Menyiapkan dan mengaktifkan Pemantauan yang Ditingkatkan - Amazon Aurora

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyiapkan dan mengaktifkan Pemantauan yang Ditingkatkan

Untuk menggunakan Enhanced Monitoring, Anda harus membuat IAM peran, dan kemudian mengaktifkan Enhanced Monitoring.

Membuat IAM peran untuk Enhanced Monitoring

Pemantauan yang Ditingkatkan memerlukan izin untuk bertindak atas nama Anda untuk mengirim informasi metrik OS ke CloudWatch Log. Anda memberikan izin Pemantauan yang Ditingkatkan menggunakan peran AWS Identity and Access Management (IAM). Anda dapat membuat peran ini saat mengaktifkan Pemantauan yang Ditingkatkan atau membuatnya terlebih dahulu.

Membuat IAM peran saat Anda mengaktifkan Enhanced Monitoring

Saat Anda mengaktifkan Enhanced Monitoring di RDS konsol, Amazon RDS dapat membuat IAM peran yang diperlukan untuk Anda. Peran ini bernama rds-monitoring-role. RDSmenggunakan peran ini untuk instans DB tertentu, replika baca, atau cluster DB multi-AZ.

Untuk membuat IAM peran saat mengaktifkan Enhanced Monitoring
  1. Ikuti langkah-langkah di Mengaktifkan dan menonaktifkan Pemantauan yang Ditingkatkan.

  2. Atur Peran Pemantauan ke Default pada langkah tempat Anda memilih peran.

Membuat IAM peran sebelum Anda mengaktifkan Enhanced Monitoring

Anda dapat membuat peran yang diperlukan sebelum mengaktifkan Pemantauan yang Ditingkatkan. Jika Anda mengaktifkan Pemantauan yang Ditingkatkan, tentukan nama peran baru Anda. Anda harus membuat peran yang diperlukan ini jika Anda mengaktifkan Enhanced Monitoring menggunakan AWS CLI atau RDSAPI.

Pengguna yang mengaktifkan Pemantauan yang Ditingkatkan harus diberi izin PassRole. Untuk informasi selengkapnya, lihat Contoh 2 di Memberikan izin pengguna untuk meneruskan peran ke AWS layanan di IAMPanduan Pengguna.

Untuk membuat IAM peran bagi pemantauan Amazon yang RDS disempurnakan
  1. Buka IAMkonsol di https://console.aws.amazon.com.

  2. Di panel navigasi, pilih Peran.

  3. Pilih Buat peran.

  4. Pilih tab AWS layanan, lalu pilih RDSdari daftar layanan.

  5. Pilih RDS- Pemantauan yang Ditingkatkan, lalu pilih Berikutnya.

  6. Pastikan kebijakan Izin menampilkan A mazonRDSEnhanced MonitoringRole, lalu pilih Berikutnya.

  7. Untuk Nama peran, masukkan nama peran Anda. Misalnya, masukkan emaccess.

    Entitas tepercaya untuk peran Anda adalah AWS layanan monitoring.rds.amazonaws.com.

  8. Pilih Buat peran.

Mengaktifkan dan menonaktifkan Pemantauan yang Ditingkatkan

Anda dapat mengelola Enhanced Monitoring menggunakan AWS Management Console AWS CLI,, atau RDSAPI. Anda dapat mengatur granularitas yang berbeda untuk pengumpulan metrik pada setiap instans DB cluster DB . Anda juga dapat mengaktifkan Enhanced Monitoring untuk cluster DB yang ada dari konsol.

Anda dapat mengaktifkan Enhanced Monitoring saat membuat atau replika baca, atau saat Anda memodifikasi . Jika Anda memodifikasi instans atau cluster DB untuk mengaktifkan Enhanced Monitoring, Anda tidak perlu me-reboot instans DB Anda agar perubahan diterapkan.

Anda dapat mengaktifkan Enhanced Monitoring di RDS konsol saat Anda melakukan salah satu tindakan berikut di halaman Database:

  • Buat klaster – Pilih Buat basis data.

  • Buat replika baca – Pilih Tindakan, lalu Buat replika baca.

