Amazon RDS 的操作、资源和条件键 - 服务授权参考
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon RDS 的操作、资源和条件键

Amazon RDS(服务前缀:rds)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

Amazon RDS 定义的操作

您可以在 IAM 策略语句的 Action 元素中指定以下操作。可以使用策略授予在 Amazon中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。通过在 IAM policy 中使用条件来筛选访问权限,以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限,则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。

操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。

注意

资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。

有关下表中各列的详细信息,请参阅操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
AddRoleToDBCluster 授予权限以关联 Aurora 数据库集群中的 Identity and Access Management (IAM) 角色 写入

cluster*

iam:PassRole

AddRoleToDBInstance 授予将 Amazon 身份和访问管理 (IAM) 角色与数据库实例关联的权限 写入

db*

iam:PassRole

AddSourceIdentifierToSubscription 授予权限以将源标识符添加到现有的 RDS 事件通知订阅中 Write

es*

AddTagsToResource 授予权限以将元数据标签添加到 Amazon RDS 资源中 Tagging

cev

cluster

cluster-endpoint

cluster-pg

cluster-snapshot

db

deployment

es

integration

og

pg

proxy

proxy-endpoint

ri

secgrp

snapshot

snapshot-tenant-database

subgrp

target-group

tenant-database

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

ApplyPendingMaintenanceAction 授予权限以将待处理的维护操作应用于资源 写入

cluster

db

AuthorizeDBSecurityGroupIngress SecurityGroup 使用两种授权形式之一授予允许进入数据库的权限 权限管理

secgrp*

BacktrackDBCluster 授予权限以将数据库集群回溯到特定时间,而不创建新的数据库集群 Write

cluster*

CancelExportTask 授予权限以取消正在进行的导出任务 Write
CopyDBClusterParameterGroup 授予权限以复制指定数据库集群参数组 Write

cluster-pg*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

CopyDBClusterSnapshot 授予权限以创建数据库集群快照 Write

cluster-snapshot*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

CopyDBParameterGroup 授予权限以复制指定数据库参数组 Write

pg*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

CopyDBSnapshot 授予权限以复制指定数据库快照 Write

snapshot*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:CopyOptionGroup

CopyOptionGroup 授予权限以复制指定选项组 写入

og*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

CreateBlueGreenDeployment 授予权限以为给定源集群或实例创建蓝绿部署 写入

deployment*

rds:AddTagsToResource

rds:CreateDBCluster

rds:CreateDBClusterEndpoint

rds:CreateDBInstance

rds:CreateDBInstanceReadReplica

cluster

cluster-pg

db

pg

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

rds:cluster-tag/${TagKey}

rds:cluster-pg-tag/${TagKey}

rds:db-tag/${TagKey}

rds:pg-tag/${TagKey}

rds:req-tag/${TagKey}

rds:DatabaseEngine

rds:DatabaseName

rds:StorageEncrypted

rds:DatabaseClass

rds:StorageSize

rds:MultiAz

rds:Piops

rds:Vpc

CreateCustomDBEngineVersion 授予创建自定义引擎版本的权限 写入

cev*

iam:CreateServiceLinkedRole

mediaimport:CreateDatabaseBinarySnapshot

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDBCluster 授予创建新数据库集群的权限 写入

cluster*

iam:PassRole

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

rds:AddTagsToResource

rds:CreateDBInstance

secretsmanager:CreateSecret

secretsmanager:TagResource

cluster-pg*

og*

subgrp*

db

global-cluster

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:DatabaseEngine

rds:DatabaseName

rds:StorageEncrypted

rds:DatabaseClass

rds:StorageSize

rds:Piops

rds:ManageMasterUserPassword

CreateDBClusterEndpoint 授予权限以创建新的自定义终端节点,并将其与 Amazon Aurora 数据库集群相关联 Write

cluster*

rds:AddTagsToResource

cluster-endpoint*

rds:EndpointType

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDBClusterParameterGroup 授予权限以创建新的数据库集群参数组 Write

