Amazon Relational Database Service
用户指南 (API Version 2014-10-31)
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

使用 IAM 策略条件实现精细访问控制

在 Amazon RDS 中授予权限时,可以指定确定权限策略如何生效的条件。

概述

在 Amazon RDS中,您可以在使用 IAM 策略授予权限时指定条件 (请参阅访问控制)。例如,您可以:

  • 规定用户必须指定特定数据库引擎才能创建数据库实例。

  • 允许用户修改使用特定标签名称和标签值进行标记的 RDS 资源。

可通过两种方式在 Amazon RDS 的 IAM 策略中指定条件:

指定条件:使用条件键

AWS 为支持通过 IAM 进行访问控制的所有 AWS 服务提供了一组预定义条件键 (AWS 范围条件键)。例如,您可以使用 aws:userid 条件键要求在请求执行操作时提供特定的 AWS ID。有关更多信息和 AWS 范围条件键的列表,请参阅 IAM 用户指南 中的可用的条件键

注意

条件键区分大小写。

此外,Amazon RDS 自身也提供条件键,您可以在 IAM 权限策略的 Condition 元素中指定这些条件键。下表显示了适用于 RDS 资源的 RDS 条件键。

RDS 条件键 说明 值类型
rds:DatabaseClass 数据库实例类的类型。 字符串
rds:DatabaseEngine 数据库引擎,如 MySQL。 字符串
rds:DatabaseName 数据库实例上的数据库的用户定义名称。 字符串
rds:MultiAz 一个指定数据库实例是否在多个可用区中运行的值。要指示数据库实例在使用多可用区,请指定 true 布尔值
rds:Piops 一个包含实例所支持的预配置 IOPS (PIOPS) 数的值。要指示未启用 PIOPS 的数据库实例,请指定 0。 整数
rds:StorageSize 存储卷大小 (GB)。 整数
rds:Vpc 一个指定数据库实例是否在 Amazon Virtual Private Cloud (Amazon VPC) 中运行的值。要指示数据库实例在 Amazon VPC 中运行,请指定 true 布尔值

例如,以下 Condition 元素使用了一个条件键并指定 MySQL 数据库引擎。您可以将此元素应用于授予 rds:CreateDBInstance 操作权限的 IAM 策略,从而只允许用户创建采用 MySQL 数据库引擎的数据库实例。有关使用此条件的 IAM 策略示例,请参阅 示例策略:使用条件键

"Condition":{"StringEquals":{"rds:DatabaseEngine": "mysql" } }

有关所有 RDS 条件键标识符及其适用的 RDS 操作和资源的列表,请参阅 Amazon RDS API 权限:操作、资源和条件参考

示例策略:使用条件键

以下示例演示如何在 Amazon RDS IAM 权限策略中使用条件键。

示例 1:授予权限以创建使用特定数据库引擎的非多可用区数据库实例

以下策略使用 RDS 条件键,并仅允许用户创建采用 MySQL 数据库引擎且不使用多可用区的数据库实例。Condition 元素指示数据库引擎须为 MySQL 的要求。

{ "Version":"2012-10-17", "Statement":[ { "Sid":"AllowMySQLCreate", "Effect":"Allow", "Action":"rds:CreateDBInstance", "Resource":"*", "Condition":{ "StringEquals":{ "rds:DatabaseEngine":"mysql" }, "Bool":{ "rds:MultiAz": false } } } ] }

示例 2:显式拒绝权限,以禁止创建特定数据库实例类的数据库实例和使用预配置 IOPS 的数据库实例

以下策略显式拒绝创建使用数据库实例类 r3.8xlargem4.10xlarge (最大、最贵的实例) 的数据库实例的权限。此策略还禁止用户创建使用预配置 IOPS (这会带来额外成本) 的数据库实例。

显式拒绝权限会取代授予的任何其他权限。这可确保用户身份不会无意中获得您绝不希望授予的权限。

{ "Version":"2012-10-17", "Statement":[ { "Sid":"DenyLargeCreate", "Effect":"Deny", "Action":"rds:CreateDBInstance", "Resource":"*", "Condition":{ "StringEquals":{ "rds:DatabaseClass":[ "db.r3.8xlarge", "db.m4.10xlarge" ] } } }, { "Sid":"DenyPIOPSCreate", "Effect":"Deny", "Action":"rds:CreateDBInstance", "Resource":"*", "Condition":{ "NumericNotEquals":{ "rds:Piops":"0" } } } ] }

指定条件:使用自定义标签

RDS 支持在 IAM 策略中使用自定义标签指定条件。

例如,如果您为数据库实例添加名为 environment 的标签,并指定 betastagingproduction 等标签值,则可创建策略以根据 environment 标签值限制特定用户对数据库实例的访问。

