Amazon 的操作、资源和条件密钥 RDS - 服务授权参考
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon 的操作、资源和条件密钥 RDS

AmazonRDS(服务前缀:rds)提供以下特定于服务的资源、操作和条件上下文密钥,供在IAM权限策略中使用。

参考:

Amazon 定义的操作 RDS

您可以在 Action 策略语句的 IAM 元素中指定以下操作。可以使用策略授予在 Amazon中执行操作的权限。当您在策略中使用操作时,通常会允许或拒绝访问具有相同名称的API操作或CLI命令。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。如果该列包含资源类型,则可以在带有该操作ARN的语句中指定该类型的资源类型。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您使用IAM策略中的Resource元素限制资源访问权限,则必须为每种必需的资源类型包含ARN或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。

操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。

注意

资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。

有关下表中各列的详细信息,请参阅操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
AddRoleToDBCluster 授予从 Aurora 数据库集群关联身份和访问管理 (IAM) 角色的权限 写入

cluster*

iam:PassRole

AddRoleToDBInstance 授予将 Id Amazon entity and Access Managemen IAM t () 角色与数据库实例关联的权限 写入

db*

iam:PassRole

AddSourceIdentifierToSubscription 授予向现有RDS事件通知订阅添加源标识符的权限 写入

es*

AddTagsToResource 授予向 Amazon RDS 资源添加元数据标签的权限 标记

cev

cluster

cluster-endpoint

cluster-pg

cluster-snapshot

db

deployment

es

integration

og

pg

proxy

proxy-endpoint

ri

secgrp

shardgrp

snapshot

snapshot-tenant-database

subgrp

target-group

tenant-database

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

ApplyPendingMaintenanceAction 授予权限以将待处理的维护操作应用于资源 写入

cluster

db

AuthorizeDBSecurityGroupIngress DBSecurityGroup使用两种授权形式之一授予允许进入的权限 权限管理

secgrp*

BacktrackDBCluster 授予权限以将数据库集群回溯到特定时间,而不创建新的数据库集群 Write

cluster*

CancelExportTask 授予权限以取消正在进行的导出任务 写入
CopyCustomDBEngineVersion[仅权限] 授予权限以复制自定义引擎版本 写入

cev*

CopyDBClusterParameterGroup 授予权限以复制指定数据库集群参数组 Write

cluster-pg*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

CopyDBClusterSnapshot 授予权限以创建数据库集群快照 Write

cluster-snapshot*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

CopyDBParameterGroup 授予权限以复制指定数据库参数组 Write

pg*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

CopyDBSnapshot 授予权限以复制指定数据库快照 Write

snapshot*

rds:AddTagsToResource

rds:CopyCustomDBEngineVersion

aws:RequestTag/${TagKey}

aws:TagKeys

rds:CopyOptionGroup

CopyOptionGroup 授予权限以复制指定选项组 写入

og*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

CreateBlueGreenDeployment 授予权限以为给定源集群或实例创建蓝绿部署 写入

deployment*

rds:AddTagsToResource

rds:CreateDBCluster

rds:CreateDBClusterEndpoint

rds:CreateDBInstance

rds:CreateDBInstanceReadReplica

cluster

cluster-pg

db

pg

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

rds:cluster-tag/${TagKey}

rds:cluster-pg-tag/${TagKey}

rds:db-tag/${TagKey}

rds:pg-tag/${TagKey}

rds:req-tag/${TagKey}

rds:DatabaseEngine

rds:DatabaseName

rds:StorageEncrypted

rds:DatabaseClass

rds:StorageSize

rds:MultiAz

rds:Piops

rds:Vpc

CreateCustomDBEngineVersion 授予创建自定义引擎版本的权限 写入

cev*

iam:CreateServiceLinkedRole

mediaimport:CreateDatabaseBinarySnapshot

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDBCluster 授予权限以创建新的数据库集群 写入

cluster*

iam:PassRole

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

rds:AddTagsToResource

rds:CreateDBInstance

secretsmanager:CreateSecret

secretsmanager:TagResource

cluster-pg*

og*

subgrp*

db

global-cluster

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:DatabaseEngine

rds:DatabaseName

rds:StorageEncrypted

rds:DatabaseClass

rds:StorageSize

rds:Piops

rds:ManageMasterUserPassword

CreateDBClusterEndpoint 授予权限以创建新的自定义端点,并将其与 Amazon Aurora DB 集群或 Amazon DocumentDB 集群关联 写入

