本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定並啟用增強型監控
若要使用增強型監控,您必須建立IAM角色,然後啟用增強型監控。
建立增強型監控IAM的角色
增強型監控需要許可,才能代表您將作業系統指標資訊傳送至 CloudWatch Logs。您可以使用 AWS Identity and Access Management (IAM) 角色授予增強型監控許可。您可以在啟用增強型監控時建立此角色,也可以事先建立。
啟用增強型監控時建立IAM角色
當您在RDS主控台中啟用增強型監控時,Amazon RDS可以為您建立所需的IAM角色。角色已命名 rds-monitoring-role。RDS 會將此角色用於指定的資料庫執行個體、僅供讀取複本或多可用區域資料庫叢集。
在啟用增強型監控時建立IAM角色
-
請遵循 開啟和關閉增強型監控 中的步驟。
-
在您選擇角色的步驟中,將 「Monitoring Role (監控角色)」設定為「Default (預設) 」。
在啟用增強型監控之前建立IAM角色
您可以在啟用增強型監控之前建立必要的角色。啟用增強型監控時,請指定新角色的名稱。如果您使用 AWS CLI 或 RDS 啟用增強型監控,則必須建立此必要角色API。
必須將 PassRole 許可授予會啟用增強型監控的使用者。如需詳細資訊,請參閱 IAM 使用者指南 中的授予使用者將角色傳遞給 AWS 服務的權限中的範例 2。
建立 Amazon RDS增強型監控IAM的角色
-
在 開啟IAM主控台
https://console.aws.amazon.com 。 -
在導覽窗格中,選擇 Roles (角色)。
-
選擇 Create Role (建立角色)。
-
選擇AWS 服務索引標籤,然後從服務RDS清單中選擇。
-
選擇 RDS - 增強型監控 ,然後選擇下一個 。
-
確保許可政策顯示 A mazonRDSEnhancedMonitoringRole,然後選擇下一個 。
-
針對 Role name (角色名稱),輸入您的角色名稱。例如,輸入
emaccess。您角色的受信任實體是 AWS 服務 https://monitoring.rds.amazonaws.com。
-
選擇建立角色。
開啟和關閉增強型監控
您可以使用 AWS Management Console AWS CLI、 或 RDS 管理增強型監控API。您可以在每個資料庫執行個體 上設定指標集合的不同精細度。
您可以在建立資料庫執行個體、多可用區域資料庫叢集、或僅供讀取複本時,或在您修改資料庫執行個體或多可用區域資料庫叢集時,開啟增強型監控。如果您修改資料庫執行個體以開啟增強型監控,則不需要重新啟動資料庫執行個體,變更才會生效。
您可以在資料庫頁面中執行下列其中一個動作時,在RDS主控台中開啟增強型監控:
-
建立資料庫執行個體或多可用區域資料庫叢集:選擇 Create database (建立資料庫)。
-
建立僅供讀取複本 – 選擇 Actions (動作),然後選 Create read replica (建立僅供讀取複本)。
-
修改資料庫執行個體或多可用區域資料庫叢集 – 選擇修改 。
在RDS主控台中開啟或關閉增強型監控
-
捲動至 Additional configuration (其他組態)。
-
在監控 中,為您的資料庫執行個體 或僅供讀取複本選擇啟用增強型監控。取消選取選項,以在。
-
將監控角色屬性設定為您建立IAM的角色,以允許 Amazon 為您與 Amazon CloudWatch Logs RDS通訊,或選擇預設,為您RDS建立名為 的角色
rds-monitoring-role。 -
將 Granularity 屬性設定為針對資料庫執行個體、或僅供讀取複本收集指標時的點之間的間隔,以秒為單位。Granularity (精細程度) 屬性可設定為以下其中一個值:
1、5、10、15、30或60。RDS 主控台重新整理速度最快的是每 5 秒一次。如果您在RDS主控台中將精細度設定為 1 秒,您仍然只會每 5 秒看到更新後的指標。您可以使用 CloudWatch Logs 擷取 1 秒的指標更新。
若要使用 開啟增強型監控 AWS CLI,請在下列命令中,將 --monitoring-interval 選項設定為 以外的值,0並將 --monitoring-role-arn選項設定為您在 中建立的角色建立增強型監控IAM的角色。
-
create-db-cluster (多可用區域資料庫叢集)
-
modify-db-cluster (多可用區域資料庫叢集)
