Amazon RDS 基于身份的策略示例
默认情况下,IAM 用户和角色没有创建或修改 Amazon RDS 资源的权限。它们还无法使用 Amazon Web Services Management Console、Amazon CLI 或 Amazon API 执行任务。IAM 管理员必须创建 IAM 策略,以便为用户和角色授予权限以对所需的指定资源执行特定的 API 操作。然后,管理员必须将这些策略附加到需要这些权限的 IAM 用户或组。
要了解如何使用这些示例 JSON 策略文档创建 IAM 基于身份的策略,请参阅 IAM 用户指南中的在 JSON 选项卡上创建策略。
主题
策略最佳实践
基于身份的策略非常强大。它们确定某个人是否可以创建、访问或删除您账户中的 Amazon RDS 资源。这些操作可能会使 Amazon 账户产生成本。创建或编辑基于身份的策略时,请遵循以下准则和建议:
-
开始使用Amazon托管式策略 – 要快速开始使用 Amazon RDS,请使用Amazon托管式策略,为您的员工提供他们所需的权限。这些策略已在您的账户中提供,并由 Amazon 维护和更新。有关更多信息,请参阅 IAM 用户指南中的开始使用 Amazon 托管式策略中的权限。
-
授予最低权限 – 创建自定义策略时,仅授予执行任务所需的许可。最开始只授予最低权限,然后根据需要授予其它权限。这样做比起一开始就授予过于宽松的权限而后再尝试收紧权限来说更为安全。有关更多信息,请参阅 IAM 用户指南 中的授予最低权限。
-
为敏感操作启用 MFA – 为增强安全性,要求 IAM 用户使用多重身份验证 (MFA) 来访问敏感资源或 API 操作。要了解更多信息,请参阅《IAM 用户指南》中的在 Amazon 中使用多重身份验证 (MFA)。
-
使用策略条件来增强安全性 – 在切实可行的范围内,定义基于身份的策略在哪些情况下允许访问资源。例如,您可编写条件来指定请求必须来自允许的 IP 地址范围。您也可以编写条件,以便仅允许指定日期或时间范围内的请求,或者要求使用 SSL 或 MFA。有关更多信息,请参阅 IAM 用户指南中的 IAM JSON 策略元素:条件。
使用 Amazon RDS 控制台
要访问 Amazon RDS 控制台,您必须拥有一组最低的权限。这些权限必须允许您列出和查看有关您的Amazon账户中的 Amazon RDS 资源的详细信息。您可以创建比最低所需权限更严格的基于身份的策略。但是,如果您这样做,控制台将无法按预期用于具有该策略的实体(IAM 用户或角色)。
要确保这些实体仍可使用 Amazon RDS 控制台,也可向实体附加以下Amazon托管策略。有关更多信息,请参阅 IAM 用户指南 中的为用户添加权限。
AmazonRDSReadOnlyAccess
对于只需要调用 Amazon CLI 或 Amazon API 的用户,无需为其提供最低控制台权限。相反,只允许访问与您尝试执行的 API 操作相匹配的操作。
允许用户查看他们自己的权限
该示例说明了您如何创建策略,以允许 IAM 用户查看附加到其用户身份的内联和托管式策略。此策略包括在控制台上完成此操作或者以编程方式使用 Amazon CLI 或 Amazon API 所需的权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": [ "arn:aws:iam::*:user/${aws:username}" ] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
允许用户在 Amazon 账户中创建数据库实例
以下是允许 ID 为 123456789012
的用户为您的 Amazon 账户创建数据库实例的示例策略。该策略要求新数据库实例的名称以 test
开头。新数据库实例还必须使用 MySQL 数据库引擎和 db.t2.micro
数据库实例类。此外,新数据库实例必须使用以 default
开头的选项组和数据库参数组,并且它必须使用 default
子网组。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateDBInstanceOnly", "Effect": "Allow", "Action": [ "rds:CreateDBInstance" ], "Resource": [ "arn:aws:rds:*:123456789012:db:test*", "arn:aws:rds:*:123456789012:og:default*", "arn:aws:rds:*:123456789012:pg:default*", "arn:aws:rds:*:123456789012:subgrp:default" ], "Condition": { "StringEquals": { "rds:DatabaseEngine": "mysql", "rds:DatabaseClass": "db.t2.micro" } } } ] }
该策略包含一个为 IAM 用户指定以下权限的语句:
