Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Configurare e abilitare Monitoraggio avanzato
<a name="USER_Monitoring.OS.Enabling"></a>

Per utilizzare Monitoraggio avanzato, è necessario creare un ruolo IAM e quindi abilitare Monitoraggio avanzato.

**Topics**
+ [Creazione di un ruolo IAM per Enhanced Monitoring](#USER_Monitoring.OS.Enabling.Prerequisites)
+ [Attivazione e disattivazione del monitoraggio avanzato](#USER_Monitoring.OS.Enabling.Procedure)
+ [Protezione dal problema del "confused deputy"](#USER_Monitoring.OS.confused-deputy)

## Creazione di un ruolo IAM per Enhanced Monitoring
<a name="USER_Monitoring.OS.Enabling.Prerequisites"></a>

Il monitoraggio avanzato richiede l'autorizzazione ad agire per conto dell'utente per inviare le informazioni sulle metriche del sistema operativo ai CloudWatch registri. Concedi le autorizzazioni di Enhanced Monitoring utilizzando un ruolo AWS Identity and Access Management (IAM). È possibile creare questo ruolo quando si abilita il monitoraggio avanzato o lo si crea in anticipo.

**Topics**
+ [Creazione del ruolo IAM quando si attiva Enhanced Monitoring](#USER_Monitoring.OS.Enabling.Prerequisites.creating-role-automatically)
+ [Creazione del ruolo IAM prima di abilitare Enhanced Monitoring](#USER_Monitoring.OS.Enabling.Prerequisites.creating-role-manually)

### Creazione del ruolo IAM quando si attiva Enhanced Monitoring
<a name="USER_Monitoring.OS.Enabling.Prerequisites.creating-role-automatically"></a>

Quando si attiva Enhanced Monitoring nella console RDS, Amazon RDS è possibile creare il ruolo IAM necessario. Il ruolo è denominato `rds-monitoring-role`. RDS utilizza questo ruolo per l'istanza database specificata, la replica di lettura o il cluster di database Multi-AZ.

**Per creare il ruolo IAM quando si attiva Enhanced Monitoring**

1. Segui la procedura riportata in [Attivazione e disattivazione del monitoraggio avanzato](#USER_Monitoring.OS.Enabling.Procedure).

1. Imposta **Ruolo di monitoraggio** su **Predefinito** nel passaggio in cui si sceglie un ruolo.

### Creazione del ruolo IAM prima di abilitare Enhanced Monitoring
<a name="USER_Monitoring.OS.Enabling.Prerequisites.creating-role-manually"></a>

È possibile creare il ruolo richiesto prima di abilitare Enhanced Monitoring. Quando si abilita Enhanced Monitoring, specifica il nome del nuovo ruolo. Si deve creare questo ruolo necessario se si abilita il monitoraggio avanzato utilizzando AWS CLI oppure l'API RDS.

L'utente che abilita il monitoraggio avanzato deve ricevere l'autorizzazione `PassRole`. Per ulteriori informazioni, consulta l'Esempio 2 in [Concessione a un utente delle autorizzazioni per il trasferimento di un ruolo a un AWS servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) nella Guida per l'utente *IAM*.<a name="USER_Monitoring.OS.IAMRole"></a>

**Per creare un ruolo IAM per Amazon RDS Enhanced Monitoring**

1. Apri la [console IAM all'indirizzo](https://console.aws.amazon.com/iam/home?#home). [https://console.aws.amazon.com](https://console.aws.amazon.com/)

1. Nel pannello di navigazione, seleziona **Roles** (Ruoli).

1. Selezionare **Create role (Crea ruolo)**.

1. Scegliere la scheda **Servizio AWS ** quindi seleziona **RDS** dall’elenco di servizi.

1. Scegli **RDS - Enhanced Monitoring** (RDS - Monitoraggio avanzato), quindi seleziona **Next (Avanti)**.

1. Assicurati che le **politiche di autorizzazione** mostrino **Amazon RDSEnhanced MonitoringRole**, quindi scegli **Avanti**.

1. In **Nome ruolo**, immetti un nome per il ruolo. Ad esempio, specifica **emaccess**.

   L'entità affidabile per il tuo ruolo è il AWS servizio **monitoring.rds.amazonaws.com**.

1. Scegli **Crea ruolo**.

## Attivazione e disattivazione del monitoraggio avanzato
<a name="USER_Monitoring.OS.Enabling.Procedure"></a>

Puoi gestire il monitoraggio avanzato utilizzando l'API, o RDS. Console di gestione AWS AWS CLIÈ possibile impostare granularità diverse per la raccolta delle metriche su ogni cluster di database. È inoltre possibile attivare il monitoraggio avanzato per un cluster di database esistente dalla console.

