AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

Amazon RDS 的操作、资源和条件键

Amazon RDS(服务前缀:rds)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

Amazon RDS 定义的操作

您可以在 Action 策略语句的 IAM 元素中指定以下操作。可以使用策略授予在 AWS 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

资源列指示每个操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定所有资源(“*”)。如果该列包含一种资源类型,则可以在含有该操作的语句中指定该类型的 ARN。必需资源在表中以星号 (*) 表示。如果在使用该操作的语句中指定资源级权限 ARN,则它必须属于该类型。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种类型而不使用其他类型。

有关下表中各列的详细信息,请参阅 操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
AddRoleToDBCluster 关联 Aurora 数据库集群中的 Identity and Access Management (IAM) 角色。 写入

cluster*

rds:DatabaseEngine

rds:DatabaseName

rds:Vpc

rds:cluster-tag

iam-role*

AddRoleToDBInstance 将 AWS Identity and Access Management (IAM) 角色与数据库实例相关联。 写入

db*

iam-role*

AddSourceIdentifierToSubscription 将源标识符添加到现有的 RDS 事件通知订阅中。 写入

es*

rds:es-tag

AddTagsToResource 将元数据标签添加到 Amazon RDS 资源中。 标记

db

rds:db-tag

rds:req-tag

es

rds:es-tag

rds:req-tag

og

rds:og-tag

rds:req-tag

pg

rds:pg-tag

rds:req-tag

ri

rds:ri-tag

rds:req-tag

secgrp

rds:secgrp-tag

rds:req-tag

snapshot

rds:snapshot-tag

rds:req-tag

subgrp

rds:subgrp-tag

rds:req-tag

ApplyPendingMaintenanceAction 将待处理的维护操作应用于资源。 写入

db*

rds:db-tag

AuthorizeDBSecurityGroupIngress 使用两种授权形式之一以允许传入到 DBSecurityGroup。 权限管理

secgrp*

rds:secgrp-tag

BacktrackDBCluster 将数据库集群回溯到特定时间,而不创建新的数据库集群。 写入

cluster*

CopyDBClusterParameterGroup 复制指定的数据库集群参数组。 写入

cluster-pg*

CopyDBClusterSnapshot 创建数据库集群的快照。 写入

cluster-snapshot*

rds:cluster-snapshot-tag

CopyDBParameterGroup 复制指定的数据库参数组。 写入

pg*

rds:pg-tag

CopyDBSnapshot 复制指定的数据库快照。 写入

snapshot*

rds:snapshot-tag

CopyOptionGroup 复制指定的选项组。 写入

og*

rds:og-tag

CreateDBCluster 创建新的 Amazon Aurora 数据库集群。 标记

cluster*

rds:DatabaseEngine

rds:DatabaseName

rds:Vpc

rds:req-tag

cluster-pg*

rds:cluster-pg-tag

og*

rds:og-tag

subgrp*

rds:subgrp-tag

CreateDBClusterEndpoint 创建新的自定义终端节点,并将其与 Amazon Aurora 数据库集群相关联。 写入

cluster*

rds:cluster-tag

cluster-endpoint*

rds:EndpointType

CreateDBClusterParameterGroup 创建新的数据库集群参数组。 标记

cluster-pg*

rds:req-tag

CreateDBClusterSnapshot 创建数据库集群的快照。 标记

cluster*

rds:cluster-tag

cluster-snapshot*

rds:req-tag

CreateDBInstance 创建新的数据库实例。 标记

db*

rds:DatabaseClass

rds:DatabaseEngine

rds:DatabaseName

rds:MultiAz

rds:Piops

rds:StorageSize

rds:StorageEncrypted

rds:Vpc

rds:req-tag

og*

rds:og-tag

pg*

rds:pg-tag

secgrp*

rds:secgrp-tag

subgrp*

rds:subgrp-tag

CreateDBInstanceReadReplica 创建作为源数据库实例的只读副本的数据库实例。 标记

db*

rds:Piops

rds:DatabaseClass

rds:req-tag

og*

rds:og-tag

subgrp*

rds:subgrp-tag

CreateDBParameterGroup 创建新的数据库参数组。 标记

pg*

rds:req-tag

CreateDBSecurityGroup 创建新的数据库安全组。数据库安全组控制对数据库实例的访问。 标记

secgrp*

rds:req-tag

CreateDBSnapshot 创建数据库快照。 标记

db*

rds:db-tag

snapshot*