该策略允许 IAM 用户使用 CreateDBInstance API 操作创建数据库实例(这还适用于 create-db-instance Amazon CLI 命令和 Amazon Web Services Management Console)。
Resource
元素指定用户可以执行操作的资源。使用 Amazon Resource Name (ARN) 指定资源。此 ARN 包括资源所属的服务的名称 (rds
)、Amazon 区域 (在该示例中,*
指示任何区域)、用户账号 (在该示例中,123456789012
为用户 ID) 以及资源的类型。有关创建 ARN 的更多信息,请参阅在 Amazon RDS 中使用 Amazon Resource Name (ARN)。该示例中的
Resource
元素为用户指定有关资源的以下策略限制:新数据库实例的数据库实例标识符必须以
test
开头 (例如,testCustomerData1
、test-region2-data
)。新数据库实例的选项组必须以
default
开头。新数据库实例的数据库参数组必须以
default
开头。新数据库实例的子网组必须是
default
子网组。
Condition
元素指定数据库引擎必须是 MySQL 并且数据库实例类必须是db.t2.micro
。Condition
元素指定策略生效的条件。您可以通过使用Condition
元素添加其他权限或限制。有关指定条件的更多信息,请参阅条件键。此示例指定rds:DatabaseEngine
和rds:DatabaseClass
条件。有关rds:DatabaseEngine
的有效条件值的信息,请参阅 CreateDBInstance 中的Engine
参数下的列表。有关rds:DatabaseClass
的有效条件值的信息,请参阅 数据库实例类支持的数据库引擎 。
该策略不指定 Principal
元素,因为在基于身份的策略中,您未指定获取权限的委托人。附加了策略的用户是隐式委托人。向 IAM 角色附加权限策略后,该角色的信任策略中标识的委托人将获取权限。
有关 Amazon RDS 操作的列表,请参阅服务授权参考中的 Amazon RDS 定义的操作。
使用控制台所需的权限
对于要使用控制台的用户,该用户必须拥有一组最小权限。这些权限允许用户描述其Amazon账户的 Amazon RDS 资源并提供其他相关信息(包括 Amazon EC2 安全和网络信息)。
如果创建比必需的最低权限更为严格的 IAM 策略,对于附加了该 IAM 策略的用户,控制台无法按预期正常运行。要确保这些用户仍可使用控制台,也可向用户附加 AmazonRDSReadOnlyAccess
托管策略,如使用策略管理访问中所述。
对于只需要调用 Amazon CLI 或 Amazon RDS API 的用户,无需为其提供最低限度的控制台权限。
以下策略授予对Amazon根账户的所有 Amazon RDS 资源的完全访问权:
AmazonRDSFullAccess
允许用户对任何 RDS 资源执行任何 Describe 操作
以下权限策略对用户授予权限以运行以 Describe
开头的所有操作。这些操作显示有关 RDS 资源 (如数据库实例) 的信息。Resource
元素中的通配符 (*) 表示可对账户拥有的所有 Amazon RDS 资源执行操作。
{ "Version":"2012-10-17", "Statement":[ { "Sid":"AllowRDSDescribe", "Effect":"Allow", "Action":"rds:Describe*", "Resource":"*" } ] }
允许用户创建使用指定数据库参数组和子网组的数据库实例
以下权限策略授予权限以允许用户仅创建必须使用 mydbpg
数据库参数组和 mydbsubnetgroup
数据库子网组的数据库实例。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "rds:CreateDBInstance", "Resource": [ "arn:aws:rds:*:*:pg:mydbpg", "arn:aws:rds:*:*:subgrp:mydbsubnetgroup" ] } ] }
授予权限以允许对在特定标签中包含两个不同值的资源执行操作
您可以在基于身份的策略中使用条件,以便基于标签控制对 Amazon RDS 资源的访问。以下策略所授予的权限允许对 ModifyDBInstance
标签设置为 CreateDBSnapshot
或 stage
的实例执行 development
和 test
API 操作。
{ "Version":"2012-10-17", "Statement":[ { "Sid":"AllowDevTestCreate", "Effect":"Allow", "Action":[ "rds:ModifyDBInstance", "rds:CreateDBSnapshot" ], "Resource":"*", "Condition":{ "StringEquals":{ "rds:db-tag/stage":[ "development", "test" ] } } } ] }