  • Ubah instans DB atau cluster DB atau cluster — Pilih Ubah.

catatan

Saat mengaktifkan Enhanced Monitoring untuk klaster DB, Anda tidak dapat mengelola Enhanced Monitoring untuk instans DB individual di dalam cluster.

Jika Anda mengelola Enhanced Monitoring untuk instans DB individual dalam cluster DB dan granularitas diatur ke nilai yang berbeda untuk instans yang berbeda, cluster DB Anda heterogen sehubungan dengan Enhanced Monitoring. Dalam kasus seperti itu, Anda tidak dapat memodifikasi cluster DB untuk mengelola Enhanced Monitoring di tingkat cluster.

Untuk mengaktifkan atau menonaktifkan Pemantauan yang Ditingkatkan di RDS konsol
  1. Gulir ke bagian Konfigurasi tambahan.

  2. Di Monitoring, pilih Aktifkan Pemantauan yang Ditingkatkan untuk DB, cluster, atau replika baca Anda. Mengaktifkan Enhanced Monitoring di tingkat cluster memungkinkan Anda mengelola pengaturan dan opsi Enhanced Monitoring di tingkat cluster. Pengaturan tingkat cluster berlaku untuk semua instance DB cluster.Hapus pilihan untuk menonaktifkan Enhanced Monitoring di tingkat cluster. Anda nantinya dapat memodifikasi pengaturan Enhanced Monitoring untuk instans DB individual di cluster.

    Di halaman Buat database, Anda dapat memilih untuk mengaktifkan Enhanced Monitoring di tingkat cluster.

    Aktifkan Pemantauan yang Ditingkatkan selama pembuatan cluster DB dengan konsol.

    Jika Anda tidak mengaktifkan Enhanced Monitoring saat membuat cluster, Anda dapat memodifikasi cluster di halaman cluster Modify DB.

    Aktifkan Performance Insights selama pembuatan klaster DB dengan konsol.
    catatan

    Anda tidak dapat mengelola Enhanced Monitoring untuk instans DB individual di cluster DB yang sudah memiliki Enhanced Monitoring yang dikelola di tingkat cluster.

  3. Anda tidak dapat memilih untuk mengelola Enhanced Monitoring di tingkat cluster jika klaster heterogen sehubungan dengan Enhanced Monitoring. Untuk mengelola Enhanced Monitoring di tingkat klaster, ubah pengaturan Enhanced Monitoring untuk setiap instance agar cocok. Sekarang Anda dapat memilih untuk mengelola Enhanced Monitoring di tingkat cluster saat Anda memodifikasi klaster Anda.

  4. Setel properti Peran Pemantauan ke IAM peran yang Anda buat untuk mengizinkan Amazon RDS berkomunikasi dengan CloudWatch Log Amazon untuk Anda, atau pilih Default untuk RDS membuat peran untuk Anda namairds-monitoring-role.

  5. Atur properti Granularity ke interval, dalam hitungan detik, di antara titik saat metrik dikumpulkan untuk instans DB, cluster DB, atau replika baca Anda. Properti Granularitas dapat diatur ke salah satu nilai berikut: 1, 5, 10, 15, 30, atau 60.

    Yang tercepat yang disegarkan RDS konsol adalah setiap 5 detik. Jika Anda mengatur granularitas ke 1 detik di RDS konsol, Anda masih melihat metrik yang diperbarui hanya setiap 5 detik. Anda dapat mengambil pembaruan metrik 1 detik dengan menggunakan CloudWatch Log.

Untuk mengaktifkan Enhanced Monitoring menggunakan AWS CLI, dalam perintah berikut, atur --monitoring-interval opsi ke nilai selain 0 dan atur --monitoring-role-arn opsi ke peran yang Anda buatMembuat IAM peran untuk Enhanced Monitoring.

Opsi --monitoring-interval menentukan interval, dalam detik, antara titik-titik saat metrik Pemantauan yang Ditingkatkan dikumpulkan. Nilai yang valid untuk opsi ini adalah 0, 1, 5, 10, 15, 30, dan 60.

