Amazon RDS 的操作、资源和条件键
Amazon RDS(服务前缀:rds)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。
参考:
Amazon RDS 定义的操作
您可以在 IAM policy 语句的 Action 元素中指定以下操作。可以使用策略授予在 Amazon 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。
操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。通过在 IAM policy 中使用条件来筛选访问权限,以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限,则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。
操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。
有关下表中各列的详细信息,请参阅操作表。
| 操作 | 描述 | 访问级别 | 资源类型(* 为必需) | 条件键 | 相关操作 |
|---|---|---|---|---|---|
| AddRoleToDBCluster | 授予权限以关联 Aurora 数据库集群中的 Identity and Access Management (IAM) 角色 | Write |
iam:PassRole |
||
| AddRoleToDBInstance | 授予权限以将 Amazon Identity and Access Management (IAM) 角色与数据库实例相关联 | Write |
iam:PassRole |
||
| AddSourceIdentifierToSubscription | 授予权限以将源标识符添加到现有的 RDS 事件通知订阅中 | Write | |||
| AddTagsToResource | 授予权限以将元数据标签添加到 Amazon RDS 资源中 | Tagging | |||
| ApplyPendingMaintenanceAction | 授予权限以将待处理的维护操作应用于资源 | Write | |||
| AuthorizeDBSecurityGroupIngress | 授予权限以使用两种授权形式之一来允许传入到 DBSecurityGroup | Permissions management | |||
| BacktrackDBCluster | 授予权限以将数据库集群回溯到特定时间,而不创建新的数据库集群 | Write | |||
| CancelExportTask | 授予权限以取消正在进行的导出任务 | Write | |||
| CopyDBClusterParameterGroup | 授予权限以复制指定数据库集群参数组 | Write |
rds:AddTagsToResource |
||
| CopyDBClusterSnapshot | 授予权限以创建数据库集群快照 | Write |
rds:AddTagsToResource |
||
| CopyDBParameterGroup | 授予权限以复制指定数据库参数组 | Write |
rds:AddTagsToResource |
||
| CopyDBSnapshot | 授予权限以复制指定数据库快照 | Write |
rds:AddTagsToResource |
||
| CopyOptionGroup | 授予权限以复制指定选项组 | Write |
rds:AddTagsToResource |
||
| CreateBlueGreenDeployment | 授予权限以为给定源集群或实例创建蓝绿部署 | Write |
rds:AddTagsToResource rds:CreateDBCluster rds:CreateDBClusterEndpoint rds:CreateDBInstance rds:CreateDBInstanceReadReplica |
||
| CreateCustomDBEngineVersion | 授予创建自定义引擎版本的权限 | Write |
iam:CreateServiceLinkedRole mediaimport:CreateDatabaseBinarySnapshot rds:AddTagsToResource |
||
| CreateDBCluster | 授予权限以创建新的 Amazon Aurora 数据库集群 | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateDBInstance secretsmanager:CreateSecret secretsmanager:TagResource |
||
| CreateDBClusterEndpoint | 授予权限以创建新的自定义终端节点,并将其与 Amazon Aurora 数据库集群相关联 | Write |
rds:AddTagsToResource |
||
| CreateDBClusterParameterGroup | 授予权限以创建新的数据库集群参数组 | Write |
rds:AddTagsToResource |
||
| CreateDBClusterSnapshot | 授予权限以创建数据库集群快照 | Write |
rds:AddTagsToResource |
||
| CreateDBInstance | 授予权限以创建新的数据库实例 | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource secretsmanager:CreateSecret secretsmanager:TagResource |
||
| CreateDBInstanceReadReplica | 授予权限以创建作为源数据库实例的只读副本的数据库实例 | Write |