cluster*

rds:AddTagsToResource

cluster-endpoint*

rds:EndpointType

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDBClusterParameterGroup 授予权限以创建新的数据库集群参数组 Write

cluster-pg*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBClusterSnapshot 授予权限以创建数据库集群快照 Write

cluster*

rds:AddTagsToResource

cluster-snapshot*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBInstance 授予权限以创建新的数据库实例 Write

db*

iam:PassRole

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

rds:AddTagsToResource

rds:CreateTenantDatabase

secretsmanager:CreateSecret

secretsmanager:TagResource

cluster

og

pg

secgrp

subgrp

rds:BackupTarget

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:ManageMasterUserPassword

CreateDBInstanceReadReplica 授予权限以创建作为源数据库实例的只读副本的数据库实例 Write

cluster*

iam:PassRole

rds:AddTagsToResource

db*

og*

pg*

subgrp*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBParameterGroup 授予权限以创建新的数据库参数组 Write

pg*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBProxy 授予权限以创建数据库代理 Write

aws:RequestTag/${TagKey}

aws:TagKeys

iam:PassRole

CreateDBProxyEndpoint 授予权限以创建数据库代理终端节点 Write

proxy*

proxy-endpoint*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDBSecurityGroup 授予权限以创建新的数据库安全组。数据库安全组控制对数据库实例的访问权限 写入

secgrp*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBShardGroup 授予权限以创建新的 Aurora Limitless Database DB 分片组 写入

cluster*

rds:AddTagsToResource

shardgrp*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDBSnapshot 授予创建 DBSnapshot 写入

db*

rds:AddTagsToResource

snapshot*

snapshot-tenant-database*

rds:BackupTarget

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBSubnetGroup 授予权限以创建新的数据库子网组 写入

subgrp*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateEventSubscription 授予创建RDS事件通知订阅的权限 写入

es*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateGlobalCluster 授予权限以创建分布在多个区域中的 Aurora 全局数据库或 DocumentDB 全局数据库 写入

cluster*

global-cluster*

CreateIntegration 授予使用 Redshift 创建 Aurora 零ETL集成的权限 写入

cluster*

kms:CreateGrant

kms:DescribeKey

rds:AddTagsToResource

integration*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateOptionGroup 授予权限以创建新的选项组 写入

og*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateTenantDatabase 授予创建新租户数据库的权限 写入

db*

rds:AddTagsToResource

tenant-database*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:TenantDatabaseName

CrossRegionCommunication[仅权限] 在执行跨区域操作(如跨区域快照复制或跨区域只读副本创建)时,授予权限以访问远程区域中的资源 写入
DeleteBlueGreenDeployment 授予权限以删除蓝绿部署 写入

deployment*

rds:DeleteDBCluster

rds:DeleteDBClusterEndpoint

rds:DeleteDBInstance

rds:PromoteReadReplica

rds:PromoteReadReplicaDBCluster

aws:ResourceTag/${TagKey}

DeleteCustomDBEngineVersion 授予删除现有自定义引擎版本的权限 写入

cev*

DeleteDBCluster 授予权限以删除以前预置的数据库集群 写入

cluster*

rds:AddTagsToResource

rds:CreateDBClusterSnapshot

rds:DeleteDBInstance

cluster-snapshot*

DeleteDBClusterAutomatedBackup 根据源集群的 DbClusterResourceId 值或可恢复集群的资源 ID 授予删除群集自动备份的权限 写入

cluster-auto-backup*

DeleteDBClusterEndpoint 授予权限以删除自定义端点,并将其从 Amazon Aurora DB 集群或 Amazon DocumentDB 集群中删除 写入

cluster-endpoint*

DeleteDBClusterParameterGroup 授予权限以删除指定数据库集群参数组 Write

cluster-pg*

DeleteDBClusterSnapshot 授予权限以删除数据库集群快照 Write

cluster-snapshot*

DeleteDBInstance 授予权限以删除以前预配置的数据库实例 写入

db*

rds:AddTagsToResource

rds:CreateDBSnapshot

rds:DeleteTenantDatabase

DeleteDBInstanceAutomatedBackup 根据源实例的 DbiResourceId 值或可恢复实例的资源 ID 授予删除自动备份的权限 写入

