Configurare e abilitare il monitoraggio avanzato - Amazon Relational Database Service
Creazione di un IAM ruolo per Enhanced MonitoringAttivazione e disattivazione del monitoraggio avanzatoProtezione dal problema del "confused deputy"

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurare e abilitare il monitoraggio avanzato

Per utilizzare il monitoraggio avanzato, è necessario creare un IAM ruolo e quindi abilitare il monitoraggio avanzato.

Creazione di un IAM ruolo per Enhanced Monitoring

Enhanced Monitoring richiede l'autorizzazione ad agire per conto dell'utente per inviare le informazioni sui parametri del sistema operativo ai CloudWatch registri. Concedete le autorizzazioni di Enhanced Monitoring utilizzando un ruolo AWS Identity and Access Management ()IAM. È possibile creare questo ruolo quando si abilita il monitoraggio avanzato o lo si crea in anticipo.

Creazione del IAM ruolo quando si abilita il monitoraggio avanzato

Quando abiliti Enhanced Monitoring nella RDS console, Amazon RDS può creare il IAM ruolo richiesto per te. Il ruolo è denominato rds-monitoring-role. RDSutilizza questo ruolo per l'istanza DB specificata, la replica di lettura o il cluster DB Multi-AZ.

Per creare il IAM ruolo quando si abilita il monitoraggio avanzato

  1. Segui la procedura riportata in Attivazione e disattivazione del monitoraggio avanzato.

  2. Imposta Ruolo di monitoraggio su Predefinito nel passaggio in cui si sceglie un ruolo.

Creare il IAM ruolo prima di abilitare il monitoraggio avanzato

È possibile creare il ruolo richiesto prima di abilitare Enhanced Monitoring. Quando si abilita Enhanced Monitoring, specifica il nome del nuovo ruolo. È necessario creare questo ruolo obbligatorio se si abilita il monitoraggio avanzato utilizzando AWS CLI o il RDSAPI.

L'utente che abilita il monitoraggio avanzato deve ricevere l'autorizzazione PassRole. Per ulteriori informazioni, vedere l'Esempio 2 in Concessione a un utente delle autorizzazioni per il trasferimento di un ruolo a un AWS servizio nella Guida per l'IAMutente.

Creare un IAM ruolo per il monitoraggio RDS avanzato di Amazon

  1. Apri la IAMconsole all'indirizzo https://console.aws.amazon.com.

  2. Nel pannello di navigazione, seleziona Roles (Ruoli).

  3. Selezionare Create role (Crea ruolo).

  4. Scegli la scheda AWS servizio, quindi scegli RDSdall'elenco dei servizi.

  5. Scegliete RDS- Monitoraggio avanzato, quindi scegliete Avanti.

  6. Assicurati che i criteri di autorizzazione mostrino A mazonRDSEnhanced MonitoringRole, quindi scegli Avanti.

  7. In Nome ruolo, immetti un nome per il ruolo. Ad esempio, specifica emaccess.

    L'entità affidabile per il tuo ruolo è il AWS servizio monitoring.rds.amazonaws.com.

  8. Scegliere Crea ruolo.

Attivazione e disattivazione del monitoraggio avanzato

Puoi gestire il monitoraggio avanzato utilizzando, o. AWS Management Console AWS CLI RDS API È possibile impostare diverse granularità per la raccolta delle metriche su ogni istanza DB del .

È possibile attivare il monitoraggio avanzato quando si crea un’istanza database, un cluster di database Multi-AZ, o una replica di lettura oppure quando si modifica un’istanza database o un cluster di database Multi-AZ. Se modifichi un'istanza DB per attivare il monitoraggio avanzato, non è necessario riavviare l'istanza DB per rendere effettiva la modifica.

Puoi attivare il monitoraggio avanzato nella RDS console quando esegui una delle seguenti azioni nella pagina Database:

  • Creazione di un’istanza database o un cluster di database Multi-AZ: scegli Create database (Crea database).

  • Creazione di una replica di lettura: scegli Actions (Operazioni), quindi Create read replica (Crea replica di lettura).

  • Modifica un'istanza DB o un cluster DB Multi-AZ: scegli Modifica.

Per attivare o disattivare il monitoraggio avanzato nella RDS console

  1. Scorri fino a Additional configuration (Configurazione aggiuntiva).

  2. In Monitoring, scegli Enhanced Monitoring per l'istanza DB o la replica di lettura. Deseleziona l'opzione per disabilitare il monitoraggio avanzato .

  3. Imposta la proprietà Monitoring IAM Role sul ruolo che hai creato per consentire RDS ad Amazon di comunicare con Amazon CloudWatch Logs per te, oppure scegli Default per RDS creare un ruolo a tuo nomerds-monitoring-role.