iam:PassRole rds:AddTagsToResource |
||
| CreateDBParameterGroup | 授予权限以创建新的数据库参数组 | Write |
rds:AddTagsToResource |
||
| CreateDBProxy | 授予权限以创建数据库代理 | Write |
iam:PassRole |
||
| CreateDBProxyEndpoint | 授予权限以创建数据库代理终端节点 | Write | |||
| CreateDBSecurityGroup | 授予权限以创建新的数据库安全组。数据库安全组控制对数据库实例的访问权限 | Write |
rds:AddTagsToResource |
||
| CreateDBSnapshot | 授予权限以创建数据库快照 | Write |
rds:AddTagsToResource |
||
| CreateDBSubnetGroup | 授予权限以创建新的数据库子网组 | Write |
rds:AddTagsToResource |
||
| CreateEventSubscription | 授予权限以创建 RDS 事件通知订阅 | Write |
rds:AddTagsToResource |
||
| CreateGlobalCluster | 授予权限以创建分布在多个区域中的 Aurora 全局数据库 | Write | |||
| CreateOptionGroup | 授予权限以创建新的选项组 | Write |
rds:AddTagsToResource |
||
| CrossRegionCommunication [仅权限] | 在执行跨区域操作(如跨区域快照复制或跨区域只读副本创建)时,授予权限以访问远程区域中的资源 | Write | |||
| DeleteBlueGreenDeployment | 授予权限以删除蓝绿部署 | Write |
rds:DeleteDBCluster rds:DeleteDBClusterEndpoint rds:DeleteDBInstance |
||
| DeleteCustomDBEngineVersion | 授予删除现有自定义引擎版本的权限 | Write | |||
| DeleteDBCluster | 授予权限以删除以前预置的数据库集群 | Write |
rds:DeleteDBInstance |
||
| DeleteDBClusterEndpoint | 授予权限以删除自定义终端节点,并将其从 Amazon Aurora 数据库集群中删除 | Write | |||
| DeleteDBClusterParameterGroup | 授予权限以删除指定数据库集群参数组 | Write | |||
| DeleteDBClusterSnapshot | 授予权限以删除数据库集群快照 | Write | |||
| DeleteDBInstance | 授予权限以删除以前预配置的数据库实例 | Write | |||
| DeleteDBInstanceAutomatedBackup | 授予权限以根据源实例的 DbiResourceId 值或可还原实例的资源 ID 删除自动备份 | Write | |||
| DeleteDBParameterGroup | 授予权限以删除指定的数据库参数组 | Write | |||
| DeleteDBProxy | 授予权限以删除数据库代理 | Write | |||
| DeleteDBProxyEndpoint | 授予权限以删除数据库代理终端节点 | Write | |||
| DeleteDBSecurityGroup | 授予权限以删除数据库安全组 | Write | |||
| DeleteDBSnapshot | 授予权限以删除数据库快照 | Write | |||
| DeleteDBSubnetGroup | 授予权限以删除数据库子网组 | Write | |||
| DeleteEventSubscription | 授予权限以删除 RDS 事件通知订阅 | Write | |||
| DeleteGlobalCluster | 授予权限以删除全局数据库集群 | Write | |||
| DeleteOptionGroup | 授予权限以删除现有选项组 | Write | |||
| DeregisterDBProxyTargets | 授予权限以从数据库代理目标组中删除目标 | Write | |||
| DescribeAccountAttributes | 授予权限以列出客户账户的所有属性 | List | |||
| DescribeBlueGreenDeployments | 授予权限以描述蓝绿部署 | List | |||
| DescribeCertificates | 授予权限以列出 Amazon RDS 为此 Amazon Web Services 账户 提供的 CA 证书集 | List | |||
| DescribeDBClusterBacktracks | 授予权限以返回有关数据库集群回溯的信息 | List | |||
| DescribeDBClusterEndpoints | 授予权限以返回有关 Amazon Aurora 数据库集群的终端节点的信息 | List | |||
| DescribeDBClusterParameterGroups | 授予权限以返回数据库集群参数组描述列表 | List | |||
| DescribeDBClusterParameters | 授予权限以返回特定数据库集群参数组的详细参数列表 | List | |||
| DescribeDBClusterSnapshotAttributes | 授予权限以返回手动数据库集群快照的数据库集群快照属性名称和值的列表 | List | |||
| DescribeDBClusterSnapshots | 授予权限以返回有关数据库集群快照的信息 | List | |||