auto-backup*

DeleteDBParameterGroup 授予删除指定内容的权限 DBParameterGroup 写入

pg*

DeleteDBProxy 授予权限以删除数据库代理 Write

proxy*

DeleteDBProxyEndpoint 授予权限以删除数据库代理终端节点 Write

proxy-endpoint*

DeleteDBSecurityGroup 授予权限以删除数据库安全组 写入

secgrp*

DeleteDBShardGroup 授予权限以删除 Aurora Limitless Database DB 分片组 写入

shardgrp*

DeleteDBSnapshot 授予删除权限 DBSnapshot 写入

snapshot*

DeleteDBSubnetGroup 授予权限以删除数据库子网组 写入

subgrp*

DeleteEventSubscription 授予删除RDS事件通知订阅的权限 写入

es*

DeleteGlobalCluster 授予权限以删除全局数据库集群 写入

global-cluster*

DeleteIntegration 授予删除与 Redshift 的 Aurora 零ETL集成的权限 写入

integration*

DeleteOptionGroup 授予权限以删除现有选项组 写入

og*

DeleteTenantDatabase 授予删除租户数据库的权限 写入

db*

rds:AddTagsToResource

rds:CreateDBSnapshot

tenant-database*

DeregisterDBProxyTargets 授予权限以从数据库代理目标组中删除目标 Write

cluster*

db*

proxy*

target-group*

DescribeAccountAttributes 授予权限以列出客户账户的所有属性 列表
DescribeBlueGreenDeployments 授予权限以描述蓝绿部署 列表

deployment

DescribeCertificates 授予列出 Amazon 为此提供的 CA 证书集RDS的权限 Amazon Web Services 账户 列表
DescribeDBClusterAutomatedBackups 授予权限以返回当前实例和已删除实例的集群自动备份列表 列表

cluster-auto-backup*

cluster

DescribeDBClusterBacktracks 授予权限以返回有关数据库集群回溯的信息 List

cluster*

DescribeDBClusterEndpoints 授予权限以返回有关 Amazon Aurora 数据库集群的终端节点的信息 列表

cluster

cluster-endpoint

DescribeDBClusterParameterGroups 授予返回DBClusterParameterGroup描述列表的权限 列表

cluster-pg*

DescribeDBClusterParameters 授予权限以返回特定数据库集群参数组的详细参数列表 List

cluster-pg*

DescribeDBClusterSnapshotAttributes 授予权限以返回手动数据库集群快照的数据库集群快照属性名称和值的列表 List

cluster-snapshot*

DescribeDBClusterSnapshots 授予权限以返回有关数据库集群快照的信息 列表

cluster

cluster-snapshot

DescribeDBClusters 授予权限以返回有关预置 Aurora DB 集群或 DocumentDB 集群的信息 列表

cluster*

DescribeDBEngineVersions 授予权限以返回可用数据库引擎的列表 List
DescribeDBInstanceAutomatedBackups 授予权限以返回当前实例和删除的实例的自动备份列表 列表

auto-backup

db

DescribeDBInstances 授予返回有关预配置RDS实例信息的权限 列表

db*

DescribeDBLogFiles 授予权限以返回数据库实例的数据库日志文件列表 列表

db*

DescribeDBParameterGroups 授予返回DBParameterGroup描述列表的权限 列表

pg*

DescribeDBParameters 授予权限以返回特定数据库参数组的详细参数列表 List

pg*

DescribeDBProxies 授予权限以查看代理 List

proxy*

DescribeDBProxyEndpoints 授予权限以查看代理终端节点 List

proxy*

proxy-endpoint*

DescribeDBProxyTargetGroups 授予权限以查看数据库代理目标组详细信息 List

proxy*

DescribeDBProxyTargets 授予权限以查看数据库代理目标详细信息 列表

proxy*

target-group*

DescribeDBRecommendations 授予列出建议详细信息的权限 列表
DescribeDBSecurityGroups 授予返回DBSecurityGroup描述列表的权限 列表