rds:req-tag

CreateDBSubnetGroup 创建新的数据库子网组。 标记

subgrp*

rds:req-tag

CreateEventSubscription 创建 RDS 事件通知订阅。 标记

es*

rds:req-tag

CreateGlobalCluster 创建分布在多个区域中的 Aurora 全局数据库。 写入

cluster*

rds:cluster-tag

global-cluster*

CreateOptionGroup 创建新的选项组。 标记

og*

rds:req-tag

DeleteDBCluster DeleteDBCluster 操作将删除先前预置的数据库集群。 写入

cluster*

rds:cluster-tag

cluster-snapshot*

rds:cluster-snapshot-tag

DeleteDBClusterEndpoint 删除自定义终端节点,并将其从 Amazon Aurora 数据库集群中删除。 写入

cluster-endpoint*

rds:EndpointType

DeleteDBClusterParameterGroup 删除指定的数据库集群参数组。 写入

cluster-pg*

rds:cluster-pg-tag

DeleteDBClusterSnapshot 删除数据库集群快照。 写入

cluster-snapshot*

rds:cluster-snapshot-tag

DeleteDBInstance DeleteDBInstance 操作将删除先前预置的数据库实例。 写入

db*

rds:db-tag

DeleteDBInstanceAutomatedBackup 根据源实例的 DbiResourceId 值或可还原实例的资源 ID 删除自动备份。 写入
DeleteDBParameterGroup 删除指定的 DBParameterGroup。 写入

pg*

rds:pg-tag

DeleteDBSecurityGroup 删除数据库安全组。 写入

secgrp*

rds:secgrp-tag

DeleteDBSnapshot 删除数据库快照。 写入

snapshot*

rds:snapshot-tag

DeleteDBSubnetGroup 删除数据库子网组。 写入

subgrp*

rds:subgrp-tag

DeleteEventSubscription 删除 RDS 事件通知订阅。 写入

es*

rds:es-tag

DeleteGlobalCluster 删除全局数据库集群。 写入

global-cluster*

DeleteOptionGroup 删除现有的选项组。 写入

og*

rds:og-tag

DescribeAccountAttributes 列出客户账户的所有属性。 List
DescribeCertificates 列出 Amazon RDS 为该 AWS 账户提供的 CA 证书集。 List
DescribeDBClusterBacktracks 返回有关数据库集群回溯的信息。 List

cluster*

rds:cluster-tag

DescribeDBClusterEndpoints 返回有关 Amazon Aurora 数据库集群的终端节点的信息。 List
DescribeDBClusterParameterGroups 返回 DBClusterParameterGroup 描述列表。 List

cluster-pg*

rds:cluster-pg-tag

DescribeDBClusterParameters 返回特定数据库集群参数组的详细参数列表。 List

cluster-pg*

rds:cluster-pg-tag

DescribeDBClusterSnapshotAttributes 返回手动数据库集群快照的数据库集群快照属性名称和值的列表。 List

cluster-snapshot*

rds:cluster-snapshot-tag

DescribeDBClusterSnapshots 返回有关数据库集群快照的信息。 Read
DescribeDBClusters 返回有关预置的 Aurora 数据库集群的信息。 List

cluster*

rds:cluster-tag

DescribeDBEngineVersions 返回可用数据库引擎的列表。 List

pg*

rds:pg-tag

DescribeDBInstanceAutomatedBackups 返回当前实例和删除的实例的自动备份列表。 List
DescribeDBInstances 返回有关预置的 RDS 实例的信息。 List
DescribeDBLogFiles 返回数据库实例的数据库日志文件列表。 List

db*

rds:db-tag

DescribeDBParameterGroups 返回 DBParameterGroup 描述列表。 List

pg*

rds:pg-tag

DescribeDBParameters 返回特定数据库参数组的详细参数列表。 List

pg*

rds:pg-tag

DescribeDBSecurityGroups 返回 DBSecurityGroup 描述列表。 List

secgrp*

rds:secgrp-tag

DescribeDBSnapshotAttributes 返回手动数据库快照的数据库快照属性名称和值列表。 List

snapshot*

rds:snapshot-tag

DescribeDBSnapshots 返回有关数据库快照的信息。 List

db*

rds:db-tag

snapshot*

rds:snapshot-tag

DescribeDBSubnetGroups 返回 DBSubnetGroup 描述的列表。 List

subgrp*

rds:subgrp-tag

DescribeEngineDefaultClusterParameters 返回集群数据库引擎的默认引擎和系统参数信息。 List
DescribeEngineDefaultParameters 返回指定数据库引擎的默认引擎和系统参数信息。 List
DescribeEventCategories 显示所有事件源类型的类别列表;或如果指定,则显示指定源类型的类别列表。 List
DescribeEventSubscriptions 列出客户账户的所有订阅描述。 List

