翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Performance Insights 用のアクセスポリシーの設定
<a name="performance-insights-policies"></a>

Performance Insights にアクセスするには、 AWS Identity and Access Management (IAM) から適切なアクセス許可を得る必要があります。アクセス権の付与については、次のオプションがあります。
+ `AmazonRDSPerformanceInsightsReadOnly` マネージドポリシーをアクセス許可セットまたはロールにアタッチします。
+ カスタム IAM ポリシーを作成し、アクセス許可セットまたはロールにアタッチします。

また、Performance Insights を有効にしたときにカスタマーマネージドキーを指定した場合は、アカウント内のユーザーが KMS キーに対する `kms:Decrypt` および `kms:GenerateDataKey` アクセス許可を持っていることを確認します。

**注記**  
 AWS KMS キーによるencryption-at-restとセキュリティグループ管理のために、Amazon DocumentDB は [Amazon RDS](https://aws.amazon.com/rds) と共有されている運用テクノロジーを活用します。

## AmazonRDSPerformanceInsightsReadOnly ポリシーの IAM プリンシパルへのアタッチ
<a name="USER_PerfInsights.access-control.IAM-principal"></a>

`AmazonRDSPerformanceInsightsReadOnly` は、Amazon DocumentDB Performance Insights API のすべての読み取り専用オペレーションへのアクセスを許可する AWSマネージドポリシーです。現在、この API のすべてのオペレーションは読み取り専用です。`AmazonRDSPerformanceInsightsReadOnly` をアクセス許可セットまたはロールにアタッチすると、受取人は他のコンソール機能とともに Performance Insights を使用できます。

## Performance Insights 用のカスタム IAM ポリシーの作成
<a name="USER_PerfInsights.access-control.custom-policy"></a>

`AmazonRDSPerformanceInsightsReadOnly` ポリシーを持たないユーザーの場合は、ユーザーマネージド IAM ポリシーを作成または変更して、Performance Insights に対するアクセス権限を付与できます。ポリシーをアクセス許可セットまたはロールにアタッチすると、受取人は Performance Insights を使用できます。

**カスタムポリシーを作成するには**

1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。

1. ナビゲーションペインで、**ポリシー** を選択してください。

1. **[Create policy]** (ポリシーの作成) を選択します。

1. [**ポリシーの作成**] ページで、[JSON] タブを選択します。

1. 次のテキストをコピーして貼り付け、*us-east-1* を AWS リージョンの名前に置き換え、*111122223333* をカスタマーアカウント番号に置き換えます。

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "rds:DescribeDBInstances",
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": "rds:DescribeDBClusters",
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": "pi:DescribeDimensionKeys",
               "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
           },
           {
               "Effect": "Allow",
               "Action": "pi:GetDimensionKeyDetails",
               "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
           },
           {
               "Effect": "Allow",
               "Action": "pi:GetResourceMetadata",
               "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
           },
           {
               "Effect": "Allow",
               "Action": "pi:GetResourceMetrics",
               "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
           },
           {
               "Effect": "Allow",
               "Action": "pi:ListAvailableResourceDimensions",
               "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
           },
           {
               "Effect": "Allow",
               "Action": "pi:ListAvailableResourceMetrics",
               "Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
           }
       ]
   }
   ```

------

1. **[ポリシーの確認]** を選択します。

1. ポリシーの名前と (必要に応じて) 説明を入力し、[**ポリシーの作成**] を選択します。

これで、そのポリシーをアクセス許可セットまたはロールにアタッチできます。次の手順では、この目的で使用できるユーザーが既に存在することを前提としています。

**ポリシーをユーザーにアタッチするには**

1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。

1. ナビゲーションペインで [**ユーザー**] を選択します。

1. リストから存在するユーザーを 1 人選択します。
**重要**  
Performance Insights を使用するには、カスタムポリシーのほかに別のポリシーで、Amazon DocumentDB へのアクセスを許可されている必要があります。たとえば、事前定義された **AmazonDocDBReadOnlyAccess** ポリシーは Amazon DocDB への読み取り専用アクセスを許可します。詳細については、「[ポリシーを使用したアクセスの管理](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.IAM.html#security_iam_access-manage)」を参照してください。

1. [**Summary (概要)**] ページで、[**Add permissions (許可の追加)**] を選択します。

1. [**既存のポリシーを直接アタッチする**] を選択します。**検索**を行う場合は、次のようにポリシー名の初期の数文字を入力します。  
![\[ポリシーの選択\]](http://docs.aws.amazon.com/ja_jp/documentdb/latest/developerguide/images/performance-insights/pi-add-permissions.png)

1. ポリシーを選択し、[**次へ: レビュー**] を選択します。

1. [**アクセス権限の追加**] を選択します。

## Performance Insights の AWS KMS ポリシーの設定
<a name="USER_PerfInsights.access-control.cmk-policy"></a>

Performance Insights は、 を使用して機密データ AWS KMS key を暗号化します。API またはコンソールを通じて Performance Insights を有効にする場合は、次のオプションを使用できます。
+ デフォルトを選択します AWS マネージドキー。

  Amazon DocumentDB は、新しい DB インスタンス AWS マネージドキー に を使用します。Amazon DocumentDB は、 AWS アカウントの AWS マネージドキー を作成します。 AWS アカウントは、 AWS リージョンごとに AWS マネージドキー Amazon DocumentDB で異なります。
+ カスタマーマネージドキーを選択します。

  カスタマーマネージドキーを指定する場合、Performance Insights API を呼び出すアカウント内のユーザーは、KMS キーに対する `kms:Decrypt` および `kms:GenerateDataKey` アクセス許可が必要です。IAM ポリシーを使用して、これらのアクセス許可を設定できます。ただし、KMS キーポリシーを使用してこれらのアクセス許可を管理することをお勧めします。詳細については、[AWS KMS でのキーポリシーの使用](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)を参照してください。

**Example**  
次のサンプルキーポリシーでは、KMS キーポリシーにステートメントを追加する方法が示されています。これらのステートメントは、Performance Insights へのアクセスを許可します。の使用方法によっては AWS KMS、いくつかの制限を変更することもできます。ポリシーにステートメントを追加する前に、すべてのコメントを削除してください。