secgrp*

DescribeDBShardGroups 授予权限以返回有关该账户的所有 Aurora Limitless Database DB 分片组的信息。您可以按分片组进行筛选 列表

shardgrp*

DescribeDBSnapshotAttributes 授予权限以返回手动数据库快照的数据库快照属性名称和值的列表 列表

snapshot*

DescribeDBSnapshotTenantDatabases 授予在数据库快照中返回有关租户数据库的信息的权限。您可以按区域或快照进行筛选 列表

snapshot-tenant-database*

db

snapshot

DescribeDBSnapshots 授予权限以返回有关数据库快照的信息 列表

db

snapshot

DescribeDBSubnetGroups 授予返回DBSubnetGroup描述列表的权限 列表

subgrp*

DescribeEngineDefaultClusterParameters 授予权限以返回集群数据库引擎的默认引擎和系统参数信息 List
DescribeEngineDefaultParameters 授予权限以返回指定数据库引擎的默认引擎和系统参数信息 List
DescribeEventCategories 授予权限以显示所有事件源类型的类别列表;或如果指定,则显示指定源类型的类别列表 List
DescribeEventSubscriptions 授予权限以列出客户账户的所有订阅描述 List

es*

DescribeEvents 授予权限以返回过去 14 天与数据库实例、数据库安全组、数据库快照和数据库参数组相关的事件 List
DescribeExportTasks 授予权限以返回有关导出任务的信息 列表

cluster

cluster-snapshot

snapshot

DescribeGlobalClusters 授予权限以返回有关 Aurora 全局数据库集群或 DocumentDB 全局数据库集群的信息 列表

global-cluster*

DescribeIntegrations 授予描述与 Redshift 的 Aurora 零ETL集成的权限 列表

integration*

aws:ResourceTag/${TagKey}

DescribeOptionGroupOptions 授予权限以描述所有可用选项 List
DescribeOptionGroups 授予权限以描述可用选项组 List

og*

DescribeOrderableDBInstanceOptions 授予权限以返回指定引擎的可订购数据库实例选项的列表 List
DescribePendingMaintenanceActions 授予权限以返回至少具有一个待处理的维护操作的资源(例如,数据库实例)的列表 列表

cluster

db

DescribeRecommendationGroups[仅权限] 授予权限以返回有关建议组的信息 读取
DescribeRecommendations[仅权限] 授予权限以返回有关建议的信息 读取
DescribeReservedDBInstances 授予权限以返回有关该账户的预留数据库实例的信息,或返回有关指定的预留数据库实例的信息 List

ri*

DescribeReservedDBInstancesOfferings 授予权限以获取可用的预留数据库实例产品 列表
DescribeSourceRegions 授予返回源列表的权限,当前用户 Amazon Web Services 区域 可以在 Amazon Web Services 区域 其中创建只读副本或从中复制数据库快照 列表
DescribeTenantDatabases 授予返回有关预置的租户数据库的信息的权限。您可以按区域或快照进行筛选 列表

tenant-database*

db

DescribeValidDBInstanceModifications 授予权限以列出可以对数据库实例进行的修改 列表

db*

DisableHttpEndpoint 授予禁用数据库集群 http 端点的权限 写入

cluster*

DownloadCompleteDBLogFile 授予权限以下载指定的日志文件 读取

db*

DownloadDBLogFilePortion 授予权限以下载指定日志文件的全部或部分内容,大小最多为 1 MB 读取

db*

EnableHttpEndpoint 授予启用数据库集群 http 端点的权限 写入

cluster*

FailoverDBCluster 授予权限以强制执行数据库集群故障转移 Write

cluster*

FailoverGlobalCluster 授予权限以将故障转移到全局集群 写入

cluster*

global-cluster*

ListTagsForResource 授予列出 Amazon RDS 资源上所有标签的权限 读取

cev

cluster

cluster-endpoint

cluster-pg

cluster-snapshot

db

es

integration

og

pg

proxy

proxy-endpoint

ri

secgrp

shardgrp

snapshot

snapshot-tenant-database

subgrp

target-group

tenant-database

ModifyActivityStream 授予权限以修改数据库活动流 写入

db*

ModifyCertificates 授予修改新数据库实例的 Amazon 系统默认(安全套接字Layer/Transport Layer Security (SSL/TLS)证书RDS的权限 写入
ModifyCurrentDBClusterCapacity 授予权限以修改 Amazon Aurora Serverless DB 的当前集群容量 写入

