deputy-Problem

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichten und Aktivieren von „Enhanced Monitoring“ (Erweiterte Überwachung)

Um Enhanced Monitoring verwenden zu können, müssen Sie eine IAM Rolle erstellen und dann Enhanced Monitoring aktivieren.

Eine IAM Rolle für Enhanced Monitoring erstellen

Für Enhanced Monitoring ist die Erlaubnis erforderlich, in Ihrem Namen handeln zu dürfen, um Betriebssystem-Metrikinformationen an CloudWatch Logs zu senden. Sie gewähren Enhanced Monitoring-Berechtigungen mithilfe einer AWS Identity and Access Management (IAM) -Rolle. Sie können diese Rolle entweder erstellen, wenn Sie „Enhanced Monitoring“ (Erweiterte Überwachung) aktivieren oder vorher erstellen.

Die IAM Rolle wird erstellt, wenn Sie Enhanced Monitoring aktivieren

Wenn Sie Enhanced Monitoring in der RDS Konsole aktivieren, RDS kann Amazon die erforderliche IAM Rolle für Sie erstellen. Der Name der Rolle lautet rds-monitoring-role. RDSverwendet diese Rolle für die angegebene DB-Instance, Read Replica oder den Multi-AZ-DB-Cluster.

Um die IAM Rolle bei der Aktivierung von Enhanced Monitoring zu erstellen

  1. Führen Sie die Schritte unter au Aktivieren und Deaktivieren von „Enhanced Monitoring“ (Erweiterte Überwachung).

  2. Setzen Sie die Überwachungsrolle in dem Schritt, in dem Sie eine Rolle auswählen auf Standard.

Erstellen Sie die IAM Rolle, bevor Sie Enhanced Monitoring aktivieren

Sie können die erforderliche Rolle erstellen, bevor Sie „Enhanced Monitoring“ (Erweiterte Überwachung) aktivieren. Wenn Sie „Enhanced Monitoring“ (Erweiterte Überwachung) aktivieren, geben Sie den Namen Ihrer neuen Rolle an. Sie müssen diese erforderliche Rolle erstellen, wenn Sie Enhanced Monitoring mit dem AWS CLI oder dem aktivieren RDSAPI.

Der Benutzer, der „Enhanced Monitoring“ (Erweiterte Überwachung) aktiviert, muss über die PassRole-Berechtigung verfügen. Weitere Informationen finden Sie unter Beispiel 2 unter Erteilen von Benutzerberechtigungen zur Übergabe einer Rolle an einen AWS Dienst im IAMBenutzerhandbuch.

Um eine IAM Rolle für Amazon RDS Enhanced Monitoring zu erstellen

  1. Öffnen Sie die IAMKonsole unter https://console.aws.amazon.com.

  2. Wählen Sie im Navigationsbereich Rollen aus.

  3. Wählen Sie Rolle erstellen aus.

  4. Wählen Sie die Registerkarte AWS Service und wählen Sie dann RDSaus der Liste der Dienste aus.

  5. Wählen Sie RDS— Erweiterte Überwachung und dann Weiter.

  6. Vergewissern Sie sich, dass in den Berechtigungsrichtlinien A angezeigt wird mazonRDSEnhancedMonitoringRole, und wählen Sie dann Weiter aus.

  7. Geben Sie unter Role name (Rollenname) einen Namen für Ihre Rolle ein. Geben Sie z. B. ei emaccess.

    Die vertrauenswürdige Entität für Ihre Rolle ist der AWS Service monitoring.rds.amazonaws.com.

  8. Wählen Sie Rolle erstellen.

Aktivieren und Deaktivieren von „Enhanced Monitoring“ (Erweiterte Überwachung)

Sie können die erweiterte Überwachung mithilfe von, oder verwalten. AWS Management Console AWS CLI RDS API Sie können für jede unterschiedliche Granularitäten für die Erfassung von Metriken festlegen. Sie können die erweiterte Überwachung auch für einen vorhandenen DB-Cluster von der Konsole aus aktivieren.

Sie können „Enhanced Monitoring“·(Erweiterte·Überwachung) aktivieren, wenn Sie eine DB- einen Cluster oder ein Lesereplikat erstellen, oder wenn Sie eine DB- einen Cluster ändern. Wenn Sie eine DB-Instance oder einen Cluster ändern, um Enhanced Monitoring zu aktivieren, müssen Sie Ihre DB-Instance nicht neu starten, damit die Änderung wirksam wird.

