本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 为 Performance Insights 配置访问策略
要访问 Performance Insights,您必须拥有 AWS Identity and Access Management (IAM)的相应权限。您可以使用以下选项来授予访问权限:
+ 将 `AmazonRDSPerformanceInsightsReadOnly` 托管式策略附加到权限集或角色。
+ 创建自定义 IAM policy 并将其附加到权限集或角色。
此外,如果您在启用 Performance Insights 时指定了客户托管密钥,请确保账户中的用户对 KMS 密钥具有 `kms:Decrypt` 和 `kms:GenerateDataKey` 权限。
**注意**
[在 encryption-at-rest AWS KMS 密钥和安全组管理方面,Amazon DocumentDB 利用了与 Amazon RDS 共享的操作技术。](https://aws.amazon.com/rds)
## 将 Amazon RDSPerformance InsightsReadOnly 政策附加到 IAM 委托人
`AmazonRDSPerformanceInsightsReadOnly`是一项 AWS托管策略,允许访问亚马逊 DocumentDB Performance Insights API 的所有只读操作。目前,此 API 中的所有操作均为只读。如果将 `AmazonRDSPerformanceInsightsReadOnly` 附加到权限集或角色,接收人可以使用 Performance Insights 以及其他控制台功能。
## 为 Performance Insights 创建自定义 IAM policy
对于没有 `AmazonRDSPerformanceInsightsReadOnly` 策略的用户,您可以通过创建或修改用户托管 IAM policy 来授予对 Performance Insights 的访问权限。当您将策略附加到一个权限集或角色时,接收人可以使用 Performance Insights。
**创建自定义策略**
1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。
1. 在导航窗格中,选择**策略**。
1. 选择 **Create policy (创建策略)**。
1. 在**创建策略**页面上,选择“JSON”选项卡。
1. 复制并粘贴以下文本,*us-east-1*替换为您 AWS 所在地区的*111122223333*名称和您的客户账号。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "rds:DescribeDBInstances",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "rds:DescribeDBClusters",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "pi:DescribeDimensionKeys",
"Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
},
{
"Effect": "Allow",
"Action": "pi:GetDimensionKeyDetails",
"Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
},
{
"Effect": "Allow",
"Action": "pi:GetResourceMetadata",
"Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
},
{
"Effect": "Allow",
"Action": "pi:GetResourceMetrics",
"Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
},
{
"Effect": "Allow",
"Action": "pi:ListAvailableResourceDimensions",
"Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
},
{
"Effect": "Allow",
"Action": "pi:ListAvailableResourceMetrics",
"Resource": "arn:aws:pi:us-east-1:111122223333:metrics/rds/*"
}
]
}
```
------
1. 选择**查看策略**。
1. 为策略提供名称并可以选择提供描述,然后选择**创建策略**。
现在,可以将策略附加到权限集或角色。以下过程假设您已经有一个可用于此目的的用户。
**将策略附加到用户**
1. 使用 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。
1. 在导航窗格中,选择 **Users**。
1. 从列表中选择现有用户。
**重要**
要使用 Performance Insights,请确保除了自定义策略之外,您还有权访问 Amazon DocumentDB。例如,**AmazonDocDBReadOnlyAccess**预定义策略提供对 Amazon Docdb 的只读访问权限。有关更多信息,请参阅使用策略[管理访问权限](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.IAM.html#security_iam_access-manage)。
1. 在 **Summary (摘要)** 页上,选择 **Add permissions (添加权限)**。
1. 选择**直接附加现有策略**。对于 **Search**,键入策略名称的前几个字符,如下所示。
![\[选择一个策略\]](http://docs.aws.amazon.com/zh_cn/documentdb/latest/developerguide/images/performance-insights/pi-add-permissions.png)
1. 选择策略,然后选择 **Next: Review**。
1. 选择 **Add permissions (添加权限)**。
## 为 Performan AWS KMS ce Insights 配置策略
Performan AWS KMS key ce Insights 使用加密敏感数据。当您通过 API 或控制台启用 Performance Insights 时,您可以选择以下选项:
+ 选择默认值 AWS 托管式密钥。
Amazon DocumentDB 使用您的新数据库实例。 AWS 托管式密钥 亚马逊 DocumentDB 会 AWS 托管式密钥 为您的 AWS 账户创建一个。您的亚马逊文档数据库 AWS 账户在每个 AWS 区域都有不同的 AWS 托管式密钥 账户。
+ 选择客户托管密钥。
如果您指定一个客户托管密钥,则您账户中调用 Performance Insights API 的用户需要在 KMS 密钥具有 `kms:Decrypt` 和 `kms:GenerateDataKey` 权限。您可以通过 IAM policy 配置这些权限。但是,我们建议您通过 KMS 密钥策略来管理这些权限。有关更多信息,请参阅[在 AWS KMS 中使用密钥策略](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)。
**Example**
以下示例密钥策略显示了如何将语句添加到 KMS 密钥策略。这些语句可以访问 Performance Insights。根据您的使用方式 AWS KMS,您可能需要更改一些限制。在将语句添加到您的策略之前,请删除所有注释。