cluster-pg*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBClusterSnapshot 授予权限以创建数据库集群快照 Write

cluster*

rds:AddTagsToResource

cluster-snapshot*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBInstance 授予权限以创建新的数据库实例 Write

db*

iam:PassRole

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

rds:AddTagsToResource

rds:CreateTenantDatabase

secretsmanager:CreateSecret

secretsmanager:TagResource

cluster

og

pg

secgrp

subgrp

rds:BackupTarget

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:ManageMasterUserPassword

rds:MultiTenant

CreateDBInstanceReadReplica 授予权限以创建作为源数据库实例的只读副本的数据库实例 Write

cluster*

iam:PassRole

rds:AddTagsToResource

db*

og*

pg*

subgrp*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBParameterGroup 授予权限以创建新的数据库参数组 Write

pg*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBProxy 授予权限以创建数据库代理 Write

aws:RequestTag/${TagKey}

aws:TagKeys

iam:PassRole

CreateDBProxyEndpoint 授予权限以创建数据库代理终端节点 Write

proxy*

proxy-endpoint*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDBSecurityGroup 授予权限以创建新的数据库安全组。数据库安全组控制对数据库实例的访问权限 写入

secgrp*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBShardGroup 授予创建新 Aurora Limitless 数据库分片组的权限 写入

cluster*

shardgrp*

CreateDBSnapshot 授予权限以创建数据库快照 Write

db*

rds:AddTagsToResource

snapshot*

snapshot-tenant-database*

rds:BackupTarget

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBSubnetGroup 授予权限以创建新的数据库子网组 Write

subgrp*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateEventSubscription 授予权限以创建 RDS 事件通知订阅 Write

es*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateGlobalCluster 授予权限以创建分布在多个区域中的 Aurora 全局数据库 写入

cluster*

global-cluster*

CreateIntegration 授予创建 Aurora 与 Redshift 的零 ETL 集成的权限 写入

cluster*

kms:CreateGrant

kms:DescribeKey

rds:AddTagsToResource

integration*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateOptionGroup 授予权限以创建新的选项组 写入

og*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateTenantDatabase 授予创建新租户数据库的权限 写入

db*

rds:AddTagsToResource

tenant-database*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:TenantDatabaseName

CrossRegionCommunication [仅权限] 在执行跨区域操作(如跨区域快照复制或跨区域只读副本创建)时,授予权限以访问远程区域中的资源 写入
DeleteBlueGreenDeployment 授予权限以删除蓝绿部署 写入

deployment*

rds:DeleteDBCluster

rds:DeleteDBClusterEndpoint

rds:DeleteDBInstance

aws:ResourceTag/${TagKey}

DeleteCustomDBEngineVersion 授予删除现有自定义引擎版本的权限 写入

cev*

DeleteDBCluster 授予权限以删除以前预置的数据库集群 写入

cluster*

rds:DeleteDBInstance

cluster-snapshot*

DeleteDBClusterAutomatedBackup 根据源集群的 DbClusterResourceId 值或可恢复集群的资源 ID 授予删除群集自动备份的权限 写入

cluster-auto-backup*

DeleteDBClusterEndpoint 授予权限以删除自定义终端节点,并将其从 Amazon Aurora 数据库集群中删除 Write

cluster-endpoint*

DeleteDBClusterParameterGroup 授予权限以删除指定数据库集群参数组 Write

cluster-pg*

DeleteDBClusterSnapshot 授予权限以删除数据库集群快照 Write

cluster-snapshot*

DeleteDBInstance 授予权限以删除以前预配置的数据库实例 写入

db*

rds:DeleteTenantDatabase

DeleteDBInstanceAutomatedBackup 根据源实例的 DbiResourceId 值或可恢复实例的资源 ID 授予删除自动备份的权限 写入