Sie können Enhanced Monitoring in der RDS Konsole aktivieren, wenn Sie auf der Datenbankseite eine der folgenden Aktionen ausführen:

  • Erstellen einer DB-eines Clusters – Wählen Sie Create database (Datenbank erstellen) aus.

  • Erstellen eines Lesereplikats – Wählen Sie Actions (Aktionen) und dann Create Read Replica (Lesereplikat erstellen) aus.

  • Ändern Sie eine DB-Instance, einen DB-Cluster — Wählen Sie Ändern.

Anmerkung

Wenn Sie Enhanced Monitoring für einen DB-Cluster aktivieren, können Sie Enhanced Monitoring nicht für einzelne DB-Instances innerhalb des Clusters verwalten.

Wenn Sie Enhanced Monitoring für einzelne DB-Instances in einem DB-Cluster verwalten und die Granularität für verschiedene Instances auf unterschiedliche Werte eingestellt ist, ist Ihr DB-Cluster in Bezug auf Enhanced Monitoring heterogen. In solchen Fällen können Sie den DB-Cluster nicht ändern, um Enhanced Monitoring auf Clusterebene zu verwalten.

Um Enhanced Monitoring in der RDS Konsole ein- oder auszuschalten

  1. Scrollen Sie zu Additional Configuration (Zusätzliche Konfiguration).

  2. Wählen Sie unter Monitoring die Option Enable Enhanced Monitoring für Ihre , Ihren Cluster oder Ihre Read Replica aus. Wenn Sie Enhanced Monitoring auf Cluster-Ebene aktivieren, können Sie Enhanced Monitoring-Einstellungen und -Optionen auf Cluster-Ebene verwalten. Die Einstellungen auf Clusterebene gelten für alle DB-Instances im Cluster.Deaktivieren Sie die Option zur Deaktivierung von Enhanced Monitoring auf Cluster-Ebene. Sie können die Enhanced Monitoring-Einstellungen später für einzelne DB-Instances im Cluster ändern.

    Auf der Seite Datenbank erstellen können Sie auswählen, ob Enhanced Monitoring auf Clusterebene aktiviert werden soll.

    Aktivieren Sie Enhanced Monitoring bei der Erstellung des DB-Clusters mit der Konsole.

    Wenn Sie Enhanced Monitoring beim Erstellen eines Clusters nicht aktivieren, können Sie den Cluster auf der Seite DB-Cluster modifizieren ändern.

    Aktivieren Sie Performance Insights während der DB-Cluster-Erstellung mit der Konsole.
    Anmerkung

    Sie können Enhanced Monitoring nicht für eine einzelne DB-Instance in einem DB-Cluster verwalten, in dem Enhanced Monitoring bereits auf Clusterebene verwaltet wird.

  3. Sie können sich nicht dafür entscheiden, Enhanced Monitoring auf Clusterebene zu verwalten, wenn der Cluster in Bezug auf Enhanced Monitoring heterogen ist. Um Enhanced Monitoring auf Clusterebene zu verwalten, ändern Sie die Enhanced Monitoring-Einstellungen für jede Instanz so, dass sie übereinstimmen. Sie können jetzt wählen, ob Enhanced Monitoring auf Clusterebene verwaltet werden soll, wenn Sie Ihren Cluster ändern.

  4. Setzen Sie die Eigenschaft Überwachungsrolle auf die IAM Rolle, die Sie erstellt haben, RDS damit Amazon für Sie mit Amazon CloudWatch Logs kommunizieren kann, oder wählen Sie Standard, um eine Rolle für Sie RDS erstellen zu lassenrds-monitoring-role.

  5. Stellen Sie die Eigenschaft Granularität auf das Intervall in Sekunden zwischen den Punkten ein, an denen Metriken für Ihre DB-Instance, Ihren DB-Cluster oder Ihre Read Replica erfasst werden. Die Eigenschaft Granularität kann auf einen der folgenden Werte eingestellt werden: 1, 5, 10, 15, 30 oder 60.

    Die RDS Konsole wird am schnellsten alle 5 Sekunden aktualisiert. Wenn Sie die Granularität in der RDS Konsole auf 1 Sekunde einstellen, werden Ihnen weiterhin nur alle 5 Sekunden aktualisierte Messwerte angezeigt. Mithilfe von Logs können Sie Metrik-Updates von einer CloudWatch Sekunde abrufen.

Um Enhanced Monitoring mit den AWS CLI folgenden Befehlen zu aktivieren, setzen Sie die --monitoring-interval Option auf einen anderen Wert als 0 und setzen Sie die --monitoring-role-arn Option auf die Rolle, in Eine IAM Rolle für Enhanced Monitoring erstellen der Sie sie erstellt haben.

