Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Einrichten und Aktivieren von „Enhanced Monitoring“ (Erweiterte Überwachung)
<a name="USER_Monitoring.OS.Enabling"></a>

Um „Enhanced Monitoring“ (Erweiterte Überwachung) zu verwenden, müssen Sie eine IAM-Rolle erstellen und dann „Enhanced Monitoring“ (Erweiterte Überwachung) aktivieren.

**Topics**
+ [So erstellen Sie eine IAM-Rolle für „Enhanced Monitoring“ (Erweiterte Überwachung)](#USER_Monitoring.OS.Enabling.Prerequisites)
+ [Aktivieren und Deaktivieren von „Erweiterte Überwachung“](#USER_Monitoring.OS.Enabling.Procedure)
+ [Schutz vor dem Confused-Deputy-Problem](#USER_Monitoring.OS.confused-deputy)

## So erstellen Sie eine IAM-Rolle für „Enhanced Monitoring“ (Erweiterte Überwachung)
<a name="USER_Monitoring.OS.Enabling.Prerequisites"></a>

Enhanced Monitoring erfordert die Erlaubnis, in Ihrem Namen zu handeln, um Betriebssystem-Metrikinformationen an CloudWatch Logs zu senden. Sie gewähren Enhanced Monitoring-Berechtigungen mithilfe einer AWS Identity and Access Management (IAM-) Rolle. Sie können diese Rolle entweder erstellen, wenn Sie „Enhanced Monitoring“ (Erweiterte Überwachung) aktivieren oder vorher erstellen.

**Topics**
+ [Erstellen der IAM-Rolle, wenn Sie „Enhanced Monitoring“ (Erweiterte Überwachung) aktivieren](#USER_Monitoring.OS.Enabling.Prerequisites.creating-role-automatically)
+ [Erstellen der IAM-Rolle, bevor Sie „Enhanced Monitoring“ (Erweiterte Überwachung) aktivieren](#USER_Monitoring.OS.Enabling.Prerequisites.creating-role-manually)

### Erstellen der IAM-Rolle, wenn Sie „Enhanced Monitoring“ (Erweiterte Überwachung) aktivieren
<a name="USER_Monitoring.OS.Enabling.Prerequisites.creating-role-automatically"></a>

Wenn Sie „Enhanced Monitoring“ (Erweiterte Überwachung) in der RDS-Konsole aktivieren, kann Amazon RDS die erforderliche IAM-Rolle für Sie erstellen. Der Name der Rolle lautet `rds-monitoring-role`. RDS verwendet diese Rolle für die angegebene DB-Instance, das Lesereplikat oder den Multi-AZ-DB-Cluster.

**So erstellen Sie die IAM-Rolle beim Aktivieren von „Enhanced Monitoring“ (Erweiterte Überwachung)**

1. Führen Sie die Schritte unter au [Aktivieren und Deaktivieren von „Erweiterte Überwachung“](#USER_Monitoring.OS.Enabling.Procedure).

1. Setzen Sie die **Überwachungsrolle** in dem Schritt, in dem Sie eine Rolle auswählen auf **Standard**.

### Erstellen der IAM-Rolle, bevor Sie „Enhanced Monitoring“ (Erweiterte Überwachung) aktivieren
<a name="USER_Monitoring.OS.Enabling.Prerequisites.creating-role-manually"></a>

Sie können die erforderliche Rolle erstellen, bevor Sie „Enhanced Monitoring“ (Erweiterte Überwachung) aktivieren. Wenn Sie „Enhanced Monitoring“ (Erweiterte Überwachung) aktivieren, geben Sie den Namen Ihrer neuen Rolle an. Sie müssen diese erforderliche Rolle erstellen, wenn Sie „Enhanced Monitoring“ (Erweiterte Überwachung) mithilfe der AWS CLI oder RDS API aktivieren.

Der Benutzer, der „Enhanced Monitoring“ (Erweiterte Überwachung) aktiviert, muss über die `PassRole`-Berechtigung verfügen. Weitere Informationen finden Sie unter Beispiel 2 unter [Erteilen von Benutzerberechtigungen zur Übergabe einer Rolle an einen AWS Dienst](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) im *IAM-Benutzerhandbuch*.<a name="USER_Monitoring.OS.IAMRole"></a>

**So erstellen Sie eine IAM-Rolle für „Enhanced Monitoring“ (Erweiterte Überwachung) in Amazon RDS**

1. Öffnen Sie die [IAM-Konsole unter](https://console.aws.amazon.com/iam/home?#home). [https://console.aws.amazon.com](https://console.aws.amazon.com/)

1. Wählen Sie im Navigationsbereich **Rollen** aus.

1. Wählen Sie **Create role** (Rolle erstellen) aus.

1. Wählen Sie die Registerkarte **AWS -Service** und **RDS** in der Liste der Services aus.

1. Wählen Sie **RDS – Enhanced Monitoring** (RDS – erweiterte Überwachung) und **Next** (Weiter) aus.

1. Vergewissern Sie sich, dass in den **Berechtigungsrichtlinien** **Amazon** angezeigt wird RDSEnhancedMonitoringRole, und wählen Sie dann **Weiter** aus.