防止用户删除数据库实例
以下权限策略授予权限以防止用户删除特定数据库实例。例如,您可能想禁止任何非管理员用户删除您的生产数据库实例。
{ "Version":"2012-10-17", "Statement":[ { "Sid":"DenyDelete1", "Effect":"Deny", "Action":"rds:DeleteDBInstance", "Resource":"arn:aws:rds:us-west-2:123456789012:db:my-mysql-instance" } ] }
拒绝对资源的所有访问
您可以明确拒绝对资源的访问。拒绝策略优先于允许策略。以下策略明确拒绝用户管理资源的能力:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "rds:*", "Resource": "arn:aws:rds:us-east-1:123456789012:db:mydb" } ] }
示例策略:使用条件键
以下示例说明了如何在 Amazon RDS IAM 权限策略中使用条件键。
示例 1:授予权限以创建使用特定数据库引擎的非多可用区数据库实例
以下策略使用 RDS 条件键,并仅允许用户创建采用 MySQL 数据库引擎且不使用多可用区的数据库实例。Condition
元素指示数据库引擎须为 MySQL 的要求。
{ "Version":"2012-10-17", "Statement":[ { "Sid":"AllowMySQLCreate", "Effect":"Allow", "Action":"rds:CreateDBInstance", "Resource":"*", "Condition":{ "StringEquals":{ "rds:DatabaseEngine":"mysql" }, "Bool":{ "rds:MultiAz": false } } } ] }
示例 2:明确拒绝权限,以禁止创建特定数据库实例类的数据库实例和使用预置 IOPS 的数据库实例
以下策略显式拒绝创建使用数据库实例类 r3.8xlarge
和 m4.10xlarge
(最大、最贵的数据库实例类)的数据库实例的权限。此策略还禁止用户创建使用预置的 IOPS (这会带来额外成本) 的数据库实例。
显式拒绝权限会取代授予的任何其他权限。这可确保用户身份不会无意中获得您绝不希望授予的权限。
{ "Version":"2012-10-17", "Statement":[ { "Sid":"DenyLargeCreate", "Effect":"Deny", "Action":"rds:CreateDBInstance", "Resource":"*", "Condition":{ "StringEquals":{ "rds:DatabaseClass":[ "db.r3.8xlarge", "db.m4.10xlarge" ] } } }, { "Sid":"DenyPIOPSCreate", "Effect":"Deny", "Action":"rds:CreateDBInstance", "Resource":"*", "Condition":{ "NumericNotEquals":{ "rds:Piops":"0" } } } ] }
示例 3:限制可用于对资源进行标记的一组标签键和值的值
下面的策略使用 RDS 条件键,并允许将键为 stage
的标签添加到值为 test
、qa
和 production
的资源。
{ { "Version" : "2012-10-17", "Statement" : [{ "Effect" : "Allow", "Action" : [ "rds:AddTagsToResource", "rds:RemoveTagsFromResource" ], "Resource" : "*", "Condition" : { "streq" : { "rds:req-tag/stage" : [ "test", "qa", "production" ] } } } ] } }
指定条件:使用自定义标签
Amazon RDS 支持在 IAM 策略中使用自定义标签指定条件。
例如,假定您将一个名为 environment
的标签添加到具有 beta
、staging
、production
等值的数据库实例。如果您这样做,则可创建一个策略来根据 environment
标签值以仅允许某些用户使用数据库实例。
自定义标签标识符区分大小写。
下表列出了可以在 Condition
元素中使用的 RDS 标签标识符。
RDS 标签标识符 | 适用于 |
---|---|
db-tag |
数据库实例,包括只读副本 |
snapshot-tag |
数据库快照 |
ri-tag |
预留数据库实例 |
secgrp-tag |
数据库安全组 |
og-tag |
数据库选项组 |
pg-tag |
数据库参数组 |
subgrp-tag |
数据库子网组 |
es-tag |
事件订阅 |
cluster-tag |
数据库集群 |
cluster-pg-tag |