Die Option --monitoring-interval gibt das Intervall in Sekunden zwischen den Punkten an, an denen Enhanced Monitoring-Metriken erfasst werden. Gültige Werte für die Option sind 0, 1, 5, 10, 15, 30 und 60.

Um Enhanced Monitoring mit dem zu deaktivieren AWS CLI, setzen Sie die --monitoring-interval Option 0 in diesen Befehlen auf.

Beispiel

Im folgenden Beispiel wird „Enhanced Monitoring“·(Erweiterte·Überwachung) für eine DB-Instance aktiviert:

Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Linux, macOS, oder Unix:

aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --monitoring-interval 30 \
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess

Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Windows:

aws rds modify-db-instance ^
    --db-instance-identifier mydbinstance ^
    --monitoring-interval 30 ^
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess
Beispiel

Im folgenden Beispiel wird Enhanced Monitoring für einen DB-Cluster aktiviert:

Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Linux, macOS, oder Unix:

aws rds modify-db-cluster \
    --db-cluster-identifier mydbinstance \
    --monitoring-interval 30 \
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess

Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Windows:

aws rds modify-db-cluster ^
    --db-cluster-identifier mydbinstance ^
    --monitoring-interval 30 ^
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess
Beispiel

Im folgenden Beispiel wird „Enhanced Monitoring“·(Erweiterte·Überwachung) für ein Multi-AZ-DB-Cluster aktiviert:

Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Linux, macOS, oder Unix:

aws rds modify-db-cluster \
    --db-cluster-identifier mydbcluster \
    --monitoring-interval 30 \
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess

Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Windows:

aws rds modify-db-cluster ^
    --db-cluster-identifier mydbcluster ^
    --monitoring-interval 30 ^
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess

Um Enhanced Monitoring mit dem zu aktivieren RDSAPI, setzen Sie den MonitoringInterval Parameter auf einen anderen Wert als 0 und legen Sie den MonitoringRoleArn Parameter auf die Rolle fest, in der Sie ihn erstellt habenEine IAM Rolle für Enhanced Monitoring erstellen. Legen Sie diese Parameter in den folgenden Aktionen fest:

Der Parameter MonitoringInterval gibt das Intervall in Sekunden zwischen den Punkten an, an denen Enhanced Monitoring-Metriken erfasst werden. Gültige Werte sind: 0, 1, 5, 10, 15, 30 und 60.

Um Enhanced Monitoring mit dem zu deaktivieren RDSAPI, stellen Sie MonitoringInterval auf 0 ein.

Schutz vor dem Confused-Deputy-Problem

Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann. In AWS kann ein dienstübergreifendes Identitätswechsels zum Problem des verwirrten Stellvertreters führen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der Anruf-Dienst) einen anderen Dienst anruft (den aufgerufenen Dienst). Der aufrufende Service kann manipuliert werden, um seine Berechtigungen zu verwenden, um Aktionen auf die Ressourcen eines anderen Kunden auszuführen, für die er sonst keine Zugriffsberechtigung haben sollte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben. Weitere Informationen finden Sie unter Confused-Deputy-Problem.

Um die Berechtigungen auf die Ressource zu beschränken, die Amazon einem anderen Service gewähren RDS kann, empfehlen wir, die Kontextschlüssel aws:SourceArn und die aws:SourceAccount globalen Bedingungsschlüssel in einer Vertrauensrichtlinie für Ihre Enhanced Monitoring-Rolle zu verwenden. Wenn Sie beide globalen Bedingungskontextschlüssel verwenden, müssen diese dieselbe Konto-ID verwenden.

Der effektivste Weg, sich vor dem Problem mit dem verwirrten Stellvertreter zu schützen, besteht darin, den Kontextschlüssel „aws:SourceArnGlobal Condition“ mit ARN der gesamten Ressource zu verwenden. Stellen Sie für Amazon RDS aws:SourceArn auf einarn:aws:rds:Region:my-account-id:db:dbname.

Im folgenden Beispiel werden die globalen Bedingungskontextschlüssel aws:SourceArn und aws:SourceAccount in einer Vertrauensrichtlinie verwendet, um das Confused-Deputy-Problem zu verhindern.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "monitoring.rds.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringLike": {
          "aws:SourceArn": "arn:aws:rds:Region:my-account-id:db:dbname"
        },
        "StringEquals": {
          "aws:SourceAccount": "my-account-id"
        }
      }
    }
  ]
}