1. Geben Sie unter **Role name (Rollenname)** einen Namen für Ihre Rolle ein. Geben Sie z. B. ei **emaccess**.

   Die vertrauenswürdige Entität für Ihre Rolle ist der AWS Service **monitoring.rds.amazonaws.com**.

1. Wählen Sie **Rolle erstellen** aus.

## Aktivieren und Deaktivieren von „Erweiterte Überwachung“
<a name="USER_Monitoring.OS.Enabling.Procedure"></a>

Sie können Enhanced Monitoring mithilfe der, oder RDS-API verwalten. AWS-Managementkonsole AWS CLI Sie können für jeden jede DB-Instance unterschiedliche Granularitäten für die Metriksammlung festlegen. 

### Konsole
<a name="USER_Monitoring.OS.Enabling.Procedure.Console"></a>

Sie können „Enhanced Monitoring“·(Erweiterte·Überwachung) aktivieren, wenn Sie eine DB-Instance, einen Multi-AZ-DB-Cluster, oder ein Lesereplikat erstellen, oder wenn Sie eine DB-Instance oder einen Multi-AZ-DB-Cluster ändern. Wenn Sie eine DB-Instanceändern, um „Erweiterte·Überwachung“ zu aktivieren, müssen Sie Ihre DB-Instance nicht neu starten, damit die Änderung wirksam wird. 

Sie können „Enhanced Monitoring“ in der RDS-Konsole aktivieren, wenn Sie eine der folgenden Aktionen auf der Seite **Datenbanken** ausführen: 
+ **Erstellen einer DB-Instance oder eines Multi-AZ-DB-Clusters** – Wählen Sie **Datenbank erstellen** aus.
+ **Erstellen eines Lesereplikats** – Wählen Sie **Aktionen** und dann **Lesereplikat erstellen** aus.
+ **Eine DB-Instance oder einen Multi-AZ-DB-Cluster ändern** – Wählen Sie **Ändern** aus.

**„Enhanced Monitoring“ (Erweiterte Überwachung) in der RDS-Konsole aktivieren/deaktivieren**

1. Scrollen Sie zu **Additional Configuration** (Zusätzliche Konfiguration).

1. Wählen Sie unter **Überwachung** die Option **Erweiterte Überwachung aktivieren** für Ihre DB-Instance oder Ihr Lesereplikat aus. Deaktivieren Sie die Option zur Deaktivierung von „Erweiterte Überwachung“. 

1. Setzen Sie die Eigenschaft **Monitoring Role** auf die IAM-Rolle, die Sie erstellt haben, damit Amazon RDS für Sie mit Amazon CloudWatch Logs kommunizieren kann, oder wählen Sie **Standard**, damit RDS eine Rolle für Sie erstellt. `rds-monitoring-role`

1. Stellen Sie die Eigenschaft **Granularität** auf das Intervall (in Sekunden) zwischen Punkten ein, an denen Metriken für Ihre DB-Instance oder Ihr Lesereplikat erfasst werden. Die Eigenschaft **Granularität** kann auf einen der folgenden Werte eingestellt werden: `1`, `5`, `10`, `15`, `30` oder `60`.

   Die schnellste Aktualisierung der RDS-Konsole erfolgt alle 5 Sekunden. Wenn Sie die Granularität in der RDS-Konsole auf 1 Sekunde einstellen, sehen Sie die aktualisierten Metriken dennoch nur alle 5 Sekunden. Mithilfe von Logs können Sie Metrik-Updates innerhalb von einer CloudWatch Sekunde abrufen.

### AWS CLI
<a name="USER_Monitoring.OS.Enabling.Procedure.CLI"></a>

Um Enhanced Monitoring mit den AWS CLI folgenden Befehlen zu aktivieren, setzen Sie die `--monitoring-interval` Option auf einen anderen Wert als `0` und setzen Sie die `--monitoring-role-arn` Option auf die Rolle, in [So erstellen Sie eine IAM-Rolle für „Enhanced Monitoring“ (Erweiterte Überwachung)](#USER_Monitoring.OS.Enabling.Prerequisites) der Sie sie erstellt haben.
+ [create-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-instance.html)
+ [create-db-instance-read-replikat](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-instance-read-replica.html)
+ [modify-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html)
+ [create-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-cluster.html)(Multi-AZ-DB-Cluster)
+ [modify-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-cluster.html)(Multi-AZ-DB-Cluster)

Die Option `--monitoring-interval` gibt das Intervall in Sekunden zwischen den Punkten an, an denen Enhanced Monitoring-Metriken erfasst werden. Gültige Werte für die Option sind `0`, `1`, `5`, `10`, `15`, `30` und `60`.

