Mengubah AWS KMS kebijakan untuk Performance Insights - Layanan Basis Data Relasional Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengubah AWS KMS kebijakan untuk Performance Insights

Performance Insights menggunakan perangkat AWS KMS key untuk mengenkripsi data sensitif. Saat mengaktifkan Performance Insights melalui API atau konsol, Anda dapat melakukan salah satu hal berikut:

  • Pilih default Kunci yang dikelola AWS.

    Amazon RDS menggunakan instans DB baru Anda. Kunci yang dikelola AWS Amazon RDS menciptakan Kunci yang dikelola AWS untuk Anda Akun AWS. Anda Akun AWS memiliki perbedaan Kunci yang dikelola AWS untuk Amazon RDS untuk masing-masing Wilayah AWS.

  • Memilih kunci yang dikelola pelanggan.

    Jika Anda menentukan kunci yang dikelola pelanggan, pengguna di akun Anda yang memanggil Performance Insights API memerlukan izin kms:Decrypt dan kms:GenerateDataKey izin pada kunci tersebut. KMS Anda dapat mengonfigurasi izin ini melalui IAM kebijakan. Namun, kami menyarankan Anda mengelola izin ini melalui kebijakan KMS utama Anda. Untuk informasi selengkapnya, lihat Kebijakan kunci di AWS KMS di Panduan Developer AWS Key Management Service .

Contoh berikut menunjukkan cara menambahkan pernyataan ke kebijakan KMS kunci Anda. Pernyataan ini mengizinkan akses ke Wawasan Performa. Bergantung pada bagaimana Anda menggunakan KMS kunci, Anda mungkin ingin mengubah beberapa batasan. Sebelum menambahkan pernyataan ke kebijakan, hapus semua komentar.

{ "Version" : "2012-10-17", "Id" : "your-policy", "Statement" : [ { //This represents a statement that currently exists in your policy. } ...., //Starting here, add new statement to your policy for Performance Insights. //We recommend that you add one new statement for every RDS instance { "Sid" : "Allow viewing RDS Performance Insights", "Effect": "Allow", "Principal": { "AWS": [ //One or more principals allowed to access Performance Insights "arn:aws:iam::444455556666:role/Role1" ] }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "*", "Condition" : { "StringEquals" : { //Restrict access to only RDS APIs (including Performance Insights). //Replace region with your AWS Region. //For example, specify us-west-2. "kms:ViaService" : "rds.region.amazonaws.com" }, "ForAnyValue:StringEquals": { //Restrict access to only data encrypted by Performance Insights. "kms:EncryptionContext:aws:pi:service": "rds", "kms:EncryptionContext:service": "pi", //Restrict access to a specific RDS instance. //The value is a DbiResourceId. "kms:EncryptionContext:aws:rds:db-id": "db-AAAAABBBBBCCCCDDDDDEEEEE" } } }

Bagaimana Performance Insights menggunakan kunci yang dikelola AWS KMS pelanggan

Wawasan Performa menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data sensitif. Saat mengaktifkan Performance Insights, Anda dapat memberikan AWS KMS kunci melalui fitur. API Performance Insights membuat KMS izin pada kunci ini. Ini menggunakan kunci dan melakukan operasi yang diperlukan untuk memproses data sensitif. Data sensitif mencakup bidang-bidang seperti pengguna, database, aplikasi, dan teks SQL kueri. Wawasan Performa memastikan bahwa data tetap terenkripsi baik saat tidak aktif maupun saat transit.

Cara kerja Performance Insights IAM AWS KMS

IAMmemberikan izin untuk spesifikAPIs. Performance Insights memiliki publik berikutAPIs, yang dapat Anda batasi menggunakan kebijakan: IAM

  • DescribeDimensionKeys

  • GetDimensionKeyDetails

  • GetResourceMetadata

  • GetResourceMetrics

  • ListAvailableResourceDimensions

  • ListAvailableResourceMetrics

Anda dapat menggunakan API permintaan berikut untuk mendapatkan data sensitif.

  • DescribeDimensionKeys

  • GetDimensionKeyDetails

  • GetResourceMetrics

Saat Anda menggunakan API untuk mendapatkan data sensitif, Performance Insights memanfaatkan kredensi pemanggil. Pemeriksaan ini memastikan bahwa akses ke data sensitif terbatas pada mereka yang memiliki akses ke KMS kunci.

Saat memanggil iniAPIs, Anda memerlukan izin untuk memanggil API melalui IAM kebijakan dan izin untuk menjalankan kms:decrypt tindakan melalui kebijakan utama AWS KMS .

GetResourceMetricsAPIDapat mengembalikan data sensitif dan tidak sensitif. Parameter permintaan menentukan apakah respons harus menyertakan data sensitif. APIMengembalikan data sensitif ketika permintaan menyertakan dimensi sensitif baik dalam parameter filter atau grup-menurut.

Untuk informasi lebih lanjut tentang dimensi yang dapat Anda gunakan dengan GetResourceMetricsAPI, lihat DimensionGroup.

contoh Contoh

Contoh berikut meminta data sensitif untuk grup db.user:

POST / HTTP/1.1 Host: <Hostname> Accept-Encoding: identity X-Amz-Target: PerformanceInsightsv20180227.GetResourceMetrics Content-Type: application/x-amz-json-1.1 User-Agent: <UserAgentString> X-Amz-Date: <Date> Authorization: AWS4-HMAC-SHA256 Credential=<Credential>, SignedHeaders=<Headers>, Signature=<Signature> Content-Length: <PayloadSizeBytes> { "ServiceType": "RDS", "Identifier": "db-ABC1DEFGHIJKL2MNOPQRSTUV3W", "MetricQueries": [ { "Metric": "db.load.avg", "GroupBy": { "Group": "db.user", "Limit": 2 } } ], "StartTime": 1693872000, "EndTime": 1694044800, "PeriodInSeconds": 86400 }

Contoh berikut meminta data non-sensitif untuk metrik db.load.avg:

POST / HTTP/1.1 Host: <Hostname> Accept-Encoding: identity X-Amz-Target: PerformanceInsightsv20180227.GetResourceMetrics Content-Type: application/x-amz-json-1.1 User-Agent: <UserAgentString> X-Amz-Date: <Date> Authorization: AWS4-HMAC-SHA256 Credential=<Credential>, SignedHeaders=<Headers>, Signature=<Signature> Content-Length: <PayloadSizeBytes> { "ServiceType": "RDS", "Identifier": "db-ABC1DEFGHIJKL2MNOPQRSTUV3W", "MetricQueries": [ { "Metric": "db.load.avg" } ], "StartTime": 1693872000, "EndTime": 1694044800, "PeriodInSeconds": 86400 }