| DescribeDBClusters | 授予权限以返回有关预置 Aurora 数据库集群的信息 | List | |||
| DescribeDBEngineVersions | 授予权限以返回可用数据库引擎的列表 | List | |||
| DescribeDBInstanceAutomatedBackups | 授予权限以返回当前实例和删除的实例的自动备份列表 | List | |||
| DescribeDBInstances | 授予权限以返回有关预置 RDS 实例的信息 | List | |||
| DescribeDBLogFiles | 授予权限以返回数据库实例的数据库日志文件列表 | List | |||
| DescribeDBParameterGroups | 授予权限以返回数据库参数组描述列表 | List | |||
| DescribeDBParameters | 授予权限以返回特定数据库参数组的详细参数列表 | List | |||
| DescribeDBProxies | 授予权限以查看代理 | List | |||
| DescribeDBProxyEndpoints | 授予权限以查看代理终端节点 | List | |||
| DescribeDBProxyTargetGroups | 授予权限以查看数据库代理目标组详细信息 | List | |||
| DescribeDBProxyTargets | 授予权限以查看数据库代理目标详细信息 | List | |||
| DescribeDBSecurityGroups | 授予权限以返回数据库安全组描述列表 | List | |||
| DescribeDBSnapshotAttributes | 授予权限以返回手动数据库快照的数据库快照属性名称和值的列表 | List | |||
| DescribeDBSnapshots | 授予权限以返回有关数据库快照的信息 | List | |||
| DescribeDBSubnetGroups | 授予权限以返回数据库子网组描述列表 | List | |||
| DescribeEngineDefaultClusterParameters | 授予权限以返回集群数据库引擎的默认引擎和系统参数信息 | List | |||
| DescribeEngineDefaultParameters | 授予权限以返回指定数据库引擎的默认引擎和系统参数信息 | List | |||
| DescribeEventCategories | 授予权限以显示所有事件源类型的类别列表;或如果指定,则显示指定源类型的类别列表 | List | |||
| DescribeEventSubscriptions | 授予权限以列出客户账户的所有订阅描述 | List | |||
| DescribeEvents | 授予权限以返回过去 14 天与数据库实例、数据库安全组、数据库快照和数据库参数组相关的事件 | List | |||
| DescribeExportTasks | 授予权限以返回有关导出任务的信息 | List | |||
| DescribeGlobalClusters | 授予权限以返回有关 Aurora 全局数据库集群的信息 | List | |||
| DescribeOptionGroupOptions | 授予权限以描述所有可用选项 | List | |||
| DescribeOptionGroups | 授予权限以描述可用选项组 | List | |||
| DescribeOrderableDBInstanceOptions | 授予权限以返回指定引擎的可订购数据库实例选项的列表 | List | |||
| DescribePendingMaintenanceActions | 授予权限以返回至少具有一个待处理的维护操作的资源(例如,数据库实例)的列表 | List | |||
| DescribeRecommendationGroups [仅权限] | 授予权限以返回有关建议组的信息 | Read | |||
| DescribeRecommendations [仅权限] | 授予权限以返回有关建议的信息 | Read | |||
| DescribeReservedDBInstances | 授予权限以返回有关该账户的预留数据库实例的信息,或返回有关指定的预留数据库实例的信息 | List | |||
| DescribeReservedDBInstancesOfferings | 授予权限以获取可用的预留数据库实例产品 | List | |||
| DescribeSourceRegions | 授予权限以返回当前 Amazon Web Services 区域 可以从中创建只读副本或复制数据库快照的源 Amazon Web Services 区域 列表 | List | |||
| DescribeValidDBInstanceModifications | 授予权限以列出可以对数据库实例进行的修改 | List | |||
| DownloadCompleteDBLogFile | 授予权限以下载指定的日志文件 | Read | |||
| DownloadDBLogFilePortion | 授予权限以下载指定日志文件的全部或部分内容,大小最多为 1 MB | Read | |||
| FailoverDBCluster | 授予权限以强制执行数据库集群故障转移 | Write | |||
| FailoverGlobalCluster | 授予权限以将故障转移到全局集群 | Write | |||
| ListTagsForResource | 授予权限以列出 Amazon RDS 资源上的所有标签 | Read | |||
| ModifyActivityStream | 授予权限以修改数据库活动流 | Write | |||
| ModifyCertificates | 授予权限以修改新数据库实例的 Amazon RDS 的系统默认安全套接层/传输层安全 (SSL/TLS) 证书 | Write | |||