es*

rds:es-tag

DescribeEvents 返回过去 14 天与数据库实例、数据库安全组、数据库快照和数据库参数组相关的事件。 List

es*

rds:es-tag

DescribeGlobalClusters 返回有关 Aurora 全局数据库集群的信息。 List
DescribeOptionGroupOptions 描述所有可用的选项。 List

og*

rds:og-tag

DescribeOptionGroups 描述可用的选项组。 List

og*

rds:og-tag

DescribeOrderableDBInstanceOptions 返回指定引擎的可订购数据库实例选项的列表。 List
DescribePendingMaintenanceActions 返回至少具有一个待处理的维护操作的资源(例如,数据库实例)的列表。 List

db*

rds:DatabaseClass

rds:DatabaseEngine

rds:DatabaseName

rds:MultiAz

rds:Piops

rds:StorageSize

rds:Vpc

rds:db-tag

DescribeReservedDBInstances 返回有关该账户的预留数据库实例的信息,或返回有关指定的预留数据库实例的信息。 List

ri*

rds:DatabaseClass

rds:MultiAz

rds:ri-tag

DescribeReservedDBInstancesOfferings 列出可用的预留数据库实例产品。 List

db*

rds:db-tag

DescribeSourceRegions 返回当前 AWS 区域可以从中创建只读副本或复制数据库快照的源 AWS 区域列表。 List
DescribeValidDBInstanceModifications 列出可以对数据库实例进行的修改 List

db*

rds:db-tag

DownloadCompleteDBLogFile 下载指定的数据库日志文件的内容。 Read
DownloadDBLogFilePortion 下载指定日志文件的全部或部分内容,大小最多为 1 MB。 Read

db*

rds:db-tag

FailoverDBCluster 强制数据库集群故障转移。 写入

cluster*

rds:cluster-tag

ListTagsForResource 列出 Amazon RDS 资源上的所有标签。 Read

db

rds:db-tag

es

rds:es-tag

og

rds:og-tag

pg

rds:pg-tag

ri

rds:ri-tag

secgrp

rds:secgrp-tag

snapshot

rds:snapshot-tag

subgrp

rds:subgrp-tag

ModifyCurrentDBClusterCapacity 修改 Amazon Aurora Severless 数据库集群的当前集群容量。 写入

cluster*

rds:cluster-tag

ModifyDBCluster 修改 Amazon Aurora 数据库集群的设置。 写入

cluster*

rds:Vpc

rds:cluster-tag

cluster-pg*

rds:cluster-pg-tag

og*

rds:og-tag

ModifyDBClusterEndpoint 修改 Amazon Aurora 数据库集群中的终端节点的属性。 写入

cluster-endpoint*

rds:EndpointType

ModifyDBClusterParameterGroup 修改数据库集群参数组的参数。 写入

cluster-pg*

rds:cluster-pg-tag

ModifyDBClusterSnapshotAttribute 向手动数据库集群快照添加属性和值,或者从中删除属性和值。 写入

cluster-snapshot*

rds:cluster-snapshot-tag

ModifyDBInstance 修改数据库实例的设置。 写入

db*

rds:DatabaseClass

rds:MultiAz

rds:Piops

rds:StorageSize

rds:Vpc

rds:db-tag

og*

rds:og-tag

pg*

rds:pg-tag

secgrp*

rds:secgrp-tag

ModifyDBParameterGroup 修改数据库参数组的参数。 写入

pg*

rds:pg-tag

ModifyDBSnapshot 使用新的引擎版本更新手动数据库快照(可能加密,也可能未加密)。 写入

snapshot*

rds:snapshot-tag

ModifyDBSnapshotAttribute 在手动数据库快照中添加或删除属性和值。 写入

snapshot*

rds:snapshot-tag

ModifyDBSubnetGroup 修改现有的数据库子网组。 写入

subgrp*

rds:subgrp-tag

ModifyEventSubscription 修改现有的 RDS 事件通知订阅。 写入

es*

rds:es-tag

ModifyGlobalCluster 修改 Amazon Aurora 全局集群的设置。 写入

global-cluster*

ModifyOptionGroup 修改现有的选项组。 写入

og*

rds:og-tag

PromoteReadReplica 将只读副本数据库实例提升为单独的数据库实例。 写入

db*

rds:db-tag

PromoteReadReplicaDBCluster 将只读副本数据库集群提升为单独的数据库集群。 写入

cluster*

rds:cluster-tag

PurchaseReservedDBInstancesOffering 购买预留的数据库实例产品。 写入
RebootDBInstance 重新引导数据库实例会重新启动数据库引擎服务。 写入