### Console
<a name="USER_Monitoring.OS.Enabling.Procedure.Console"></a>

È possibile attivare Monitoraggio avanzato quando si crea un cluster o una replica di lettura oppure quando si modifica un cluster. Se si modifica un’istanza database o un cluster di database per attivare il monitoraggio avanzato, non è necessario riavviare l’istanza database per rendere effettive le modifiche. 

È possibile abilitare il monitoraggio avanzato nella console RDS quando si esegue una delle seguenti operazioni nella pagina **Databases (Database)**: 
+ **Creazione di un cluster**: scegli **Create database (Crea database)**.
+ **Creazione di una replica di lettura**: scegli **Actions** (Operazioni), quindi **Create read replica (Crea replica di lettura)**.
+ **Modifica di un’istanza database o di un cluster di database **: scegli **Modifica**.

**Nota**  
Quando abiliti il monitoraggio avanzato per un cluster di database, non è possibile gestire il monitoraggio avanzato per singole istanze database all’interno del cluster.

Se gestisci il monitoraggio avanzato per singole istanze database in un cluster di database e la granularità è impostata su valori diversi per istanze diverse, il cluster di database è eterogeneo rispetto al monitoraggio avanzato. In questi casi, non è possibile modificare il cluster di database per gestire il monitoraggio avanzato a livello di cluster.

**Per attivare o disattivare Monitoraggio avanzato nella console RDS**

1. Scorri fino a **Additional configuration (Configurazione aggiuntiva)**.

1. In **Monitoraggio**, scegli **Abilita monitoraggio avanzato** per , il cluster di database o la replica di lettura. L’abilitazione del monitoraggio avanzato a livello di cluster consente di gestire le impostazioni e le opzioni del monitoraggio avanzato a livello di cluster. Le impostazioni a livello di cluster si applicano a tutte le istanze database del cluster. Deseleziona l’opzione per disabilitare il monitoraggio avanzato a livello di cluster. Successivamente potrai modificare le impostazioni del monitoraggio avanzato per le singole istanze database del cluster. 

   Nella pagina **Crea database**, puoi scegliere di attivare il monitoraggio avanzato a livello di cluster.  
![\[Attivazione del monitoraggio avanzato durante la creazione del cluster di database con la console.\]](http://docs.aws.amazon.com/it_it/AmazonRDS/latest/AuroraUserGuide/images/em_cluster_enabling.png)

   Se non abiliti il monitoraggio avanzato durante la creazione di un cluster, puoi modificare il cluster nella pagina **Modifica il cluster DB**.  
![\[Attivazione di Approfondimenti sulle prestazioni durante la creazione del cluster di database con la console.\]](http://docs.aws.amazon.com/it_it/AmazonRDS/latest/AuroraUserGuide/images/em_cluster_modifying.png)
**Nota**  
Non è possibile gestire il monitoraggio avanzato per una singola istanza database in un cluster di database che ha già il monitoraggio avanzato gestito a livello di cluster. 

1. Non è possibile scegliere di gestire il monitoraggio avanzato a livello di cluster se il cluster è eterogeneo rispetto al monitoraggio avanzato. Per gestire il monitoraggio avanzato a livello di cluster, si modificano le impostazioni di monitoraggio avanzato per ogni istanza in modo che corrispondano. Ora è possibile scegliere di gestire il monitoraggio avanzato a livello di cluster quando si modifica il cluster.

1. Imposta la proprietà **Monitoring** Role sul ruolo IAM che hai creato per consentire ad Amazon RDS di comunicare con Amazon CloudWatch Logs per te, oppure scegli **Default** per fare in modo che RDS crei un ruolo per te denominato. `rds-monitoring-role`

1. Impostare la proprietà **Granularità** sull’intervallo, in secondi, tra i punti quando le metriche vengono raccolte per l’istanza database, il cluster di database, o la replica di lettura. La proprietà **Granularity (Granularità)** può essere impostata su uno dei valori seguenti: `1`, `5`, `10`, `15`, `30` oppure `60`.