数据库集群参数组 |
cluster-snapshot-tag |
数据库集群快照 |
自定义标签条件的语法如下:
"Condition":{"StringEquals":{"rds:
rds-tag-identifier
/tag-name
":
["value
"]} }
例如,以下 Condition
元素适用于具有名为 environment
的标签且标签值为 production
的数据库实例。
"Condition":{"StringEquals":{"rds:db-tag/
environment
": ["production
"]} }
有关创建标签的信息,请参阅为 Amazon RDS 资源添加标签。
如果您使用标签管理对 RDS 资源的访问,建议您保护对 RDS 资源的标签的访问。您可通过为 AddTagsToResource
和 RemoveTagsFromResource
操作创建策略来管理对标签的访问。例如,以下策略不允许用户为所有资源添加或删除标签。之后,您可创建策略来允许特定用户添加或删除标签。
{ "Version":"2012-10-17", "Statement":[ { "Sid":"DenyTagUpdates", "Effect":"Deny", "Action":[ "rds:AddTagsToResource", "rds:RemoveTagsFromResource" ], "Resource":"*" } ] }
有关 Amazon RDS 操作的列表,请参阅服务授权参考中的 Amazon RDS 定义的操作。
示例策略:使用自定义标签
以下示例说明了如何在 Amazon RDS IAM 权限策略中使用自定义标签。有关向 Amazon RDS 资源添加标签的更多信息,请参阅在 Amazon RDS 中使用 Amazon Resource Name (ARN)。
所有示例都使用 us-west-2 区域和虚构的账户 ID。
示例 1:授予权限以允许对在特定标签中包含两个不同值的资源执行操作
以下策略所授予的权限允许对 ModifyDBInstance
标签设置为 CreateDBSnapshot
或 stage
的实例执行 development
和 test
API 操作。
{ "Version":"2012-10-17", "Statement":[ { "Sid":"AllowDevTestCreate", "Effect":"Allow", "Action":[ "rds:ModifyDBInstance", "rds:CreateDBSnapshot" ], "Resource":"*", "Condition":{ "StringEquals":{ "rds:db-tag/stage":[ "development", "test" ] } } } ] }
示例 2:明确拒绝权限,以禁止创建使用指定数据库参数组的数据库实例
以下策略通过显式拒绝权限,禁止创建在数据库参数组中包含特定标签值的数据库实例。如果您需要在创建数据库实例时始终使用特定客户创建的数据库参数组,则可以应用此策略。使用 Deny
的策略最常用于限制由更宽泛的策略所授予的访问权限。
显式拒绝权限会取代授予的任何其他权限。这可确保用户身份不会无意中获得您绝不希望授予的权限。
{ "Version":"2012-10-17", "Statement":[ { "Sid":"DenyProductionCreate", "Effect":"Deny", "Action":"rds:CreateDBInstance", "Resource":"*", "Condition":{ "StringEquals":{ "rds:pg-tag/usage":"prod" } } } ] }
示例 3:授予权限以允许对实例名称以用户名为前缀的数据库实例执行操作
以下策略授予的权限允许对具有如下性质的数据库实例调用除 AddTagsToResource
和 RemoveTagsFromResource
以外的任何 API:该数据库实例的实例名称以用户名称作为前缀,并且具有值为 stage
的 devo
标签或没有名为 stage
的标签。
策略中的 Resource
行通过 Amazon Resource Name (ARN) 标识资源。有关对 Amazon RDS 资源使用 ARN 的更多信息,请参阅在 Amazon RDS 中使用 Amazon Resource Name (ARN)。
{ "Version":"2012-10-17", "Statement":[ { "Sid":"AllowFullDevAccessNoTags", "Effect":"Allow", "NotAction":[ "rds:AddTagsToResource", "rds:RemoveTagsFromResource" ], "Resource":"arn:aws:rds:*:123456789012:db:${aws:username}*", "Condition":{ "StringEqualsIfExists":{ "rds:db-tag/stage":"devo" } } } ] }