db*

rds:db-tag

RemoveFromGlobalCluster 将 Aurora 辅助集群从 Aurora 全局数据库集群中分离。 写入

cluster*

rds:cluster-tag

global-cluster*

RemoveRoleFromDBCluster 将 AWS Identity and Access Management (IAM) 角色与 Amazon Aurora 数据库集群取消关联。 写入

cluster*

rds:cluster-tag

iam-role*

RemoveRoleFromDBInstance 将 AWS Identity and Access Management (IAM) 角色与数据库实例取消关联。 写入

db*

iam-role*

RemoveSourceIdentifierFromSubscription 从现有 RDS 事件通知订阅中删除源标识符。 写入

es*

rds:es-tag

RemoveTagsFromResource 从 Amazon RDS 资源中删除元数据标签。 标记

db

rds:db-tag

rds:req-tag

es

rds:es-tag

rds:req-tag

og

rds:og-tag

rds:req-tag

pg

rds:pg-tag

rds:req-tag

ri

rds:ri-tag

rds:req-tag

secgrp

rds:secgrp-tag

rds:req-tag

snapshot

rds:snapshot-tag

rds:req-tag

subgrp

rds:subgrp-tag

rds:req-tag

ResetDBClusterParameterGroup 将数据库集群参数组的参数修改为默认值。 写入

cluster-pg*

rds:cluster-pg-tag

ResetDBParameterGroup 将数据库参数组的参数修改为引擎/系统默认值。 写入

pg*

rds:pg-tag

RestoreDBClusterFromS3 通过 Amazon S3 存储桶中存储的数据创建 Amazon Aurora 数据库集群。 写入

cluster*

rds:DatabaseEngine

rds:DatabaseName

rds:Vpc

rds:req-tag

RestoreDBClusterFromSnapshot 从数据库集群快照中创建新的数据库集群。 写入

cluster*

rds:DatabaseEngine

rds:DatabaseName

rds:Vpc

rds:req-tag

cluster-snapshot*

rds:cluster-snapshot-tag

og*

rds:og-tag

RestoreDBClusterToPointInTime 将数据库集群还原到任意时间点。 写入

cluster*

rds:Vpc

rds:req-tag

og*

rds:og-tag

subgrp*

rds:subgrp-tag

RestoreDBInstanceFromDBSnapshot 从数据库快照中创建新的数据库实例。 写入

db*

rds:DatabaseClass

rds:DatabaseEngine

rds:DatabaseName

rds:MultiAz

rds:Piops

rds:Vpc

rds:req-tag

og*

rds:og-tag

snapshot*

rds:snapshot-tag

subgrp*

rds:subgrp-tag

RestoreDBInstanceFromS3 从 Amazon S3 存储桶中创建新的数据库实例。 写入

db*

rds:DatabaseClass

rds:DatabaseEngine

rds:DatabaseName

rds:MultiAz

rds:Piops

rds:Vpc

rds:req-tag

RestoreDBInstanceToPointInTime 将数据库实例还原到任意时间点。 写入

db*

rds:DatabaseClass

rds:DatabaseEngine

rds:DatabaseName

rds:MultiAz

rds:Piops

rds:Vpc

rds:req-tag

og*

rds:og-tag

snapshot*

rds:snapshot-tag

subgrp*

rds:subgrp-tag

RevokeDBSecurityGroupIngress 从以前授权的 IP 范围的 DBSecurityGroup 或者 EC2 或 VPC 安全组中撤销传入。 写入

secgrp*

rds:secgrp-tag

StartDBCluster 启动数据库集群。 写入

cluster*

rds:cluster-tag

StartDBInstance 启动数据库实例。 写入

db*

rds:DatabaseClass

rds:DatabaseEngine

rds:DatabaseName

rds:MultiAz

rds:Piops

rds:StorageSize

rds:Vpc

rds:db-tag

StopDBCluster 停止数据库集群。 写入

cluster*

rds:cluster-tag

StopDBInstance 停止数据库实例。 写入

db*

rds:DatabaseClass

rds:DatabaseEngine

rds:DatabaseName

rds:MultiAz

rds:Piops

rds:StorageSize

rds:Vpc

rds:db-tag

Amazon RDS 定义的资源

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在表的最后一列。有关下表中各列的详细信息,请参阅 资源类型表