Untuk mematikan Enhanced Monitoring menggunakan AWS CLI, atur --monitoring-interval opsi ke 0 dalam perintah ini.

contoh

Contoh berikut mengaktifkan Pemantauan yang Ditingkatkan untuk instans DB:

Untuk Linux, macOS, atau Unix:

aws rds modify-db-instance \ --db-instance-identifier mydbinstance \ --monitoring-interval 30 \ --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess

Untuk Windows:

aws rds modify-db-instance ^ --db-instance-identifier mydbinstance ^ --monitoring-interval 30 ^ --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess
contoh

Contoh berikut mengaktifkan Enhanced Monitoring untuk cluster DB:

Untuk Linux, macOS, atau Unix:

aws rds modify-db-cluster \ --db-cluster-identifier mydbinstance \ --monitoring-interval 30 \ --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess

Untuk Windows:

aws rds modify-db-cluster ^ --db-cluster-identifier mydbinstance ^ --monitoring-interval 30 ^ --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess
contoh

Contoh berikut mengaktifkan Pemantauan yang Ditingkatkan untuk klaster DB Multi-AZ:

Untuk Linux, macOS, atau Unix:

aws rds modify-db-cluster \ --db-cluster-identifier mydbcluster \ --monitoring-interval 30 \ --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess

Untuk Windows:

aws rds modify-db-cluster ^ --db-cluster-identifier mydbcluster ^ --monitoring-interval 30 ^ --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess

Untuk mengaktifkan Enhanced Monitoring menggunakan RDSAPI, atur MonitoringInterval parameter ke nilai selain 0 dan atur MonitoringRoleArn parameter ke peran yang Anda buatMembuat IAM peran untuk Enhanced Monitoring. Tetapkan parameter ini dalam tindakan berikut:

Parameter MonitoringInterval menentukan interval, dalam detik, antara titik-titik saat metrik Pemantauan yang Ditingkatkan dikumpulkan. Nilai yang valid adalah 0, 1, 5, 10, 15, 30, dan 60.

Untuk mematikan Enhanced Monitoring menggunakan RDSAPI, atur MonitoringInterval ke0.

Melindungi dari masalah confused deputy

Masalah deputi yang bingung adalah masalah keamanan di mana entitas yang tidak memiliki izin untuk melakukan tindakan dapat memaksa entitas yang lebih istimewa untuk melakukan tindakan. Pada tahun AWS, peniruan lintas layanan dapat mengakibatkan masalah wakil yang membingungkan. Peniruan identitas lintas layanan dapat terjadi ketika satu layanan (layanan yang dipanggil) memanggil layanan lain (layanan yang dipanggil). Layanan pemanggilan dapat dimanipulasi menggunakan izinnya untuk bertindak pada sumber daya pelanggan lain dengan cara yang seharusnya tidak dilakukannya kecuali bila memiliki izin untuk mengakses. Untuk mencegah hal ini, AWS menyediakan alat yang membantu Anda melindungi data untuk semua layanan dengan pengguna utama layanan yang telah diberi akses ke sumber daya di akun Anda. Untuk informasi selengkapnya, lihat Masalah confused deputy.

Untuk membatasi izin ke sumber daya yang RDS dapat diberikan Amazon kepada layanan lain, sebaiknya gunakan kunci konteks kondisi aws:SourceAccount global aws:SourceArn dan global dalam kebijakan kepercayaan untuk peran Pemantauan yang Ditingkatkan. Jika Anda menggunakan kedua kunci konteks kondisi global, keduanya harus menggunakan ID akun yang sama.

Cara paling efektif untuk melindungi dari masalah wakil yang membingungkan adalah dengan menggunakan kunci konteks kondisi aws:SourceArn global dengan penuh ARN sumber daya. Untuk AmazonRDS, atur aws:SourceArn kearn:aws:rds:Region:my-account-id:db:dbname.

Contoh berikut menggunakan kunci konteks kondisi global aws:SourceArn dan aws:SourceAccount dalam kebijakan kepercayaan untuk mencegah masalah deputi yang bingung.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "monitoring.rds.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringLike": { "aws:SourceArn": "arn:aws:rds:Region:my-account-id:db:dbname" }, "StringEquals": { "aws:SourceAccount": "my-account-id" } } } ] }