Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Einrichten und Aktivieren von „Enhanced Monitoring“ (Erweiterte Überwachung)
Um Enhanced Monitoring verwenden zu können, müssen Sie eine IAM Rolle erstellen und dann Enhanced Monitoring aktivieren.
Themen
Eine IAM Rolle für Enhanced Monitoring erstellen
Für Enhanced Monitoring ist die Erlaubnis erforderlich, in Ihrem Namen handeln zu dürfen, um Betriebssystem-Metrikinformationen an CloudWatch Logs zu senden. Sie gewähren Enhanced Monitoring-Berechtigungen mithilfe einer AWS Identity and Access Management (IAM) -Rolle. Sie können diese Rolle entweder erstellen, wenn Sie „Enhanced Monitoring“ (Erweiterte Überwachung) aktivieren oder vorher erstellen.
Themen
Die IAM Rolle wird erstellt, wenn Sie Enhanced Monitoring aktivieren
Wenn Sie Enhanced Monitoring in der RDS Konsole aktivieren, RDS kann Amazon die erforderliche IAM Rolle für Sie erstellen. Der Name der Rolle lautet rds-monitoring-role. RDSverwendet diese Rolle für die angegebene DB-Instance, Read Replica oder den Multi-AZ-DB-Cluster.
Um die IAM Rolle bei der Aktivierung von Enhanced Monitoring zu erstellen
-
Führen Sie die Schritte unter au Aktivieren und Deaktivieren von „Enhanced Monitoring“ (Erweiterte Überwachung).
-
Setzen Sie die Überwachungsrolle in dem Schritt, in dem Sie eine Rolle auswählen auf Standard.
Erstellen Sie die IAM Rolle, bevor Sie Enhanced Monitoring aktivieren
Sie können die erforderliche Rolle erstellen, bevor Sie „Enhanced Monitoring“ (Erweiterte Überwachung) aktivieren. Wenn Sie „Enhanced Monitoring“ (Erweiterte Überwachung) aktivieren, geben Sie den Namen Ihrer neuen Rolle an. Sie müssen diese erforderliche Rolle erstellen, wenn Sie Enhanced Monitoring mit dem AWS CLI oder dem aktivieren RDSAPI.
Der Benutzer, der „Enhanced Monitoring“ (Erweiterte Überwachung) aktiviert, muss über die PassRole-Berechtigung verfügen. Weitere Informationen finden Sie unter Beispiel 2 unter Erteilen von Benutzerberechtigungen zur Übergabe einer Rolle an einen AWS Dienst im IAMBenutzerhandbuch.
Um eine IAM Rolle für Amazon RDS Enhanced Monitoring zu erstellen
-
Öffnen Sie die IAMKonsole
unter https://console.aws.amazon.com . -
Wählen Sie im Navigationsbereich Rollen aus.
-
Wählen Sie Rolle erstellen aus.
-
Wählen Sie die Registerkarte AWS Service und wählen Sie dann RDSaus der Liste der Dienste aus.
-
Wählen Sie RDS— Erweiterte Überwachung und dann Weiter.
-
Vergewissern Sie sich, dass in den Berechtigungsrichtlinien A angezeigt wird mazonRDSEnhancedMonitoringRole, und wählen Sie dann Weiter aus.
-
Geben Sie unter Role name (Rollenname) einen Namen für Ihre Rolle ein. Geben Sie z. B. ei
emaccess.Die vertrauenswürdige Entität für Ihre Rolle ist der AWS Service monitoring.rds.amazonaws.com.
-
Wählen Sie Rolle erstellen.
Aktivieren und Deaktivieren von „Enhanced Monitoring“ (Erweiterte Überwachung)
Sie können die erweiterte Überwachung mithilfe von, oder verwalten. AWS Management Console AWS CLI RDS API Sie können für jede unterschiedliche Granularitäten für die Erfassung von Metriken festlegen.
Sie können „Enhanced Monitoring“·(Erweiterte·Überwachung) aktivieren, wenn Sie eine DB-Instance, einen Multi-AZ-DB-Cluster, oder ein Lesereplikat erstellen, oder wenn Sie eine DB-Instance oder einen Multi-AZ-DB-Cluster ändern. Wenn Sie eine DB-Instance ändern, um Enhanced Monitoring zu aktivieren, müssen Sie Ihre DB-Instance nicht neu starten, damit die Änderung wirksam wird.
Sie können Enhanced Monitoring in der RDS Konsole aktivieren, wenn Sie auf der Datenbankseite eine der folgenden Aktionen ausführen:
-
Erstellen einer DB-Instance oder eines Multi-AZ-DB-Clusters – Wählen Sie Create database (Datenbank erstellen) aus.
-
Erstellen eines Lesereplikats – Wählen Sie Actions (Aktionen) und dann Create Read Replica (Lesereplikat erstellen) aus.
-
Ändern Sie eine DB-Instance, einen oder einen Multi-AZ-DB-Cluster — Wählen Sie Ändern.
Um Enhanced Monitoring in der RDS Konsole ein- oder auszuschalten
-
Scrollen Sie zu Additional Configuration (Zusätzliche Konfiguration).
-
Wählen Sie unter Monitoring die Option Enable Enhanced Monitoring für Ihre DB-Instance oder Ihre Read Replica aus. Deaktivieren Sie die Option zur Deaktivierung von Enhanced Monitoring .