--monitoring-interval 為資料庫執行個體收集增強型監控指標點之間的間隔 (秒)。選項的有效值為 0、1、5、10、15、30 和 60。
若要使用 關閉增強型監控 AWS CLI,請在這些命令0中將 --monitoring-interval選項設定為 。
範例
下方範例會為資料庫執行個體開啟增強型監控:
用於 Linux, macOS,或 Unix:
aws rds modify-db-instance \ --db-instance-identifiermydbinstance\ --monitoring-interval30\ --monitoring-role-arnarn:aws:iam::123456789012:role/emaccess
用於 Windows:
aws rds modify-db-instance ^ --db-instance-identifiermydbinstance^ --monitoring-interval30^ --monitoring-role-arnarn:aws:iam::123456789012:role/emaccess
範例
下方範例會為多可用區域資料庫叢集開啟增強型監控:
用於 Linux, macOS,或 Unix:
aws rds modify-db-cluster \ --db-cluster-identifiermydbcluster\ --monitoring-interval30\ --monitoring-role-arnarn:aws:iam::123456789012:role/emaccess
用於 Windows:
aws rds modify-db-cluster ^ --db-cluster-identifiermydbcluster^ --monitoring-interval30^ --monitoring-role-arnarn:aws:iam::123456789012:role/emaccess
若要使用 RDS 開啟增強型監控API,請將 MonitoringInterval 參數設定為 以外的值,0並將 MonitoringRoleArn 參數設定為您在 中建立的角色建立增強型監控IAM的角色。在下列動作中設定這些參數:
-
CreateDBCluster (多可用區域資料庫叢集)
-
ModifyDBCluster (多可用區域資料庫叢集)
MonitoringInterval 參數會指定資料庫執行個體收集增強型監控指標點之間的間隔 (秒)。有效值為:0、1、5、10、15、30 和 60。
若要使用 關閉增強型監控API,請將 RDS MonitoringInterval設定為 0。
防範混淆代理人問題
混淆代理人問題屬於安全性議題,其中沒有執行動作許可的實體可以強制具有更多許可的實體執行該動作。在 中 AWS,跨服務模擬可能會導致混淆代理問題。在某個服務 (呼叫服務) 呼叫另一個服務 (被呼叫服務) 時,可能會發生跨服務模擬。可以操縱呼叫服務來使用其許可,以其不應有存取許可的方式對其他客戶的資源採取動作。為了預防這種情況, AWS 提供的工具可協助您保護所有服務的資料,而這些服務主體已獲得您帳戶中資源的存取權。如需詳細資訊,請參閱混淆代理人問題。
若要將許可限制為 Amazon RDS可以提供其他服務的資源,建議您在增強型監控角色的信任政策中使用 aws:SourceArn和 aws:SourceAccount全域條件內容金鑰。如果您同時使用兩個全域條件內容索引鍵,兩者必須使用相同的帳戶 ID。
防止混淆代理問題的最有效方法是使用包含完整資源ARN的aws:SourceArn全域條件內容索引鍵。對於 Amazon RDS,將 aws:SourceArn設定為 arn:aws:rds:。Region:my-account-id:db:dbname
下列範例展示如何在信任政策中使用 aws:SourceArn 和 aws:SourceAccount 全域條件內容索引鍵,來預防混淆代理人問題。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "monitoring.rds.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringLike": { "aws:SourceArn": "arn:aws:rds:Region:my-account-id:db:dbname" }, "StringEquals": { "aws:SourceAccount": "my-account-id" } } } ] }