cluster*

ModifyCustomDBEngineVersion 授予修改现有自定义引擎版本的权限 写入

cev*

ModifyDBCluster 授予权限以修改 Amazon Aurora DB 集群或 Amazon DocumentDB 集群的设置 写入

cluster*

iam:PassRole

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

rds:ModifyDBInstance

secretsmanager:CreateSecret

secretsmanager:RotateSecret

secretsmanager:TagResource

cluster-pg

og

pg

rds:DatabaseClass

rds:StorageSize

rds:Piops

rds:ManageMasterUserPassword

ModifyDBClusterEndpoint 授予权限以修改 Amazon Aurora DB 集群或 Amazon DocumentDB 集群中端点的属性 写入

cluster-endpoint*

ModifyDBClusterParameterGroup 授予权限以修改数据库集群参数组的参数 Write

cluster-pg*

ModifyDBClusterSnapshotAttribute 授予权限以向手动数据库集群快照添加属性和值,或者从中删除属性和值 Write

cluster-snapshot*

ModifyDBInstance 授予权限以修改数据库实例的设置 Write

db*

iam:PassRole

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

rds:AddTagsToResource

rds:CreateTenantDatabase

secretsmanager:CreateSecret

secretsmanager:RotateSecret

secretsmanager:TagResource

og

pg

secgrp

subgrp

rds:ManageMasterUserPassword

ModifyDBParameterGroup 授予权限以修改数据库参数组的参数 Write

pg*

ModifyDBProxy 授予权限以修改数据库代理 Write

proxy*

iam:PassRole

ModifyDBProxyEndpoint 授予权限以修改数据库代理终端节点 Write

proxy-endpoint*

ModifyDBProxyTargetGroup 授予权限以修改数据库代理的目标组 写入

target-group*

ModifyDBRecommendation 授予权限以修改建议 写入
ModifyDBShardGroup 授予权限以修改 Aurora Limitless Database DB 分片组的属性 写入

shardgrp*

ModifyDBSnapshot 授予权限以使用新的引擎版本更新手动数据库快照(可能加密,也可能未加密) Write

snapshot*

og

ModifyDBSnapshotAttribute 授予权限以向手动数据库快照添加属性和值,或者从中删除属性和值 Write

snapshot*

ModifyDBSubnetGroup 授予权限以修改现有数据库子网组 写入

subgrp*

ModifyEventSubscription 授予修改现有RDS事件通知订阅的权限 写入

es*

ModifyGlobalCluster 授予权限以修改 Amazon Aurora 全局集群或 Amazon DocumentDB 全局集群的设置 写入

global-cluster*

ModifyIntegration 授予修改与 Redshift 的 Aurora 零ETL集成的权限 写入

integration*

ModifyOptionGroup 授予权限以修改现有的选项组 写入

og*

iam:PassRole

ModifyRecommendation[仅权限] 授予权限以修改建议 写入
ModifyTenantDatabase 授予修改租户数据库的权限 写入

db*

tenant-database*

rds:TenantDatabaseName

PromoteReadReplica 授予权限以将只读副本数据库实例提升为单独的数据库实例 Write

db*

PromoteReadReplicaDBCluster 授予权限以将只读副本数据库集群提升为独立数据库集群 Write

cluster*

PurchaseReservedDBInstancesOffering 授予权限以购买预留数据库实例产品 写入

ri*

aws:RequestTag/${TagKey}

aws:TagKeys

RebootDBCluster 授予权限以重启以前预置的数据库集群 写入

cluster*

rds:RebootDBInstance

RebootDBInstance 授予权限以重新启动数据库引擎服务 写入

db*

RebootDBShardGroup 授予权限以重启 Aurora Limitless Database DB 分片组 写入

shardgrp*

RegisterDBProxyTargets 授予权限以向数据库代理目标组添加目标 写入

target-group*

RemoveFromGlobalCluster 授予权限以将 Aurora 辅助集群从 Aurora 全局数据库集群或 DocumentDB 全局集群中分离 写入