Um Enhanced Monitoring mit dem zu deaktivieren AWS CLI, setzen Sie die `--monitoring-interval` Option `0` in diesen Befehlen auf.

**Example**  
Im folgenden Beispiel wird „Enhanced Monitoring“·(Erweiterte·Überwachung) für eine DB-Instance aktiviert:  
Für Linux, macOS oder Unix:  

```
aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --monitoring-interval 30 \
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess
```
Für Windows:  

```
aws rds modify-db-instance ^
    --db-instance-identifier mydbinstance ^
    --monitoring-interval 30 ^
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess
```

**Example**  
Im folgenden Beispiel wird „Enhanced Monitoring“·(Erweiterte·Überwachung) für ein Multi-AZ-DB-Cluster aktiviert:  
Für Linux, macOS oder Unix:  

```
aws rds modify-db-cluster \
    --db-cluster-identifier mydbcluster \
    --monitoring-interval 30 \
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess
```
Für Windows:  

```
aws rds modify-db-cluster ^
    --db-cluster-identifier mydbcluster ^
    --monitoring-interval 30 ^
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess
```

### RDS-API
<a name="USER_Monitoring.OS.Enabling.Procedure.API"></a>

Um „Enhanced Monitoring“ (Erweiterte Überwachung) mithilfe der RDS API zu aktivieren, setzen Sie den Parameter `MonitoringInterval` auf einen anderen Wert als `0` und legen Sie den Parameter `MonitoringRoleArn` auf die Rolle fest, die Sie in [So erstellen Sie eine IAM-Rolle für „Enhanced Monitoring“ (Erweiterte Überwachung)](#USER_Monitoring.OS.Enabling.Prerequisites) erstellt haben. Legen Sie diese Parameter in den folgenden Aktionen fest:
+ [CreateDBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBInstance.html)
+ [CreateDBInstanceReadReplica](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBInstanceReadReplica.html)
+ [Modifizieren SieDBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html)
+ [Erstellen DBCluster](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBCluster.html) (Multi-AZ-DB-Cluster)
+ [Ändern DBCluster](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBCluster.html) (Multi-AZ-DB-Cluster)

Der Parameter `MonitoringInterval` gibt das Intervall in Sekunden zwischen den Punkten an, an denen Enhanced Monitoring-Metriken erfasst werden. Gültige Werte sind: `0`, `1`, `5`, `10`, `15`, `30` und `60`.

Um „Enhanced Monitoring“ (Erweiterte Überwachung) mit Hilfe der RDS API zu deaktivieren, setzen Sie `MonitoringInterval` auf `0`.

## Schutz vor dem Confused-Deputy-Problem
<a name="USER_Monitoring.OS.confused-deputy"></a>

Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann. In AWS kann ein dienstübergreifendes Identitätswechsels zum Problem des verwirrten Stellvertreters führen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der *Anruf-Dienst*) einen anderen Dienst anruft (den *aufgerufenen Dienst*). Der aufrufende Service kann manipuliert werden, um seine Berechtigungen zu verwenden, um Aktionen auf die Ressourcen eines anderen Kunden auszuführen, für die er sonst keine Zugriffsberechtigung haben sollte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben. Weitere Informationen finden Sie unter [Confused-Deputy-Problem](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).

Um die Berechtigungen einzuschränken, die Amazon RDS einem anderen Service für eine Ressource gewährt, empfehlen wir die globalen Bedingungskontextschlüssel `aws:SourceArn` und `aws:SourceAccount` in einer Vertrauensrichtlinie für Ihre Enhanced-Monitoring-Rolle. Wenn Sie beide globalen Bedingungskontextschlüssel verwenden, müssen diese dieselbe Konto-ID verwenden.

Der effektivste Weg, um sich vor dem Confused-Deputy-Problem zu schützen, ist die Verwendung des globalen Bedingungskontextschlüssels `aws:SourceArn` mit dem vollständigen ARN der Ressource. Setzen Sie für Amazon RDS `aws:SourceArn` auf `arn:aws:rds:Region:my-account-id:db:dbname`.

Im folgenden Beispiel werden die globalen Bedingungskontextschlüssel `aws:SourceArn` und `aws:SourceAccount` in einer Vertrauensrichtlinie verwendet, um das Confused-Deputy-Problem zu verhindern.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "monitoring.rds.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringLike": {
          "aws:SourceArn": "arn:aws:rds:Region:my-123456789012:db:dbname"
        },
        "StringEquals": {
          "aws:SourceAccount": "my-123456789012"
        }
      }
    }
  ]
}
```

------