注意

自定义标签标识符区分大小写。

下表列出了可以在 Condition 元素中使用的 RDS 标签标识符。

RDS 标签标识符 适用对象
db-tag 数据库实例,包括只读副本
snapshot-tag 数据库快照
ri-tag 预留数据库实例
secgrp-tag 数据库安全组
og-tag 数据库选项组
pg-tag 数据库参数组
subgrp-tag 数据库子网组
es-tag 事件订阅
cluster-tag 数据库群集
cluster-pg-tag 数据库群集参数组
cluster-snapshot-tag 数据库群集快照

自定义标签条件的语法如下:

"Condition":{"StringEquals":{"rds:rds-tag-identifier/tag-name": ["value"]} }

例如,以下 Condition 元素适用于具有名为 environment 的标签且标签值为 production 的数据库实例。

"Condition":{"StringEquals":{"rds:db-tag/environment": ["production"]} }

有关创建标签的信息,请参阅标记 Amazon RDS 资源

重要

如果您使用标签管理对 RDS 资源的访问,建议您保护对 RDS 资源的标签的访问。您可通过为 AddTagsToResourceRemoveTagsFromResource 操作创建策略来管理对标签的访问。例如,以下策略不允许用户为所有资源添加或删除标签。之后,您可创建策略来允许特定用户添加或删除标签。

{ "Version":"2012-10-17", "Statement":[ { "Sid":"DenyTagUpdates", "Effect":"Deny", "Action":[ "rds:AddTagsToResource", "rds:RemoveTagsFromResource" ], "Resource":"*" } ] }

有关所有条件键值及其适用的 RDS 操作和资源的列表,请参阅 Amazon RDS API 权限:操作、资源和条件参考

示例策略:使用自定义标签

以下示例演示如何在 Amazon RDS IAM 权限策略中使用自定义标签。有关为 Amazon RDS 资源添加标签的更多信息,请参阅在 Amazon RDS 中使用 Amazon 资源名称 (ARN)

注意

所有示例都使用 us-west-2 区域和虚构的账户 ID。

示例 1:授予权限以允许对在特定标签中包含两个不同值的资源执行操作

以下策略所授予的权限允许对 stage 标签设置为 developmenttest 的实例执行 ModifyDBInstanceCreateDBSnapshot API 操作。

{ "Version":"2012-10-17", "Statement":[ { "Sid":"AllowDevTestCreate", "Effect":"Allow", "Action":[ "rds:ModifyDBInstance", "rds:CreateDBSnapshot" ], "Resource":"*", "Condition":{ "StringEquals":{ "rds:db-tag/stage":[ "development", "test" ] } } } ] }

示例 2:显式拒绝权限,以禁止创建使用指定数据库参数组的数据库实例

以下策略通过显式拒绝权限,禁止创建在数据库参数组中包含特定标签值的数据库实例。如果您需要在创建数据库实例时始终使用特定客户创建的数据库参数组,则可以应用此策略。请注意,使用 Deny 的策略最常用于限制由更宽泛的策略所授予的访问权限。

显式拒绝权限会取代授予的任何其他权限。这可确保用户身份不会无意中获得您绝不希望授予的权限。

{ "Version":"2012-10-17", "Statement":[ { "Sid":"DenyProductionCreate", "Effect":"Deny", "Action":"rds:CreateDBInstance", "Resource":"*", "Condition":{ "StringEquals":{ "rds:pg-tag/usage":"prod" } } } ] }

示例 3:授予权限以允许对实例名称以用户名为前缀的数据库实例执行操作

以下策略授予的权限允许对具有如下性质的数据库实例调用除 AddTagsToResourceRemoveTagsFromResource 以外的任何 API:该数据库实例的实例名称以用户名称作为前缀,并且具有值为 devostage 标签或没有名为 stage 的标签。

策略中的 Resource 行通过 Amazon 资源名称 (ARN) 标识资源。有关对 Amazon RDS 资源使用 ARN 的更多信息,请参阅在 Amazon RDS 中使用 Amazon 资源名称 (ARN)

{ "Version":"2012-10-17", "Statement":[ { "Sid":"AllowFullDevAccessNoTags", "Effect":"Allow", "NotAction":[ "rds:AddTagsToResource", "rds:RemoveTagsFromResource" ], "Resource":"arn:aws-cn:rds:*:123456789012:db:${aws:username}*", "Condition":{ "StringEqualsIfExists":{ "rds:db-tag/stage":"devo" } } } ] }

相关主题