cluster*

global-cluster*

RemoveRoleFromDBCluster 授予解除 Amazon 身份和访问管理 (IAM) 角色与 Amazon Aurora 数据库集群的关联的权限 写入

cluster*

iam:PassRole

RemoveRoleFromDBInstance 授予取消 Amazon 身份和访问管理 (IAM) 角色与数据库实例关联的权限 写入

db*

iam:PassRole

RemoveSourceIdentifierFromSubscription 授予从现有RDS事件通知订阅中删除源标识符的权限 写入

es*

RemoveTagsFromResource 授予从 Amazon RDS 资源中移除元数据标签的权限 标记

cev

cluster

cluster-endpoint

cluster-pg

cluster-snapshot

db

deployment

es

integration

og

pg

proxy

proxy-endpoint

ri

secgrp

shardgrp

snapshot

snapshot-tenant-database

subgrp

target-group

tenant-database

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

ResetDBClusterParameterGroup 授予权限以将数据库集群参数组的参数修改为默认值 Write

cluster-pg*

ResetDBParameterGroup 授予权限以将数据库参数组的参数修改为引擎/系统默认值 Write

pg*

RestoreDBClusterFromS3 授予权限以通过 Amazon S3 存储桶中存储的数据创建 Amazon Aurora 数据库集群 Write

cluster*

iam:PassRole

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

rds:AddTagsToResource

secretsmanager:CreateSecret

secretsmanager:TagResource

cluster-pg*

og*

subgrp*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:DatabaseEngine

rds:DatabaseName

rds:StorageEncrypted

rds:ManageMasterUserPassword

RestoreDBClusterFromSnapshot 授予权限以从数据库集群快照创建新的数据库集群 Write

cluster*

iam:PassRole

rds:AddTagsToResource

rds:CreateDBInstance

cluster-pg*

og*

subgrp*

cluster-snapshot

snapshot

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:DatabaseClass

rds:StorageSize

rds:Piops

RestoreDBClusterToPointInTime 授予权限以将数据库集群还原到任意时间点 Write

cluster*

iam:PassRole

rds:AddTagsToResource

rds:CreateDBInstance

cluster-pg*

og*

subgrp*

cluster-auto-backup

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:DatabaseClass

rds:StorageSize

rds:Piops

RestoreDBInstanceFromDBSnapshot 授予权限以从数据库快照创建新的数据库实例 Write

db*

iam:PassRole

rds:AddTagsToResource

rds:CreateTenantDatabase

og*

pg*

subgrp*

cluster-snapshot

snapshot

rds:BackupTarget

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

RestoreDBInstanceFromS3 授予权限以从 Amazon S3 存储桶创建新数据库实例 Write

db*

iam:PassRole

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

rds:AddTagsToResource

secretsmanager:CreateSecret

secretsmanager:TagResource

og*

pg*

subgrp*

secgrp

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:ManageMasterUserPassword

RestoreDBInstanceToPointInTime 授予权限以将数据库实例还原到任意时间点 写入

db*

iam:PassRole

rds:AddTagsToResource

rds:CreateTenantDatabase

og*

pg*

subgrp*

auto-backup

rds:BackupTarget

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

RevokeDBSecurityGroupIngress 授予撤消先前授权的 IP 范围和/或EC2安全组DBSecurityGroup的入口的权限 VPC 写入

secgrp*

StartActivityStream 授予权限以启动活动流 写入

cluster

db

StartDBCluster 授予启动数据库集群的权限 写入

cluster*

StartDBInstance 授予权限以启动数据库实例 写入

db*

StartDBInstanceAutomatedBackupsReplication 授予开始将自动备份复制到其他备份的权限 Amazon Web Services 区域 写入