auto-backup*

DeleteDBParameterGroup 授予删除指定数据库的权限 ParameterGroup 写入

pg*

DeleteDBProxy 授予权限以删除数据库代理 Write

proxy*

DeleteDBProxyEndpoint 授予权限以删除数据库代理终端节点 Write

proxy-endpoint*

DeleteDBSecurityGroup 授予权限以删除数据库安全组 写入

secgrp*

DeleteDBShardGroup 授予删除 Aurora Limitless 数据库分片组的权限 写入

shardgrp*

DeleteDBSnapshot 授予权限以删除数据库快照 Write

snapshot*

DeleteDBSubnetGroup 授予权限以删除数据库子网组 Write

subgrp*

DeleteEventSubscription 授予权限以删除 RDS 事件通知订阅 Write

es*

DeleteGlobalCluster 授予权限以删除全局数据库集群 写入

global-cluster*

DeleteIntegration 授予删除 Aurora 与 Redshift 的零 ETL 集成的权限 写入

integration*

aws:ResourceTag/${TagKey}

DeleteOptionGroup 授予权限以删除现有选项组 写入

og*

DeleteTenantDatabase 授予删除租户数据库的权限 写入

db*

tenant-database*

DeregisterDBProxyTargets 授予权限以从数据库代理目标组中删除目标 Write

cluster*

db*

proxy*

target-group*

DescribeAccountAttributes 授予权限以列出客户账户的所有属性 列出
DescribeBlueGreenDeployments 授予权限以描述蓝绿部署 列出

deployment

DescribeCertificates 授予列出 Amazon RDS 为此提供的 CA 证书集的权限 Amazon Web Services 账户 列出
DescribeDBClusterAutomatedBackups 授予权限以返回当前实例和已删除实例的集群自动备份列表 列出

cluster-auto-backup*

cluster

DescribeDBClusterBacktracks 授予权限以返回有关数据库集群回溯的信息 List

cluster*

DescribeDBClusterEndpoints 授予权限以返回有关 Amazon Aurora 数据库集群的终端节点的信息 列出

cluster-endpoint*

cluster

DescribeDBClusterParameterGroups 授予返回数据库ClusterParameterGroup 描述列表的权限 列出

cluster-pg*

DescribeDBClusterParameters 授予权限以返回特定数据库集群参数组的详细参数列表 List

cluster-pg*

DescribeDBClusterSnapshotAttributes 授予权限以返回手动数据库集群快照的数据库集群快照属性名称和值的列表 List

cluster-snapshot*

DescribeDBClusterSnapshots 授予权限以返回有关数据库集群快照的信息 List

cluster-snapshot*

DescribeDBClusters 授予权限以返回有关预置 Aurora 数据库集群的信息 List

cluster*

DescribeDBEngineVersions 授予权限以返回可用数据库引擎的列表 List
DescribeDBInstanceAutomatedBackups 授予权限以返回当前实例和删除的实例的自动备份列表 List

auto-backup

db

DescribeDBInstances 授予权限以返回有关预置 RDS 实例的信息 List

db*

DescribeDBLogFiles 授予权限以返回数据库实例的数据库日志文件列表 列出

db*

DescribeDBParameterGroups 授予返回数据库ParameterGroup 描述列表的权限 列出

pg*

DescribeDBParameters 授予权限以返回特定数据库参数组的详细参数列表 List

pg*

DescribeDBProxies 授予权限以查看代理 List

proxy*

DescribeDBProxyEndpoints 授予权限以查看代理终端节点 List

proxy*

proxy-endpoint*

DescribeDBProxyTargetGroups 授予权限以查看数据库代理目标组详细信息 List

proxy*

DescribeDBProxyTargets 授予权限以查看数据库代理目标详细信息 列出

proxy*

target-group*

DescribeDBRecommendations 授予列出建议详细信息的权限 列出
DescribeDBSecurityGroups 授予返回数据库SecurityGroup 描述列表的权限 列出

