Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Configuración de directivas de acceso para información sobre rendimiento
<a name="performance-insights-policies"></a>

Para acceder a Información sobre rendimiento, debe tener los permisos adecuados de AWS Identity and Access Management (IAM). Tiene las siguientes opciones para conceder acceso:
+ Asocie la política administrada `AmazonRDSPerformanceInsightsReadOnly` a un conjunto de permisos o a un rol.
+ Cree una política de IAM personalizada y asóciela a un conjunto de permisos o a un rol.

Además, si especificó una clave administrada por el cliente al activar Información sobre rendimiento, asegúrese de que los usuarios de su cuenta tengan los permisos `kms:Decrypt` y `kms:GenerateDataKey` sobre la clave de KMS.

**nota**  
[Para la encryption-at-rest administración de AWS KMS claves y grupos de seguridad, Amazon DocumentDB aprovecha la tecnología operativa que se comparte con Amazon RDS.](https://aws.amazon.com/rds)

## Adjuntar la RDSPerformance InsightsReadOnly política de Amazon a un director de IAM
<a name="USER_PerfInsights.access-control.IAM-principal"></a>

`AmazonRDSPerformanceInsightsReadOnly`es una política AWS gestionada que concede acceso a todas las operaciones de solo lectura de la API Performance Insights de Amazon DocumentDB. Actualmente, todas las operaciones de esta API son de solo lectura. Si asocia `AmazonRDSPerformanceInsightsReadOnly` a un conjunto de permisos o a un rol, el destinatario puede utilizar Información de rendimiento con las demás características de la consola.

## Creación de una política de IAM personalizada para la información sobre rendimiento
<a name="USER_PerfInsights.access-control.custom-policy"></a>

Para los usuarios que no tienen la política `AmazonRDSPerformanceInsightsReadOnly`, puede conceder acceso a Información sobre rendimiento creando o modificando una política de IAM administrada por el usuario. Al asociar la política a un conjunto de permisos o a un rol, el destinatario puede utilizar Información de rendimiento.

**Creación de una política personalizada**

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Políticas**.

1. Elija **Create Policy (Crear política)**.

1. En la página **Create Policy (Crear política)**, elija la pestaña JSON. 

1. Copie y pegue el siguiente texto y *us-east-1* sustitúyalo por el nombre de su AWS región y su número de cuenta de *111122223333* cliente.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "rds:DescribeDBInstances",
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": "rds:DescribeDBClusters",
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": "pi:DescribeDimensionKeys",
               "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
           },
           {
               "Effect": "Allow",
               "Action": "pi:GetDimensionKeyDetails",
               "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
           },
           {
               "Effect": "Allow",
               "Action": "pi:GetResourceMetadata",
               "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
           },
           {
               "Effect": "Allow",
               "Action": "pi:GetResourceMetrics",
               "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
           },
           {
               "Effect": "Allow",
               "Action": "pi:ListAvailableResourceDimensions",
               "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
           },
           {
               "Effect": "Allow",
               "Action": "pi:ListAvailableResourceMetrics",
               "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
           }
       ]
   }
   ```

------

1. Elija **Review policy (Revisar política)**.

1. Proporcione un nombre para la política y, opcionalmente, una descripción, a continuación, elija **Create policy (Crear política)**.

Ahora ya puede asociar la política a un conjunto de permisos o a un rol. En el procedimiento siguiente, se presupone que ya tiene un usuario para este fin.

**Asociación de la política a un usuario**

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En el panel de navegación, seleccione **Users**.

1. Elija en la lista un usuario existente.
**importante**  
Para utilizar Información sobre rendimiento, asegúrese de tener acceso a Amazon DocumentDB además de la política personalizada. [Por ejemplo, la política **AmazonDocDBReadOnlyAccess**predefinida proporciona acceso de solo lectura a Amazon DocDB. Para obtener más información, consulte Administrar el acceso mediante políticas.](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.IAM.html#security_iam_access-manage)

1. En la página **Resumen**, elija **Añadir permisos**.

1. Elija **Attach existing policies directly (Adjuntar políticas existentes directamente)**. En **Search (Buscar)**, escriba los primeros caracteres del nombre de la política, como se muestra más abajo.  
![\[Elección de una política\]](http://docs.aws.amazon.com/es_es/documentdb/latest/developerguide/images/performance-insights/pi-add-permissions.png)

1. Elija la política y, a continuación, elija **Next: Review**.

1. Elija **Add permissions (Agregar permisos)**.

## Configuración de una AWS KMS política para Performance Insights
<a name="USER_PerfInsights.access-control.cmk-policy"></a>

Performance Insights utiliza AWS KMS key y para cifrar datos confidenciales. Cuando habilita la información sobre rendimiento a través de la API o la consola, tiene las siguientes opciones:
+ Elija la opción predeterminada Clave administrada de AWS.

  Amazon DocumentDB usa el Clave administrada de AWS para su nueva instancia de base de datos. Amazon DocumentDB crea una Clave administrada de AWS para su cuenta. AWS Su AWS cuenta tiene una cuenta de Amazon DocumentDB diferente Clave administrada de AWS para cada AWS región.
+ Elija una clave administrada por el cliente.

  Si especifica una clave administrada por el cliente, los usuarios de su cuenta que llamen a la API de Performance Insights necesitarán los permisos `kms:Decrypt` y `kms:GenerateDataKey` sobre la clave de KMS. Puede configurar estos permisos a través de directivas de IAM. Sin embargo, le recomendamos que administre estos permisos a través de su política de claves de KMS. Para obtener más información, consulte [ Uso de políticas clave en AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html). 

**Example**  
La siguiente política de claves de ejemplo muestra cómo agregar instrucciones a la claves de KMS. Estas instrucciones permiten el acceso a la información sobre rendimiento. En función de cómo la utilice AWS KMS, es posible que desee cambiar algunas restricciones. Antes de agregar sentencias a la directiva, elimine todos los comentarios.