Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Mengonfigurasi kebijakan akses untuk Wawasan Performa

PDF
RSS
Mode fokus
Mengonfigurasi kebijakan akses untuk Wawasan Performa - Amazon DocumentDB
Melampirkan RDSPerformance InsightsReadOnly kebijakan Amazon ke kepala sekolah IAMMembuat kebijakan IAM kustom untuk Wawasan PerformaMengonfigurasi AWS KMS kebijakan untuk Performance Insights

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk mengakses Wawasan Kinerja, Anda harus memiliki izin yang sesuai dari AWS Identity and Access Management (IAM). Anda memiliki opsi berikut untuk memberikan akses:

  • Lampirkan kebijakan AmazonRDSPerformanceInsightsReadOnly terkelola ke set izin atau peran.

  • Membuat kebijakan IAM kustom dan melampirkannya ke kumpulan izin atau peran.

Selain itu, jika Anda menetapkan kunci terkelola pelanggan saat mengaktifkan Performance Insights, pastikan pengguna di akun Anda memiliki izin kms:Decrypt dan kms:GenerateDataKey izin pada kunci KMS.

catatan

Untuk encryption-at-rest dengan manajemen AWS KMS kunci dan grup keamanan, Amazon DocumentDB memanfaatkan teknologi operasional yang dibagikan dengan Amazon RDS.

Melampirkan RDSPerformance InsightsReadOnly kebijakan Amazon ke kepala sekolah IAM

AmazonRDSPerformanceInsightsReadOnlyadalah kebijakan AWS terkelola yang memberikan akses ke semua operasi hanya-baca dari Amazon DocumentDB Performance Insights API. Saat ini, semua operasi di API ini hanya-baca. Jika Anda melampirkan AmazonRDSPerformanceInsightsReadOnly ke kumpulan izin atau peran, penerima dapat menggunakan Wawasan Performa beserta fitur konsol lainnya.

Membuat kebijakan IAM kustom untuk Wawasan Performa

Untuk pengguna yang tidak memiliki AmazonRDSPerformanceInsightsReadOnly kebijakan, Anda dapat memberikan akses ke Performance Insights dengan membuat atau memodifikasi kebijakan IAM yang dikelola pengguna. Jika Anda melampirkan kebijakan ke set izin atau peran, penerima dapat menggunakan Performance Insights.

Untuk membuat kebijakan kustom

  1. Buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Kebijakan.

  3. Pilih Buat kebijakan.

  4. Di halaman Buat Kebijakan, pilih tab JSON.

  5. Salin dan tempel teks berikut, ganti us-east-1 dengan nama AWS Wilayah Anda dan 111122223333 dengan nomor akun pelanggan Anda.

    
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "rds:DescribeDBInstances",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "rds:DescribeDBClusters",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:DescribeDimensionKeys",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:GetDimensionKeyDetails",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:GetResourceMetadata",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:GetResourceMetrics",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:ListAvailableResourceDimensions",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        },
        {
            "Effect": "Allow",
            "Action": "pi:ListAvailableResourceMetrics",
            "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
        }
    ]
}

  6. Pilih Tinjau kebijakan.

  7. Berikan nama untuk kebijakan tersebut dan secara opsional deskripsi, lalu pilih Buat kebijakan.

Sekarang, Anda dapat menyisipkan kebijakan ke kumpulan izin atau peran. Prosedur berikut mengasumsikan bahwa Anda sudah memiliki pengguna yang tersedia untuk tujuan ini.

Untuk melampirkan kebijakan ini ke pengguna

  1. Buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Pengguna.

  3. Pilih pengguna yang ada dari daftar.

    penting

    Untuk menggunakan Performance Insights, pastikan Anda memiliki akses ke Amazon DocumentDB selain kebijakan kustom. Misalnya, kebijakan yang AmazonDocDBReadOnlyAccesstelah ditentukan menyediakan akses hanya-baca ke Amazon docdb.Untuk informasi selengkapnya, lihat Mengelola akses menggunakan kebijakan.

  4. Di halaman Ringkasan, pilih Tambahkan izin.

  5. Pilih Lampirkan kebijakan yang sudah ada secara langsung. Untuk Pencarian, ketik beberapa karakter pertama dari nama kebijakan Anda, seperti yang ditampilkan di bawah ini.

    Pilih Kebijakan

  6. Pilih kebijakan Anda, lalu pilih Berikutnya: Tinjauan.

  7. Pilih Tambahkan izin.

Mengonfigurasi AWS KMS kebijakan untuk Performance Insights

Performance Insights menggunakan perangkat AWS KMS key untuk mengenkripsi data sensitif. Saat mengaktifkan Wawasan Kinerja melalui API atau konsol, Anda akan memiliki opsi berikut:

  • Pilih default Kunci yang dikelola AWS.

    Amazon DocumentDB menggunakan Kunci yang dikelola AWS instans DB baru Anda. Amazon DocumentDB membuat untuk Kunci yang dikelola AWS akun Anda. AWS AWS Akun Anda memiliki Amazon DocumentDB yang berbeda Kunci yang dikelola AWS untuk setiap Wilayah. AWS

  • Memilih kunci yang dikelola pelanggan.

    Jika Anda menentukan kunci yang dikelola pelanggan, pengguna di akun Anda yang memanggil API Wawasan Performa memerlukan izin kms:Decrypt dan kms:GenerateDataKey pada kunci KMS. Anda dapat mengonfigurasi izin ini melalui kebijakan IAM. Namun, sebaiknya Anda mengelola izin ini melalui kebijakan kunci KMS Anda. Untuk informasi selengkapnya, lihat Menggunakan kebijakan kunci dalam KMS AWS.

Contoh kebijakan kunci berikut menunjukkan cara menambahkan pernyataan ke kebijakan kunci KMS Anda. Pernyataan ini mengizinkan akses ke Wawasan Performa. Tergantung pada bagaimana Anda menggunakan AWS KMS, Anda mungkin ingin mengubah beberapa batasan. Sebelum menambahkan pernyataan ke kebijakan, hapus semua komentar.

{
 "Version" : "2012-10-17",
 "Id" : "your-policy",
 "Statement" : [ {
    //This represents a statement that currently exists in your policy.
 }
 ....,
 //Starting here, add new statement to your policy for Performance Insights.
 //We recommend that you add one new statement for every RDS/DocumentDB instance
 {
    "Sid" : "Allow viewing RDS Performance Insights",
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            //One or more principals allowed to access Performance Insights
            "arn:aws:iam::444455556666:role/Role1"
        ]
    },
    "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition" :{
        "StringEquals" : {
            //Restrict access to only RDS APIs (including Performance Insights).
            //Replace *region* with your AWS Region. 
            //For example, specify us-west-2.
            "kms:ViaService" : "rds.*region*.amazonaws.com"
        },
        "ForAnyValue:StringEquals": {
            //Restrict access to only data encrypted by Performance Insights.
            "kms:EncryptionContext:aws:pi:service": "rds",
            "kms:EncryptionContext:service": "pi",
            
            //Restrict access to a specific DocDB instance.
            //The value is a DbiResourceId.
           "kms:EncryptionContext:aws:rds:db-id": "db-AAAAABBBBBCCCCDDDDDEEEEE"
        }
    }
}

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.