secgrp*

DescribeDBShardGroups 授予返回有关该账户的所有 Aurora Limitless 数据库分片组信息的权限。您可以按分片组进行筛选 列出

shardgrp*

DescribeDBSnapshotAttributes 授予权限以返回手动数据库快照的数据库快照属性名称和值的列表 List

snapshot*

DescribeDBSnapshots 授予权限以返回有关数据库快照的信息 列出

snapshot*

db

DescribeDBSubnetGroups 授予返回数据库SubnetGroup 描述列表的权限 列出

subgrp*

DescribeDbSnapshotTenantDatabases 授予在数据库快照中返回有关租户数据库的信息的权限。您可以按区域或快照进行筛选 列出

snapshot-tenant-database*

db

snapshot

DescribeEngineDefaultClusterParameters 授予权限以返回集群数据库引擎的默认引擎和系统参数信息 List
DescribeEngineDefaultParameters 授予权限以返回指定数据库引擎的默认引擎和系统参数信息 List
DescribeEventCategories 授予权限以显示所有事件源类型的类别列表;或如果指定,则显示指定源类型的类别列表 List
DescribeEventSubscriptions 授予权限以列出客户账户的所有订阅描述 List

es*

DescribeEvents 授予权限以返回过去 14 天与数据库实例、数据库安全组、数据库快照和数据库参数组相关的事件 List
DescribeExportTasks 授予权限以返回有关导出任务的信息 List
DescribeGlobalClusters 授予权限以返回有关 Aurora 全局数据库集群的信息 列出

global-cluster*

DescribeIntegrations 授予描述 Aurora 与 Redshift 的零 ETL 集成的权限 列出

integration*

aws:ResourceTag/${TagKey}

DescribeOptionGroupOptions 授予权限以描述所有可用选项 List

og*

DescribeOptionGroups 授予权限以描述可用选项组 List

og*

DescribeOrderableDBInstanceOptions 授予权限以返回指定引擎的可订购数据库实例选项的列表 List
DescribePendingMaintenanceActions 授予权限以返回至少具有一个待处理的维护操作的资源(例如,数据库实例)的列表 列出

cluster

db

DescribeRecommendationGroups [仅权限] 授予权限以返回有关建议组的信息 读取
DescribeRecommendations [仅权限] 授予权限以返回有关建议的信息 读取
DescribeReservedDBInstances 授予权限以返回有关该账户的预留数据库实例的信息,或返回有关指定的预留数据库实例的信息 List

ri*

DescribeReservedDBInstancesOfferings 授予权限以获取可用的预留数据库实例产品 列出
DescribeSourceRegions 授予返回源列表的权限,当前用户 Amazon Web Services 区域 可以在 Amazon Web Services 区域 其中创建只读副本或从中复制数据库快照 列出
DescribeTenantDatabases 授予返回有关预置的租户数据库的信息的权限。您可以按区域或快照进行筛选 列出