资源类型 ARN 条件键
cluster arn:${Partition}:rds:${Region}:${Account}:cluster:${DbClusterInstanceName}

rds:DatabaseEngine

rds:DatabaseName

rds:Vpc

rds:cluster-tag

cluster-endpoint arn:${Partition}:rds:${Region}:${Account}:cluster-endpoint:${DbClusterEndpoint}

rds:EndpointType

cluster-pg arn:${Partition}:rds:${Region}:${Account}:cluster-pg:${ClusterParameterGroupName}

rds:cluster-pg-tag

cluster-snapshot arn:${Partition}:rds:${Region}:${Account}:cluster-snapshot:${ClusterSnapshotName}

rds:cluster-snapshot-tag

db arn:${Partition}:rds:${Region}:${Account}:db:${DbInstanceName}

rds:DatabaseClass

rds:DatabaseEngine

rds:DatabaseName

rds:MultiAz

rds:Piops

rds:StorageSize

rds:Vpc

rds:db-tag

es arn:${Partition}:rds:${Region}:${Account}:es:${SubscriptionName}

rds:es-tag

global-cluster arn:${Partition}:rds:${Account}:global-cluster:${GlobalCluster}
iam-role arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}
og arn:${Partition}:rds:${Region}:${Account}:og:${OptionGroupName}

rds:og-tag

pg arn:${Partition}:rds:${Region}:${Account}:pg:${ParameterGroupName}

rds:pg-tag

ri arn:${Partition}:rds:${Region}:${Account}:ri:${ReservedDbInstanceName}

rds:DatabaseClass

rds:MultiAz

rds:ri-tag

secgrp arn:${Partition}:rds:${Region}:${Account}:secgrp:${SecurityGroupName}

rds:secgrp-tag

snapshot arn:${Partition}:rds:${Region}:${Account}:snapshot:${SnapshotName}

rds:snapshot-tag

subgrp arn:${Partition}:rds:${Region}:${Account}:subgrp:${SubnetGroupName}

rds:subgrp-tag

Amazon RDS 的条件键

Amazon RDS 定义以下可以在 IAM 策略的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅 条件键表

要查看适用于所有服务的全局条件键,请参阅 IAM 策略参考 中的可用的全局条件键

条件键 描述 类型
Piops 一个包含实例所支持的预置的 IOPS (PIOPS) 数的值。 数值
rds:DatabaseClass 数据库实例类的类型。 字符串
rds:DatabaseEngine 数据库引擎,如 MySQL。 字符串
rds:DatabaseName 数据库实例上的数据库的用户定义名称。 字符串
rds:EndpointType 终端节点的类型。它是以下内容之一:READER、WRITER、CUSTOM。 字符串
rds:MultiAz 一个指定数据库实例是否在多个可用区中运行的值。要指示数据库实例在使用多可用区,请指定 true。 数值
rds:Piops 一个包含实例所支持的预置的 IOPS (PIOPS) 数的值。要指示未启用 PIOPS 的数据库实例,请指定 0。 数值
rds:StorageEncrypted 一个值,该值指定是否应对数据库实例存储进行加密。要执行存储加密,请指定 true。 布尔值
rds:StorageSize 存储卷大小 (GB)。 数值
rds:Vpc 指定数据库实例是否在 Amazon Virtual Private Cloud (Amazon VPC) 中运行的值。要指示数据库实例在 Amazon VPC 中运行,请指定 true。 布尔值
rds:cluster-pg-tag 附加到数据库集群参数组的标签。 字符串
rds:cluster-snapshot-tag 附加到数据库集群快照的标签。 字符串
rds:cluster-tag 附加到数据库集群的标签。 字符串
rds:db-tag 附加到数据库实例的标签。 字符串
rds:es-tag 附加到事件订阅的标签。 字符串
rds:og-tag 附加到数据库选项组的标签。 字符串
rds:pg-tag 附加到数据库参数组的标签。 字符串
rds:req-tag 限制可用于标记资源的标签键和值集。 字符串
rds:ri-tag 附加到保留的数据库实例的标签。 字符串
rds:secgrp-tag 附加到数据库安全组的标签。 字符串
rds:snapshot-tag 附加到数据库快照的标签。 字符串
rds:subgrp-tag 附加到数据库子网组的标签。 字符串