| ModifyCurrentDBClusterCapacity | 授予权限以修改 Amazon Aurora Severless 数据库集群的当前集群容量 | Write | |||
| ModifyCustomDBEngineVersion | 授予修改现有自定义引擎版本的权限 | Write | |||
| ModifyDBCluster | 授予权限以修改 Amazon Aurora 数据库集群的设置 | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:ModifyDBInstance secretsmanager:CreateSecret secretsmanager:RotateSecret secretsmanager:TagResource |
||
| ModifyDBClusterEndpoint | 授予权限以修改 Amazon Aurora 数据库集群中的终端节点的属性 | Write | |||
| ModifyDBClusterParameterGroup | 授予权限以修改数据库集群参数组的参数 | Write | |||
| ModifyDBClusterSnapshotAttribute | 授予权限以向手动数据库集群快照添加属性和值,或者从中删除属性和值 | Write | |||
| ModifyDBInstance | 授予权限以修改数据库实例的设置 | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey secretsmanager:CreateSecret secretsmanager:RotateSecret secretsmanager:TagResource |
||
| ModifyDBParameterGroup | 授予权限以修改数据库参数组的参数 | Write | |||
| ModifyDBProxy | 授予权限以修改数据库代理 | Write |
iam:PassRole |
||
| ModifyDBProxyEndpoint | 授予权限以修改数据库代理终端节点 | Write | |||
| ModifyDBProxyTargetGroup | 授予权限以修改数据库代理的目标组 | Write | |||
| ModifyDBSnapshot | 授予权限以使用新的引擎版本更新手动数据库快照(可能加密,也可能未加密) | Write | |||
| ModifyDBSnapshotAttribute | 授予权限以向手动数据库快照添加属性和值,或者从中删除属性和值 | Write | |||
| ModifyDBSubnetGroup | 授予权限以修改现有数据库子网组 | Write | |||
| ModifyEventSubscription | 授予权限以修改现有 RDS 事件通知订阅 | Write | |||
| ModifyGlobalCluster | 授予权限以修改 Amazon Aurora 全局集群的设置 | Write | |||
| ModifyOptionGroup | 授予权限以修改现有的选项组 | Write |
iam:PassRole |
||
| ModifyRecommendation [仅权限] | 授予权限以修改建议 | Write | |||
| PromoteReadReplica | 授予权限以将只读副本数据库实例提升为单独的数据库实例 | Write | |||
| PromoteReadReplicaDBCluster | 授予权限以将只读副本数据库集群提升为独立数据库集群 | Write | |||
| PurchaseReservedDBInstancesOffering | 授予权限以购买预留数据库实例产品 | Write | |||
| RebootDBCluster | 授予权限以重启以前预置的数据库集群 | Write |
rds:RebootDBInstance |
||
| RebootDBInstance | 授予权限以重新启动数据库引擎服务 | Write | |||
| RegisterDBProxyTargets | 授予权限以向数据库代理目标组添加目标 | Write | |||
| RemoveFromGlobalCluster | 授予权限以将 Aurora 辅助集群从 Aurora 全局数据库集群中分离 | Write | |||
| RemoveRoleFromDBCluster | 授予权限以从 Amazon Aurora 数据库集群取消关联 Amazon Identity and Access Management (IAM) 角色 | Write |
iam:PassRole |
||
| RemoveRoleFromDBInstance | 授予权限以从数据库实例取消关联 Amazon Identity and Access Management (IAM) 角色 | Write |
iam:PassRole |
||
| RemoveSourceIdentifierFromSubscription | 授予权限以从现有的 RDS 事件通知订阅中删除源标识符 | Write | |||
| RemoveTagsFromResource | 授予权限以从 Amazon RDS 资源中删除元数据标签 | Tagging | |||
| ResetDBClusterParameterGroup | 授予权限以将数据库集群参数组的参数修改为默认值 | Write | |||
| ResetDBParameterGroup | 授予权限以将数据库参数组的参数修改为引擎/系统默认值 | Write | |||
| RestoreDBClusterFromS3 | 授予权限以通过 Amazon S3 存储桶中存储的数据创建 Amazon Aurora 数据库集群 | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource secretsmanager:CreateSecret secretsmanager:TagResource |