tenant-database*

db

DescribeValidDBInstanceModifications 授予权限以列出可以对数据库实例进行的修改 列出

db*

DisableHttpEndpoint 授予禁用数据库集群 http 端点的权限 写入

cluster*

DownloadCompleteDBLogFile 授予权限以下载指定的日志文件 读取

db*

DownloadDBLogFilePortion 授予权限以下载指定日志文件的全部或部分内容,大小最多为 1 MB 读取

db*

EnableHttpEndpoint 授予启用数据库集群 http 端点的权限 写入

cluster*

FailoverDBCluster 授予权限以强制执行数据库集群故障转移 Write

cluster*

FailoverGlobalCluster 授予权限以将故障转移到全局集群 写入

cluster*

global-cluster*

ListTagsForResource 授予权限以列出 Amazon RDS 资源上的所有标签 读取

cev

cluster

cluster-endpoint

cluster-pg

cluster-snapshot

db

es

integration

og

pg

proxy

proxy-endpoint

ri

secgrp

snapshot

snapshot-tenant-database

subgrp

target-group

tenant-database

ModifyActivityStream 授予权限以修改数据库活动流 写入

db*

ModifyCertificates 授予权限以修改新数据库实例的 Amazon RDS 的系统默认安全套接层/传输层安全 (SSL/TLS) 证书 写入
ModifyCurrentDBClusterCapacity 授予修改 Amazon Aurora 无服务器数据库集群当前集群容量的权限 写入

cluster*

ModifyCustomDBEngineVersion 授予修改现有自定义引擎版本的权限 写入

cev*

ModifyDBCluster 授予权限以修改 Amazon Aurora 数据库集群的设置 Write

cluster*

iam:PassRole

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

rds:ModifyDBInstance

secretsmanager:CreateSecret

secretsmanager:RotateSecret

secretsmanager:TagResource

cluster-pg*

og*

rds:DatabaseClass

rds:StorageSize

rds:Piops

rds:ManageMasterUserPassword

ModifyDBClusterEndpoint 授予权限以修改 Amazon Aurora 数据库集群中的终端节点的属性 Write

cluster-endpoint*

ModifyDBClusterParameterGroup 授予权限以修改数据库集群参数组的参数 Write

cluster-pg*

ModifyDBClusterSnapshotAttribute 授予权限以向手动数据库集群快照添加属性和值,或者从中删除属性和值 Write

cluster-snapshot*

ModifyDBInstance 授予权限以修改数据库实例的设置 Write

db*

iam:PassRole

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

rds:AddTagsToResource

rds:CreateTenantDatabase

secretsmanager:CreateSecret

secretsmanager:RotateSecret

secretsmanager:TagResource

og*

pg*

secgrp*

rds:ManageMasterUserPassword

rds:MultiTenant

ModifyDBParameterGroup 授予权限以修改数据库参数组的参数 Write

pg*

ModifyDBProxy 授予权限以修改数据库代理 Write

proxy*

iam:PassRole

ModifyDBProxyEndpoint 授予权限以修改数据库代理终端节点 Write

proxy-endpoint*

ModifyDBProxyTargetGroup 授予权限以修改数据库代理的目标组 写入

target-group*

ModifyDBRecommendation 授予权限以修改建议 写入
ModifyDBShardGroup 授予修改 Aurora Limitless 数据库分片组属性的权限 写入

