Configurare e abilitare il monitoraggio avanzato - Amazon Aurora
Creazione di un IAM ruolo per Enhanced MonitoringAttivazione e disattivazione del monitoraggio avanzatoProtezione dal problema del "confused deputy"

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurare e abilitare il monitoraggio avanzato

Per utilizzare il monitoraggio avanzato, è necessario creare un IAM ruolo e quindi abilitare il monitoraggio avanzato.

Creazione di un IAM ruolo per Enhanced Monitoring

Il monitoraggio avanzato richiede l'autorizzazione ad agire per conto dell'utente per inviare le informazioni sui parametri del sistema operativo ai CloudWatch registri. Concedete le autorizzazioni di Enhanced Monitoring utilizzando un ruolo AWS Identity and Access Management ()IAM. È possibile creare questo ruolo quando si abilita il monitoraggio avanzato o lo si crea in anticipo.

Creazione del IAM ruolo quando si abilita il monitoraggio avanzato

Quando abiliti Enhanced Monitoring nella RDS console, Amazon RDS può creare il IAM ruolo richiesto per te. Il ruolo è denominatords-monitoring-role. RDSutilizza questo ruolo per l'istanza DB specificata, la replica di lettura o il cluster DB Multi-AZ.

Per creare il IAM ruolo quando si abilita il monitoraggio avanzato

  1. Segui la procedura riportata in Attivazione e disattivazione del monitoraggio avanzato.

  2. Imposta Ruolo di monitoraggio su Predefinito nel passaggio in cui si sceglie un ruolo.

Creare il IAM ruolo prima di abilitare il monitoraggio avanzato

È possibile creare il ruolo richiesto prima di abilitare Enhanced Monitoring. Quando si abilita Enhanced Monitoring, specifica il nome del nuovo ruolo. È necessario creare questo ruolo obbligatorio se si abilita il monitoraggio avanzato utilizzando AWS CLI o il RDSAPI.

L'utente che abilita il monitoraggio avanzato deve ricevere l'autorizzazione PassRole. Per ulteriori informazioni, vedere l'Esempio 2 in Concessione a un utente delle autorizzazioni per il trasferimento di un ruolo a un AWS servizio nella Guida per l'IAMutente.

Creare un IAM ruolo per il monitoraggio RDS avanzato di Amazon

  1. Apri la IAMconsole all'indirizzo https://console.aws.amazon.com.

  2. Nel pannello di navigazione, seleziona Roles (Ruoli).

  3. Selezionare Create role (Crea ruolo).

  4. Scegli la scheda AWS servizio, quindi scegli RDSdall'elenco dei servizi.

  5. Scegliete RDS- Monitoraggio avanzato, quindi scegliete Avanti.

  6. Assicurati che i criteri di autorizzazione mostrino A mazonRDSEnhanced MonitoringRole, quindi scegli Avanti.

  7. In Nome ruolo, immetti un nome per il ruolo. Ad esempio, specifica emaccess.

    L'entità affidabile per il tuo ruolo è il AWS servizio monitoring.rds.amazonaws.com.

  8. Scegliere Crea ruolo.

Attivazione e disattivazione del monitoraggio avanzato

Puoi gestire il monitoraggio avanzato utilizzando, o. AWS Management Console AWS CLI RDS API Puoi anche attivare il monitoraggio avanzato per un cluster DB esistente dalla console.

È possibile attivare il monitoraggio avanzato quando si crea un cluster o una replica di lettura oppure quando si modifica un cluster. Se modifichi un'istanza DB o un cluster per attivare il monitoraggio avanzato, non è necessario riavviare l'istanza DB per rendere effettiva la modifica.

Puoi attivare il monitoraggio avanzato nella RDS console quando esegui una delle seguenti azioni nella pagina Database:

  • Creazione di un cluster: scegli Create database (Crea database).

  • Creazione di una replica di lettura: scegli Actions (Operazioni), quindi Create read replica (Crea replica di lettura).

  • Modifica un'istanza DB o un cluster DB : scegli Modifica.

Nota

Quando abiliti il monitoraggio avanzato per un cluster DB, non puoi gestire il monitoraggio avanzato per singole istanze DB all'interno del cluster.

Se gestisci il monitoraggio avanzato per singole istanze DB in un cluster DB e la granularità è impostata su valori diversi per istanze diverse, il cluster DB è eterogeneo rispetto al monitoraggio avanzato. In questi casi, non è possibile modificare il cluster DB per gestire il monitoraggio avanzato a livello di cluster.

Per attivare o disattivare il monitoraggio avanzato nella RDS console

  1. Scorri fino a Additional configuration (Configurazione aggiuntiva).

  2. In Monitoring, scegli Enhanced Monitoring per l' DB, il cluster o la replica di lettura. L'abilitazione del monitoraggio avanzato a livello di cluster consente di gestire le impostazioni e le opzioni di monitoraggio avanzato a livello di cluster. Le impostazioni a livello di cluster si applicano a tutte le istanze DB del cluster.Deseleziona l'opzione per disabilitare il monitoraggio avanzato a livello di cluster. Successivamente è possibile modificare le impostazioni di Enhanced Monitoring per le singole istanze DB del cluster.

    Nella pagina Crea database, puoi scegliere di attivare il monitoraggio avanzato a livello di cluster.

    Attiva il monitoraggio avanzato durante la creazione del cluster DB con console.

    Se non abiliti il monitoraggio avanzato durante la creazione di un cluster, puoi modificare il cluster nella pagina Modifica cluster DB.

    Attiva Performance Insights durante la creazione di cluster DB con console.
    Nota

    Non è possibile gestire Enhanced Monitoring per una singola istanza DB in un cluster DB che ha già Enhanced Monitoring gestito a livello di cluster.