auto-backup*

db*

StartExportTask 授予权限以启动数据库快照的新导出任务 Write

cluster

iam:PassRole

cluster-snapshot

snapshot

StopActivityStream 授予权限以停止活动流 Write

cluster

db

StopDBCluster 授予权限以停止数据库集群 Write

cluster*

StopDBInstance 授予权限以停止数据库实例 Write

db*

rds:AddTagsToResource

rds:CreateDBSnapshot

snapshot

StopDBInstanceAutomatedBackupsReplication 授予权限以停止数据库实例的自动备份复制 写入

db*

SwitchoverBlueGreenDeployment 授予权限以将蓝绿部署从源实例或集群切换到目标 写入

deployment*

rds:ModifyDBCluster

rds:ModifyDBInstance

rds:PromoteReadReplica

rds:PromoteReadReplicaDBCluster

aws:ResourceTag/${TagKey}

SwitchoverGlobalCluster 授予切换全局集群的权限 写入

cluster*

global-cluster*

SwitchoverReadReplica 授予权限以切换只读副本,使其成为新的主数据库 写入

db*

Amazon 定义的资源类型 RDS

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息,请参阅资源类型表

资源类型 ARN 条件键
cluster arn:${Partition}:rds:${Region}:${Account}:cluster:${DbClusterInstanceName}

aws:ResourceTag/${TagKey}

rds:cluster-tag/${TagKey}

shardgrp arn:${Partition}:rds:${Region}:${Account}:shard-group:${DbShardGroupResourceId}

aws:ResourceTag/${TagKey}

cluster-auto-backup arn:${Partition}:rds:${Region}:${Account}:cluster-auto-backup:${DbClusterAutomatedBackupId}
auto-backup arn:${Partition}:rds:${Region}:${Account}:auto-backup:${DbInstanceAutomatedBackupId}
cluster-endpoint arn:${Partition}:rds:${Region}:${Account}:cluster-endpoint:${DbClusterEndpoint}

aws:ResourceTag/${TagKey}

cluster-pg arn:${Partition}:rds:${Region}:${Account}:cluster-pg:${ClusterParameterGroupName}

aws:ResourceTag/${TagKey}

rds:cluster-pg-tag/${TagKey}

cluster-snapshot arn:${Partition}:rds:${Region}:${Account}:cluster-snapshot:${ClusterSnapshotName}

aws:ResourceTag/${TagKey}

rds:cluster-snapshot-tag/${TagKey}

db arn:${Partition}:rds:${Region}:${Account}:db:${DbInstanceName}

aws:ResourceTag/${TagKey}

rds:DatabaseClass

rds:DatabaseEngine

rds:DatabaseName

rds:MultiAz

rds:Piops

rds:StorageEncrypted

rds:StorageSize

rds:Vpc

rds:db-tag/${TagKey}

es arn:${Partition}:rds:${Region}:${Account}:es:${SubscriptionName}

aws:ResourceTag/${TagKey}

rds:es-tag/${TagKey}

global-cluster arn:${Partition}:rds::${Account}:global-cluster:${GlobalCluster}
og arn:${Partition}:rds:${Region}:${Account}:og:${OptionGroupName}

aws:ResourceTag/${TagKey}

rds:og-tag/${TagKey}

pg arn:${Partition}:rds:${Region}:${Account}:pg:${ParameterGroupName}

aws:ResourceTag/${TagKey}

rds:pg-tag/${TagKey}

proxy arn:${Partition}:rds:${Region}:${Account}:db-proxy:${DbProxyId}

aws:ResourceTag/${TagKey}

proxy-endpoint arn:${Partition}:rds:${Region}:${Account}:db-proxy-endpoint:${DbProxyEndpointId}

aws:ResourceTag/${TagKey}

ri arn:${Partition}:rds:${Region}:${Account}:ri:${ReservedDbInstanceName}

aws:ResourceTag/${TagKey}

rds:ri-tag/${TagKey}

secgrp arn:${Partition}:rds:${Region}:${Account}:secgrp:${SecurityGroupName}

aws:ResourceTag/${TagKey}

rds:secgrp-tag/${TagKey}

snapshot arn:${Partition}:rds:${Region}:${Account}:snapshot:${SnapshotName}

aws:ResourceTag/${TagKey}

rds:snapshot-tag/${TagKey}

subgrp arn:${Partition}:rds:${Region}:${Account}:subgrp:${SubnetGroupName}

aws:ResourceTag/${TagKey}

rds:subgrp-tag/${TagKey}

target-group arn:${Partition}:rds:${Region}:${Account}:target-group:${TargetGroupId}

aws:ResourceTag/${TagKey}

cev arn:${Partition}:rds:${Region}:${Account}:cev:${Engine}/${EngineVersion}/${CustomDbEngineVersionId}