||
| RestoreDBClusterFromSnapshot | 授予权限以从数据库集群快照创建新的数据库集群 | Write |
iam:PassRole rds:AddTagsToResource rds:CreateDBInstance |
||
| RestoreDBClusterToPointInTime | 授予权限以将数据库集群还原到任意时间点 | Write |
iam:PassRole rds:AddTagsToResource rds:CreateDBInstance |
||
| RestoreDBInstanceFromDBSnapshot | 授予权限以从数据库快照创建新的数据库实例 | Write |
iam:PassRole rds:AddTagsToResource |
||
| RestoreDBInstanceFromS3 | 授予权限以从 Amazon S3 存储桶创建新数据库实例 | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource secretsmanager:CreateSecret secretsmanager:TagResource |
||
| RestoreDBInstanceToPointInTime | 授予权限以将数据库实例还原到任意时间点 | Write |
iam:PassRole rds:AddTagsToResource |
||
| RevokeDBSecurityGroupIngress | 授予权限以从以前授权的 IP 范围的数据库安全组或者 EC2 或 VPC 安全组中撤销传入 | Write | |||
| StartActivityStream | 授予权限以启动活动流 | Write | |||
| StartDBCluster | 授予启动数据库集群的权限 | Write | |||
| StartDBInstance | 授予权限以启动数据库实例 | Write | |||
| StartDBInstanceAutomatedBackupsReplication | 授予权限以开始将自动备份复制到其他 Amazon Web Services 区域 | Write | |||
| StartExportTask | 授予权限以启动数据库快照的新导出任务 | Write |
iam:PassRole |
||
| StopActivityStream | 授予权限以停止活动流 | Write | |||
| StopDBCluster | 授予权限以停止数据库集群 | Write | |||
| StopDBInstance | 授予权限以停止数据库实例 | Write | |||
| StopDBInstanceAutomatedBackupsReplication | 授予权限以停止数据库实例的自动备份复制 | Write | |||
| SwitchoverBlueGreenDeployment | 授予权限以将蓝绿部署从源实例或集群切换到目标 | Write |
rds:ModifyDBCluster rds:ModifyDBInstance rds:PromoteReadReplica rds:PromoteReadReplicaDBCluster |
||
| SwitchoverReadReplica | 授予权限以切换只读副本,使其成为新的主数据库 | Write |
Amazon RDS 定义的资源类型
以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在表的最后一列。有关下表中各列的详细信息,请参阅资源类型表。
| 资源类型 | ARN | 条件键 |
|---|---|---|
| cluster |
arn:${Partition}:rds:${Region}:${Account}:cluster:${DbClusterInstanceName}
|
|
| cluster-endpoint |
arn:${Partition}:rds:${Region}:${Account}:cluster-endpoint:${DbClusterEndpoint}
|
|
| cluster-pg |
arn:${Partition}:rds:${Region}:${Account}:cluster-pg:${ClusterParameterGroupName}
|
|
| cluster-snapshot |
arn:${Partition}:rds:${Region}:${Account}:cluster-snapshot:${ClusterSnapshotName}
|
|
| db |
arn:${Partition}:rds:${Region}:${Account}:db:${DbInstanceName}
|
|
| es |
arn:${Partition}:rds:${Region}:${Account}:es:${SubscriptionName}
|
|
| global-cluster |
arn:${Partition}:rds::${Account}:global-cluster:${GlobalCluster}
|
|
| og |
arn:${Partition}:rds:${Region}:${Account}:og:${OptionGroupName}
|
|
| pg |
arn:${Partition}:rds:${Region}:${Account}:pg:${ParameterGroupName}
|
|
| proxy |
arn:${Partition}:rds:${Region}:${Account}:db-proxy:${DbProxyId}
|
|
| proxy-endpoint |
arn:${Partition}:rds:${Region}:${Account}:db-proxy-endpoint:${DbProxyEndpointId}