  3. Non è possibile scegliere di gestire il monitoraggio avanzato a livello di cluster se il cluster è eterogeneo rispetto a Enhanced Monitoring. Per gestire il monitoraggio avanzato a livello di cluster, modifica le impostazioni di monitoraggio avanzato per ogni istanza in modo che corrispondano. Ora puoi scegliere di gestire il monitoraggio avanzato a livello di cluster quando modifichi il cluster.

  4. Imposta la proprietà Monitoring IAM Role sul ruolo che hai creato per consentire RDS ad Amazon di comunicare con Amazon CloudWatch Logs per te, oppure scegli Default per RDS creare un ruolo a tuo nomerds-monitoring-role.

  5. Imposta la proprietà Granularity sull'intervallo, in secondi, tra i punti in cui vengono raccolte le metriche per l'istanza DB, il cluster di database o la replica di lettura. La proprietà Granularity (Granularità) può essere impostata su uno dei valori seguenti: 1, 5, 10, 15, 30 oppure 60.

    La velocità di aggiornamento della RDS console è ogni 5 secondi. Se imposti la granularità su 1 secondo nella RDS console, continuerai a visualizzare le metriche aggiornate solo ogni 5 secondi. Puoi recuperare gli aggiornamenti delle metriche in 1 secondo utilizzando Logs. CloudWatch

Per attivare il monitoraggio avanzato utilizzando i comandi seguenti AWS CLI, impostate l'--monitoring-intervalopzione su un valore diverso da 0 e impostate l'--monitoring-role-arnopzione sul ruolo in cui avete creato. Creazione di un IAM ruolo per Enhanced Monitoring

L'opzione --monitoring-interval specifica l'intervallo, in secondi, tra i punti quando vengono raccolti i parametri di monitoraggio avanzato. I valori validi per l'opzione sono 0, 1, 5, 10, 15, 30 e 60.

Per disattivare il monitoraggio avanzato utilizzando il AWS CLI, imposta l'--monitoring-intervalopzione su 0 in questi comandi.

Esempio

Nell'esempio seguente viene attivato il monitoraggio avanzato per un'istanza database:

In Linux, macOS, oppure Unix:

aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --monitoring-interval 30 \
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess

In Windows:

aws rds modify-db-instance ^
    --db-instance-identifier mydbinstance ^
    --monitoring-interval 30 ^
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess
Esempio

L'esempio seguente attiva il monitoraggio avanzato per un cluster DB:

In Linux, macOS, oppure Unix:

aws rds modify-db-cluster \
    --db-cluster-identifier mydbinstance \
    --monitoring-interval 30 \
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess

In Windows:

aws rds modify-db-cluster ^
    --db-cluster-identifier mydbinstance ^
    --monitoring-interval 30 ^
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess
Esempio

Nell'esempio seguente viene attivato il monitoraggio avanzato per un cluster di database Multi-AZ:

In Linux, macOS, oppure Unix:

aws rds modify-db-cluster \
    --db-cluster-identifier mydbcluster \
    --monitoring-interval 30 \
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess

In Windows:

aws rds modify-db-cluster ^
    --db-cluster-identifier mydbcluster ^
    --monitoring-interval 30 ^
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess

Per attivare il monitoraggio avanzato utilizzando il RDSAPI, imposta il MonitoringInterval parametro su un valore diverso da 0 e imposta il MonitoringRoleArn parametro sul ruolo in cui hai creatoCreazione di un IAM ruolo per Enhanced Monitoring. Imposta questi parametri nelle seguenti operazioni:

Il parametro MonitoringInterval specifica l'intervallo, in secondi, tra i punti quando vengono raccolti i parametri di monitoraggio avanzato. I valori validi sono 0, 1, 5, 10, 15, 30 e 60.

Per disattivare il monitoraggio avanzato utilizzando RDSAPI, MonitoringInterval impostare 0 su.

Protezione dal problema del "confused deputy"

Con "confused deputy" si intende un problema di sicurezza in cui un'entità che non dispone dell'autorizzazione per eseguire una certa operazione può costringere un'entità con più privilegi a eseguire tale operazione. Nel AWS, l'impersonificazione tra servizi può causare il confuso problema del vice. La rappresentazione tra servizi può verificarsi quando un servizio (il servizio chiamante) effettua una chiamata a un altro servizio (il servizio chiamato). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l'accesso alle risorse del tuo account. Per ulteriori informazioni, consulta Problema del "confused deputy".

Per limitare le autorizzazioni alla risorsa che Amazon RDS può fornire a un altro servizio, ti consigliamo di utilizzare le chiavi di contesto delle aws:SourceArn condizioni aws:SourceAccount globali in una politica di fiducia per il tuo ruolo di Enhanced Monitoring. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali, devono utilizzare lo stesso ID account.

Il modo più efficace per proteggersi dal confuso problema del vicesceriffo consiste nell'utilizzare la chiave aws:SourceArn global condition context con ARN l'intera risorsa. Per AmazonRDS, imposta aws:SourceArn suarn:aws:rds:Region:my-account-id:db:dbname.

L'esempio seguente usa le chiavi di contesto delle condizioni globali aws:SourceArn e aws:SourceAccount in una policy di affidabilità per prevenire il problema del "confused deputy".

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "monitoring.rds.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringLike": {
          "aws:SourceArn": "arn:aws:rds:Region:my-account-id:db:dbname"
        },
        "StringEquals": {
          "aws:SourceAccount": "my-account-id"
        }
      }
    }
  ]
}