Änderung einer AWS KMS Richtlinie für Performance Insights - Amazon Relational Database Service
So verwendet Performance Insights vom AWS KMS Kunden verwaltete SchlüsselSo IAM arbeitet Performance Insights mit AWS KMS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Änderung einer AWS KMS Richtlinie für Performance Insights

Performance Insights verwendet an AWS KMS key , um sensible Daten zu verschlüsseln. Wenn Sie Performance Insights über die API oder die Konsole aktivieren, können Sie einen der folgenden Schritte ausführen:

  • Wählen Sie die Standardeinstellung Von AWS verwalteter Schlüssel.

    Amazon RDS verwendet die Von AWS verwalteter Schlüssel für Ihre neue DB-Instance. Amazon RDS erstellt eine Von AWS verwalteter Schlüssel für Sie AWS-Konto. Ihr AWS-Konto hat für jeden einen anderen Von AWS verwalteter Schlüssel RDS für Amazon AWS-Region.

  • Wählen Sie einen kundenverwalteten Schlüssel.

    Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, API benötigen Benutzer in Ihrem Konto, die Performance Insights aufrufen, die kms:Decrypt und kms:GenerateDataKey Berechtigungen für den KMS Schlüssel. Sie können diese Berechtigungen mithilfe von IAM Richtlinien konfigurieren. Wir empfehlen Ihnen jedoch, diese Berechtigungen über Ihre KMS Schlüsselrichtlinie zu verwalten. Weitere Informationen finden Sie unter Schlüsselrichtlinien in AWS KMS im Entwicklerhandbuch für AWS Key Management Service .

Das folgende Beispiel zeigt, wie Sie Ihrer KMS wichtigsten Richtlinie Anweisungen hinzufügen können. Diese Anweisungen erlaubt den Zugriff auf Performance Insights. Je nachdem, wie Sie den KMS Schlüssel verwenden, möchten Sie möglicherweise einige Einschränkungen ändern. Bevor Sie Ihrer Richtlinie Anweisungen hinzufügen, entfernen Sie alle Kommentare.

{
"Version" : "2012-10-17",
 "Id" : "your-policy",
 "Statement" : [ {
    //This represents a statement that currently exists in your policy.
 }
 ....,
 //Starting here, add new statement to your policy for Performance Insights.
 //We recommend that you add one new statement for every RDS instance
{
    "Sid" : "Allow viewing RDS Performance Insights",
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            //One or more principals allowed to access Performance Insights
            "arn:aws:iam::444455556666:role/Role1"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition" : {
        "StringEquals" : {
            //Restrict access to only RDS APIs (including Performance Insights).
            //Replace region with your AWS Region. 
            //For example, specify us-west-2.
            "kms:ViaService" : "rds.region.amazonaws.com"
        },
        "ForAnyValue:StringEquals": {
            //Restrict access to only data encrypted by Performance Insights.
            "kms:EncryptionContext:aws:pi:service": "rds",
            "kms:EncryptionContext:service": "pi",
            
            //Restrict access to a specific RDS instance.
            //The value is a DbiResourceId.
           "kms:EncryptionContext:aws:rds:db-id": "db-AAAAABBBBBCCCCDDDDDEEEEE"
        }
    }
}

So verwendet Performance Insights vom AWS KMS Kunden verwaltete Schlüssel

Performance Insights verwendet vom Kunden verwaltete Schlüssel, um vertrauliche Daten zu verschlüsseln. Wenn Sie Performance Insights aktivieren, können Sie über die einen AWS KMS Schlüssel angebenAPI. Performance Insights erstellt KMS Berechtigungen für diesen Schlüssel. Das Feature verwendet den Schlüssel und führt die erforderlichen Operationen aus, um vertrauliche Daten zu verarbeiten. Zu sensiblen Daten gehören Felder wie Benutzer-, Datenbank-, Anwendungs- und SQL Abfragetext. Performance Insights stellt sicher, dass die Daten sowohl im Ruhezustand als auch während der Übertragung verschlüsselt bleiben.

So IAM arbeitet Performance Insights mit AWS KMS

IAMerteilt Berechtigungen für bestimmteAPIs. Performance Insights hat die folgenden öffentlichen APIs Bereiche, die Sie mithilfe von IAM Richtlinien einschränken können:

  • DescribeDimensionKeys

  • GetDimensionKeyDetails

  • GetResourceMetadata

  • GetResourceMetrics

  • ListAvailableResourceDimensions

  • ListAvailableResourceMetrics

Sie können die folgenden API Anfragen verwenden, um vertrauliche Daten abzurufen.

  • DescribeDimensionKeys

  • GetDimensionKeyDetails

  • GetResourceMetrics

Wenn Sie den verwenden, API um sensible Daten abzurufen, nutzt Performance Insights die Anmeldeinformationen des Anrufers. Diese Prüfung stellt sicher, dass der Zugriff auf sensible Daten auf Personen beschränkt ist, die Zugriff auf den KMS Schlüssel haben.

Wenn Sie diese aufrufenAPIs, benötigen Sie Berechtigungen, um sie API über die IAM Richtlinie aufrufen zu können, und Berechtigungen, um die kms:decrypt Aktion über die AWS KMS Schlüsselrichtlinie aufzurufen.

GetResourceMetricsAPISie können sowohl sensible als auch nicht sensible Daten zurückgeben. Die Anforderungsparameter bestimmen, ob die Antwort vertrauliche Daten enthalten soll. Die API gibt vertrauliche Daten zurück, wenn die Anfrage eine sensible Dimension entweder im Filter- oder Gruppierungsparameter enthält.

Weitere Informationen zu den Dimensionen, die Sie mit dem verwenden können GetResourceMetricsAPI, finden Sie unter. DimensionGroup

Beispiele

Im folgenden Beispiel werden die vertraulichen Daten für die Gruppe db.user angefordert:


POST / HTTP/1.1
Host: <Hostname>
Accept-Encoding: identity
X-Amz-Target: PerformanceInsightsv20180227.GetResourceMetrics
Content-Type: application/x-amz-json-1.1
User-Agent: <UserAgentString>
X-Amz-Date: <Date> 
Authorization: AWS4-HMAC-SHA256 Credential=<Credential>, SignedHeaders=<Headers>, Signature=<Signature>
Content-Length: <PayloadSizeBytes>
{
  "ServiceType": "RDS",
  "Identifier": "db-ABC1DEFGHIJKL2MNOPQRSTUV3W",
  "MetricQueries": [
    {
      "Metric": "db.load.avg",
      "GroupBy": {
        "Group": "db.user",
        "Limit": 2
      }
    }
  ],
  "StartTime": 1693872000,
  "EndTime": 1694044800,
  "PeriodInSeconds": 86400
}

Im folgenden Beispiel werden die nicht vertraulichen Daten für die Metrik db.load.avg angefordert:


POST / HTTP/1.1
Host: <Hostname>
Accept-Encoding: identity
X-Amz-Target: PerformanceInsightsv20180227.GetResourceMetrics
Content-Type: application/x-amz-json-1.1
User-Agent: <UserAgentString>
X-Amz-Date: <Date> 
Authorization: AWS4-HMAC-SHA256 Credential=<Credential>, SignedHeaders=<Headers>, Signature=<Signature>
Content-Length: <PayloadSizeBytes>
{
    "ServiceType": "RDS",
    "Identifier": "db-ABC1DEFGHIJKL2MNOPQRSTUV3W",
    "MetricQueries": [
        {
            "Metric": "db.load.avg"
        }
    ],
    "StartTime": 1693872000,
    "EndTime": 1694044800,
    "PeriodInSeconds": 86400
}