|
|
| ri |
arn:${Partition}:rds:${Region}:${Account}:ri:${ReservedDbInstanceName}
|
|
| secgrp |
arn:${Partition}:rds:${Region}:${Account}:secgrp:${SecurityGroupName}
|
|
| snapshot |
arn:${Partition}:rds:${Region}:${Account}:snapshot:${SnapshotName}
|
|
| subgrp |
arn:${Partition}:rds:${Region}:${Account}:subgrp:${SubnetGroupName}
|
|
| target |
arn:${Partition}:rds:${Region}:${Account}:target:${TargetId}
|
|
| target-group |
arn:${Partition}:rds:${Region}:${Account}:target-group:${TargetGroupId}
|
|
| cev |
arn:${Partition}:rds:${Region}:${Account}:cev:${Engine}/${EngineVersion}/${CustomDbEngineVersionId}
|
|
| deployment |
arn:${Partition}:rds:${Region}:${Account}:deployment:${BlueGreenDeploymentIdentifier}
|
Amazon RDS 的条件键
Amazon RDS 定义以下可以在 IAM policy 的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表。
要查看适用于所有服务的全局条件键,请参阅可用的全局条件键。
| 条件键 | 描述 | 类型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 按请求中的标签键值对集筛选访问权限 | 字符串 |
| aws:ResourceTag/${TagKey} | 按附加到资源的标签键值对集筛选访问权限 | 字符串 |
| aws:TagKeys | 按照请求中的标签键集筛选访问权限 | 字符串数组 |
| rds:BackupTarget | 按备份目标类型筛选访问权限 以下选项之一:REGION、OUTPOSTS | 字符串 |
| rds:CopyOptionGroup | 根据指定 CopyDBSnapshot 操作是否需要复制 DB 选项组的值筛选访问权限 | Bool |
| rds:DatabaseClass | 按数据库实例类的类型筛选访问 | 字符串 |
| rds:DatabaseEngine | 按数据库引擎筛选访问。有关可能的值,请参阅 CreateDBInstance API 中的引擎参数 | 字符串 |
| rds:DatabaseName | 按数据库实例上的数据库的用户定义名称筛选访问 | 字符串 |
| rds:EndpointType | 按终端节点类型筛选访问。它是以下内容之一:READER、WRITER、CUSTOM | 字符串 |
| rds:ManageMasterUserPassword | 按用于指定 RDS 是否在数据库实例或集群的 Amazon Secrets Manager 中管理主用户密码的值筛选访问 | Bool |
| rds:MultiAz | 按指定数据库实例是否在多个可用区中运行的值来筛选访问。要指示数据库实例在使用多可用区,请指定 true。 | Bool |
| rds:Piops | 按包含实例所支持的预置 IOPS (PIOPS) 数的值筛选访问。要指示未启用 PIOPS 的数据库实例,请指定 0 | 数值 |
| rds:StorageEncrypted | 按指定是否应对数据库实例存储进行加密的值筛选访问。要执行存储加密,请指定 true | Bool |
| rds:StorageSize | 按存储卷大小(以 GB 为单位)筛选访问 | 数值 |
| rds:Vpc | 指定数据库实例是否在 Amazon Virtual Private Cloud (Amazon VPC) 中运行的值筛选访问。要指示数据库实例在 Amazon VPC 中运行,请指定 true | Bool |
| rds:cluster-pg-tag/${TagKey} | 按附加到数据库集群参数组的标签筛选访问 | 字符串 |
| rds:cluster-snapshot-tag/${TagKey} | 按附加到数据库集群快照的标签筛选访问 | 字符串 |
| rds:cluster-tag/${TagKey} | 按附加到数据库集群的标签筛选访问 | 字符串 |
| rds:db-tag/${TagKey} | 按附加到数据库实例的标签筛选访问 | 字符串 |
| rds:es-tag/${TagKey} | 按附加到事件订阅的标签筛选访问 | 字符串 |
| rds:og-tag/${TagKey} | 按附加到数据库选项组的标签筛选访问 | 字符串 |
| rds:pg-tag/${TagKey} | 按附加到数据库参数组的标签筛选访问 | 字符串 |
| rds:req-tag/${TagKey} | 按可用于对资源进行标记的一组标签键和值筛选访问 | 字符串 |
| rds:ri-tag/${TagKey} | 按附加到预留数据库实例的标签筛选访问 | 字符串 |
| rds:secgrp-tag/${TagKey} | 按附加到数据库安全组的标签筛选访问 | 字符串 |
| rds:snapshot-tag/${TagKey} | 按附加到数据库快照的标签筛选访问 | 字符串 |
| rds:subgrp-tag/${TagKey} | 按附加到数据库子网组的标签筛选访问 | 字符串 |