   L'intervallo più veloce in cui la console RDS si aggiorna è ogni 5 secondi. Se si imposta la granularità su 1 secondo nella console RDS, vengono comunque visualizzati parametri aggiornati solo ogni 5 secondi. Puoi recuperare gli aggiornamenti dei parametri in 1 secondo utilizzando Logs. CloudWatch 

### AWS CLI
<a name="USER_Monitoring.OS.Enabling.Procedure.CLI"></a>

Per attivare il monitoraggio avanzato utilizzando i comandi seguenti AWS CLI, impostate l'`--monitoring-interval`opzione su un valore diverso da `0` e impostate l'`--monitoring-role-arn`opzione sul ruolo in cui avete creato. [Creazione di un ruolo IAM per Enhanced Monitoring](#USER_Monitoring.OS.Enabling.Prerequisites)
+ [create-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-cluster.html)
+ [modify-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-cluster.html)
+ [create-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-instance.html)
+ [create-db-instance-read-replica](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-instance-read-replica.html)
+ [modify-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html)

L'opzione `--monitoring-interval` specifica l'intervallo, in secondi, tra i punti quando vengono raccolti i parametri di monitoraggio avanzato. I valori validi per l'opzione sono `0`, `1`, `5`, `10`, `15`, `30` e `60`.

Per disattivare il monitoraggio avanzato utilizzando il AWS CLI, imposta l'`--monitoring-interval`opzione su `0` in questi comandi.

**Example**  
Nell'esempio seguente viene attivato il monitoraggio avanzato per un'istanza database:  
Per Linux, macOS o Unix:  

```
aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --monitoring-interval 30 \
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess
```
Per Windows:  

```
aws rds modify-db-instance ^
    --db-instance-identifier mydbinstance ^
    --monitoring-interval 30 ^
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess
```

**Example**  
Nell’esempio seguente si attiva il monitoraggio avanzato per un cluster di database:  
Per Linux, macOS o Unix:  

```
aws rds modify-db-cluster \
    --db-cluster-identifier mydbinstance \
    --monitoring-interval 30 \
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess
```
Per Windows:  

```
aws rds modify-db-cluster ^
    --db-cluster-identifier mydbinstance ^
    --monitoring-interval 30 ^
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess
```

**Example**  
Nell'esempio seguente viene attivato il monitoraggio avanzato per un cluster di database Multi-AZ:  
Per Linux, macOS o Unix:  

```
aws rds modify-db-cluster \
    --db-cluster-identifier mydbcluster \
    --monitoring-interval 30 \
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess
```
Per Windows:  

```
aws rds modify-db-cluster ^
    --db-cluster-identifier mydbcluster ^
    --monitoring-interval 30 ^
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess
```

### API RDS
<a name="USER_Monitoring.OS.Enabling.Procedure.API"></a>

Per attivare il monitoraggio avanzato utilizzando l'API RDS, imposta il parametro `MonitoringInterval` su un valore diverso da `0` e imposta il parametro `MonitoringRoleArn` sul ruolo creato in [Creazione di un ruolo IAM per Enhanced Monitoring](#USER_Monitoring.OS.Enabling.Prerequisites). Imposta questi parametri nelle seguenti operazioni:
+ [CreaDBCluster](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBCluster.html)
+ [ModificaDBCluster](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBCluster.html)
+ [CreaDBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBInstance.html)
+ [CreaDBInstanceReadReplica](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBInstanceReadReplica.html)
+ [ModificaDBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html)

Il parametro `MonitoringInterval` specifica l'intervallo, in secondi, tra i punti quando vengono raccolti i parametri di monitoraggio avanzato. I valori validi sono `0`, `1`, `5`, `10`, `15`, `30` e `60`.

Per disattivare il monitoraggio avanzato utilizzando l'API RDS, imposta `MonitoringInterval` su `0`.

## Protezione dal problema del "confused deputy"
<a name="USER_Monitoring.OS.confused-deputy"></a>

Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel AWS, l'impersonificazione tra servizi può portare alla confusione del vicesceriffo. La rappresentazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l’accesso alle risorse dell’account. Per ulteriori informazioni, consulta [Problema del "confused deputy"](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).

Per limitare le autorizzazioni relative alle risorse che Amazon RDS può fornire a un altro servizio, si consiglia di utilizzare le chiavi di contesto delle condizioni globali `aws:SourceArn` e `aws:SourceAccount` in una policy di attendibilità per il tuo ruolo di monitoraggio avanzato. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali, devono utilizzare lo stesso ID account.

Il modo più efficace per proteggersi dal problema "confused deputy" è quello di usare la chiave di contesto della condizione globale `aws:SourceArn` con l'ARN completo della risorsa. Per Amazon RDS, imposta `aws:SourceArn` su `arn:aws:rds:Region:my-account-id:db:dbname`.

L'esempio seguente usa le chiavi di contesto delle condizioni globali `aws:SourceArn` e `aws:SourceAccount` in una policy di affidabilità per prevenire il problema del "confused deputy".

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "monitoring.rds.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringLike": {
          "aws:SourceArn": "arn:aws:rds:Region:my-123456789012:db:dbname"
        },
        "StringEquals": {
          "aws:SourceAccount": "my-123456789012"
        }
      }
    }
  ]
}
```

------