  4. Imposta la proprietà Granularity sull'intervallo, in secondi, tra i punti in cui vengono raccolte le metriche per l'istanza di database o la replica di lettura. La proprietà Granularity (Granularità) può essere impostata su uno dei valori seguenti: 1, 5, 10, 15, 30 oppure 60.

    La velocità di aggiornamento della RDS console è ogni 5 secondi. Se imposti la granularità su 1 secondo nella RDS console, continuerai a visualizzare le metriche aggiornate solo ogni 5 secondi. Puoi recuperare gli aggiornamenti delle metriche in 1 secondo utilizzando Logs. CloudWatch

Per attivare il monitoraggio avanzato utilizzando AWS CLI, nei seguenti comandi, impostate l'--monitoring-intervalopzione su un valore diverso da 0 e impostate l'--monitoring-role-arnopzione sul ruolo in cui avete creato. Creazione di un IAM ruolo per Enhanced Monitoring

L'opzione --monitoring-interval specifica l'intervallo, in secondi, tra i punti quando vengono raccolti i parametri di monitoraggio avanzato. I valori validi per l'opzione sono 0, 1, 5, 10, 15, 30 e 60.

Per disattivare il monitoraggio avanzato utilizzando il AWS CLI, imposta l'--monitoring-intervalopzione su 0 in questi comandi.

Esempio

Nell'esempio seguente viene attivato il monitoraggio avanzato per un'istanza database:

In Linux, macOS, oppure Unix:

aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --monitoring-interval 30 \
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess

In Windows:

aws rds modify-db-instance ^
    --db-instance-identifier mydbinstance ^
    --monitoring-interval 30 ^
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess
Esempio

Nell'esempio seguente viene attivato il monitoraggio avanzato per un cluster di database Multi-AZ:

In Linux, macOS, oppure Unix:

aws rds modify-db-cluster \
    --db-cluster-identifier mydbcluster \
    --monitoring-interval 30 \
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess

In Windows:

aws rds modify-db-cluster ^
    --db-cluster-identifier mydbcluster ^
    --monitoring-interval 30 ^
    --monitoring-role-arn arn:aws:iam::123456789012:role/emaccess

Per attivare il monitoraggio avanzato utilizzando il RDSAPI, imposta il MonitoringInterval parametro su un valore diverso da 0 e imposta il MonitoringRoleArn parametro sul ruolo in cui hai creatoCreazione di un IAM ruolo per Enhanced Monitoring. Imposta questi parametri nelle seguenti operazioni:

Il parametro MonitoringInterval specifica l'intervallo, in secondi, tra i punti quando vengono raccolti i parametri di monitoraggio avanzato. I valori validi sono 0, 1, 5, 10, 15, 30 e 60.

Per disattivare il monitoraggio avanzato utilizzando RDSAPI, MonitoringInterval impostare 0 su.

Protezione dal problema del "confused deputy"

Con "confused deputy" si intende un problema di sicurezza in cui un'entità che non dispone dell'autorizzazione per eseguire una certa operazione può costringere un'entità con più privilegi a eseguire tale operazione. Nel AWS, l'impersonificazione tra servizi può portare alla confusione del problema del vicesceriffo. La rappresentazione tra servizi può verificarsi quando un servizio (il servizio chiamante) effettua una chiamata a un altro servizio (il servizio chiamato). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l'accesso alle risorse del tuo account. Per ulteriori informazioni, consulta Problema del "confused deputy".

Per limitare le autorizzazioni alla risorsa che Amazon RDS può fornire a un altro servizio, ti consigliamo di utilizzare le chiavi di contesto delle aws:SourceArn condizioni aws:SourceAccount globali in una politica di fiducia per il tuo ruolo di Enhanced Monitoring. Se si utilizzano entrambe le chiavi di contesto delle condizioni globali, devono utilizzare lo stesso ID account.

Il modo più efficace per proteggersi dal confuso problema del vicesceriffo consiste nell'utilizzare la chiave aws:SourceArn global condition context con ARN l'intera risorsa. Per AmazonRDS, imposta aws:SourceArn suarn:aws:rds:Region:my-account-id:db:dbname.

L'esempio seguente usa le chiavi di contesto delle condizioni globali aws:SourceArn e aws:SourceAccount in una policy di affidabilità per prevenire il problema del "confused deputy".

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "monitoring.rds.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringLike": {
          "aws:SourceArn": "arn:aws:rds:Region:my-account-id:db:dbname"
        },
        "StringEquals": {
          "aws:SourceAccount": "my-account-id"
        }
      }
    }
  ]
}