-
Setzen Sie die Eigenschaft Überwachungsrolle auf die IAM Rolle, die Sie erstellt haben, RDS damit Amazon für Sie mit Amazon CloudWatch Logs kommunizieren kann, oder wählen Sie Standard, um eine Rolle für Sie RDS erstellen zu lassen
rds-monitoring-role. -
Stellen Sie die Eigenschaft Granularität auf das Intervall in Sekunden zwischen den Punkten ein, an denen Metriken für Ihre DB-Instance oder Ihre Read Replica erfasst werden. Die Eigenschaft Granularität kann auf einen der folgenden Werte eingestellt werden:
1,5,10,15,30oder60.Die RDS Konsole wird am schnellsten alle 5 Sekunden aktualisiert. Wenn Sie die Granularität in der RDS Konsole auf 1 Sekunde einstellen, werden Ihnen weiterhin nur alle 5 Sekunden aktualisierte Messwerte angezeigt. Mithilfe von Logs können Sie Metrik-Updates von einer CloudWatch Sekunde abrufen.
Um Enhanced Monitoring mit den AWS CLI folgenden Befehlen zu aktivieren, setzen Sie die --monitoring-interval Option auf einen anderen Wert als 0 und setzen Sie die --monitoring-role-arn Option auf die Rolle, in Eine IAM Rolle für Enhanced Monitoring erstellen der Sie sie erstellt haben.
-
create-db-cluster(Multi-AZ-DB-Cluster)
-
modify-db-cluster(Multi-AZ-DB-Cluster)
Die Option --monitoring-interval gibt das Intervall in Sekunden zwischen den Punkten an, an denen Enhanced Monitoring-Metriken erfasst werden. Gültige Werte für die Option sind 0, 1, 5, 10, 15, 30 und 60.
Um Enhanced Monitoring mit dem zu deaktivieren AWS CLI, setzen Sie die --monitoring-interval Option 0 in diesen Befehlen auf.
Beispiel
Im folgenden Beispiel wird „Enhanced Monitoring“·(Erweiterte·Überwachung) für eine DB-Instance aktiviert:
Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Linux, macOS, oder Unix:
aws rds modify-db-instance \ --db-instance-identifiermydbinstance\ --monitoring-interval30\ --monitoring-role-arnarn:aws:iam::123456789012:role/emaccess
Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Windows:
aws rds modify-db-instance ^ --db-instance-identifiermydbinstance^ --monitoring-interval30^ --monitoring-role-arnarn:aws:iam::123456789012:role/emaccess
Beispiel
Im folgenden Beispiel wird „Enhanced Monitoring“·(Erweiterte·Überwachung) für ein Multi-AZ-DB-Cluster aktiviert:
Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Linux, macOS, oder Unix:
aws rds modify-db-cluster \ --db-cluster-identifiermydbcluster\ --monitoring-interval30\ --monitoring-role-arnarn:aws:iam::123456789012:role/emaccess
Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Windows:
aws rds modify-db-cluster ^ --db-cluster-identifiermydbcluster^ --monitoring-interval30^ --monitoring-role-arnarn:aws:iam::123456789012:role/emaccess
Um Enhanced Monitoring mit dem zu aktivieren RDSAPI, setzen Sie den MonitoringInterval Parameter auf einen anderen Wert als 0 und legen Sie den MonitoringRoleArn Parameter auf die Rolle fest, in der Sie ihn erstellt habenEine IAM Rolle für Enhanced Monitoring erstellen. Legen Sie diese Parameter in den folgenden Aktionen fest:
-
C reateDBCluster (Multi-AZ-DB-Cluster)
-
M odifyDBCluster (Multi-AZ-DB-Cluster)
Der Parameter MonitoringInterval gibt das Intervall in Sekunden zwischen den Punkten an, an denen Enhanced Monitoring-Metriken erfasst werden. Gültige Werte sind: 0, 1, 5, 10, 15, 30 und 60.
Um Enhanced Monitoring mit dem zu deaktivieren RDSAPI, stellen Sie MonitoringInterval auf 0 ein.
Schutz vor dem Confused-Deputy-Problem
Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann. In AWS kann ein dienstübergreifendes Identitätswechsels zum Problem des verwirrten Stellvertreters führen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der Anruf-Dienst) einen anderen Dienst anruft (den aufgerufenen Dienst). Der aufrufende Service kann manipuliert werden, um seine Berechtigungen zu verwenden, um Aktionen auf die Ressourcen eines anderen Kunden auszuführen, für die er sonst keine Zugriffsberechtigung haben sollte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben. Weitere Informationen finden Sie unter Confused-Deputy-Problem.
Um die Berechtigungen auf die Ressource zu beschränken, die Amazon einem anderen Service gewähren RDS kann, empfehlen wir, die Kontextschlüssel aws:SourceArn und die aws:SourceAccount globalen Bedingungsschlüssel in einer Vertrauensrichtlinie für Ihre Enhanced Monitoring-Rolle zu verwenden. Wenn Sie beide globalen Bedingungskontextschlüssel verwenden, müssen diese dieselbe Konto-ID verwenden.
Der effektivste Weg, sich vor dem Problem mit dem verwirrten Stellvertreter zu schützen, besteht darin, den Kontextschlüssel „aws:SourceArnGlobal Condition“ mit ARN der gesamten Ressource zu verwenden. Stellen Sie für Amazon RDS aws:SourceArn auf einarn:aws:rds:.Region:my-account-id:db:dbname
Im folgenden Beispiel werden die globalen Bedingungskontextschlüssel aws:SourceArn und aws:SourceAccount in einer Vertrauensrichtlinie verwendet, um das Confused-Deputy-Problem zu verhindern.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "monitoring.rds.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringLike": { "aws:SourceArn": "arn:aws:rds:Region:my-account-id:db:dbname" }, "StringEquals": { "aws:SourceAccount": "my-account-id" } } } ] }