aws:ResourceTag/${TagKey}

deployment arn:${Partition}:rds:${Region}:${Account}:deployment:${BlueGreenDeploymentIdentifier}

aws:ResourceTag/${TagKey}

integration arn:${Partition}:rds:${Region}:${Account}:integration:${IntegrationIdentifier}

aws:ResourceTag/${TagKey}

snapshot-tenant-database arn:${Partition}:rds:${Region}:${Account}:snapshot-tenant-database:${SnapshotName}:${TenantResourceId}

aws:ResourceTag/${TagKey}

tenant-database arn:${Partition}:rds:${Region}:${Account}:tenant-database:${TenantResourceId}

aws:ResourceTag/${TagKey}

Amazon 的条件密钥 RDS

Amazon RDS 定义了以下可在IAM策略Condition元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表

要查看适用于所有服务的全局条件键,请参阅可用的全局条件键

条件键 描述 Type
aws:RequestTag/${TagKey} 按请求中的标签键值对集筛选访问权限 字符串
aws:ResourceTag/${TagKey} 按附加到资源的标签键值对集筛选访问权限 字符串
aws:TagKeys 按照请求中的标签键集筛选访问权限 ArrayOfString
rds:BackupTarget 按备份目标类型筛选访问权限 以下选项之一:region、outposts 字符串
rds:CopyOptionGroup 按指定 C opyDBSnapshot 操作是否需要复制数据库选项组的值筛选访问权限 布尔型
rds:DatabaseClass 按数据库实例类的类型筛选访问 字符串
rds:DatabaseEngine 按数据库引擎筛选访问。有关可能的值,请参阅 C 语言中的引擎参数 reateDBInstance API 字符串
rds:DatabaseName 按数据库实例上的数据库的用户定义名称筛选访问 字符串
rds:EndpointType 按终端节点类型筛选访问。其中之一:READER,WRITER,CUSTOM 字符串
rds:ManageMasterUserPassword 按指定是在 S Amazon ecrets Manager 中RDS管理数据库实例还是集群的主用户密码的值筛选访问权限 布尔型
rds:MultiAz 按指定数据库实例是否在多个可用区中运行的值来筛选访问。要指示数据库实例在使用多可用区,请指定 true。 布尔型
rds:Piops 按包含实例支持的已配置数量 IOPS (PIOPS) 的值筛选访问权限。要表示未PIOPS启用的数据库实例,请指定 0 数值
rds:StorageEncrypted 按指定是否应对数据库实例存储进行加密的值筛选访问。要执行存储加密,请指定 true 布尔型
rds:StorageSize 按存储卷大小(以 GB 为单位)筛选访问 数值
rds:TenantDatabaseName 按中的租户数据库名称 CreateTenantDatabase 和中的新租户数据库名称筛选访问权限 ModifyTenantDatabase 字符串
rds:Vpc 按指定数据库实例是否在 Amazon Virtual Private Cloud (AmazonVPC) 中运行的值筛选访问权限。要表示数据库实例在 Amazon 中运行VPC,请指定 true 布尔型
rds:cluster-pg-tag/${TagKey} 按附加到数据库集群参数组的标签筛选访问 字符串
rds:cluster-snapshot-tag/${TagKey} 按附加到数据库集群快照的标签筛选访问 字符串
rds:cluster-tag/${TagKey} 按附加到数据库集群的标签筛选访问 字符串
rds:db-tag/${TagKey} 按附加到数据库实例的标签筛选访问 字符串
rds:es-tag/${TagKey} 按附加到事件订阅的标签筛选访问 字符串
rds:og-tag/${TagKey} 按附加到数据库选项组的标签筛选访问 字符串
rds:pg-tag/${TagKey} 按附加到数据库参数组的标签筛选访问 字符串
rds:req-tag/${TagKey} 按可用于对资源进行标记的一组标签键和值筛选访问 字符串
rds:ri-tag/${TagKey} 按附加到预留数据库实例的标签筛选访问 字符串
rds:secgrp-tag/${TagKey} 按附加到数据库安全组的标签筛选访问 字符串
rds:snapshot-tag/${TagKey} 按附加到数据库快照的标签筛选访问 字符串
rds:subgrp-tag/${TagKey} 按附加到数据库子网组的标签筛选访问 字符串