shardgrp*

ModifyDBSnapshot 授予权限以使用新的引擎版本更新手动数据库快照(可能加密,也可能未加密) Write

snapshot*

og

ModifyDBSnapshotAttribute 授予权限以向手动数据库快照添加属性和值,或者从中删除属性和值 Write

snapshot*

ModifyDBSubnetGroup 授予权限以修改现有数据库子网组 Write

subgrp*

ModifyEventSubscription 授予权限以修改现有 RDS 事件通知订阅 Write

es*

ModifyGlobalCluster 授予权限以修改 Amazon Aurora 全局集群的设置 Write

global-cluster*

ModifyOptionGroup 授予权限以修改现有的选项组 写入

og*

iam:PassRole

ModifyRecommendation [仅权限] 授予权限以修改建议 写入
ModifyTenantDatabase 授予修改租户数据库的权限 写入

db*

tenant-database*

rds:TenantDatabaseName

PromoteReadReplica 授予权限以将只读副本数据库实例提升为单独的数据库实例 Write

db*

PromoteReadReplicaDBCluster 授予权限以将只读副本数据库集群提升为独立数据库集群 Write

cluster*

PurchaseReservedDBInstancesOffering 授予权限以购买预留数据库实例产品 写入

ri*

aws:RequestTag/${TagKey}

aws:TagKeys

RebootDBCluster 授予权限以重启以前预置的数据库集群 写入

cluster*

rds:RebootDBInstance

RebootDBInstance 授予权限以重新启动数据库引擎服务 写入

db*

RebootDBShardGroup 授予重启 Aurora Limitless 数据库分片组的权限 写入

shardgrp*

RegisterDBProxyTargets 授予权限以向数据库代理目标组添加目标 Write

target-group*

RemoveFromGlobalCluster 授予权限以将 Aurora 辅助集群从 Aurora 全局数据库集群中分离 写入

cluster*

global-cluster*

RemoveRoleFromDBCluster 授予取消 Amazon 身份和访问管理 (IAM) 角色与 Amazon Aurora 数据库集群关联的权限 写入

cluster*

iam:PassRole

RemoveRoleFromDBInstance 授予取消 Amazon 身份和访问管理 (IAM) 角色与数据库实例关联的权限 写入

db*

iam:PassRole

RemoveSourceIdentifierFromSubscription 授予权限以从现有的 RDS 事件通知订阅中删除源标识符 Write

es*

RemoveTagsFromResource 授予权限以从 Amazon RDS 资源中删除元数据标签 Tagging

cev

cluster

cluster-endpoint

cluster-pg

cluster-snapshot

db

deployment

es

integration

og

pg

proxy

proxy-endpoint

ri

secgrp

snapshot

snapshot-tenant-database

subgrp

target-group

tenant-database

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

ResetDBClusterParameterGroup 授予权限以将数据库集群参数组的参数修改为默认值 Write

cluster-pg*

ResetDBParameterGroup 授予权限以将数据库参数组的参数修改为引擎/系统默认值 Write

pg*

RestoreDBClusterFromS3 授予权限以通过 Amazon S3 存储桶中存储的数据创建 Amazon Aurora 数据库集群 Write

cluster*

iam:PassRole

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

rds:AddTagsToResource

secretsmanager:CreateSecret

secretsmanager:TagResource

cluster-pg*

og*

subgrp*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:DatabaseEngine

rds:DatabaseName

rds:StorageEncrypted

rds:ManageMasterUserPassword

RestoreDBClusterFromSnapshot 授予权限以从数据库集群快照创建新的数据库集群 Write

cluster*

iam:PassRole

rds:AddTagsToResource

rds:CreateDBInstance

cluster-pg*

cluster-snapshot*

og*

subgrp*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:DatabaseClass

rds:StorageSize

rds:Piops

RestoreDBClusterToPointInTime 授予权限以将数据库集群还原到任意时间点 Write

cluster*

iam:PassRole

rds:AddTagsToResource

rds:CreateDBInstance

cluster-pg*

og*

subgrp*

cluster-auto-backup

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:DatabaseClass

rds:StorageSize

rds:Piops

RestoreDBInstanceFromDBSnapshot 授予权限以从数据库快照创建新的数据库实例 Write

db*

iam:PassRole

rds:AddTagsToResource

rds:CreateTenantDatabase

og*

pg*

snapshot*

subgrp*

rds:BackupTarget

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

RestoreDBInstanceFromS3 授予权限以从 Amazon S3 存储桶创建新数据库实例 Write

db*

iam:PassRole

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

rds:AddTagsToResource

secretsmanager:CreateSecret

secretsmanager:TagResource

og*

pg*

subgrp*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:ManageMasterUserPassword

RestoreDBInstanceToPointInTime 授予权限以将数据库实例还原到任意时间点 写入

db*

iam:PassRole

rds:AddTagsToResource

rds:CreateTenantDatabase

og*

pg*

subgrp*

auto-backup

rds:BackupTarget

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

RevokeDBSecurityGroupIngress 授予撤销先前授权的 IP 范围或 EC2 或 VPC 安全组的数据库SecurityGroup 入口的权限 写入

secgrp*

StartActivityStream 授予权限以启动活动流 写入

cluster

db

StartDBCluster 授予启动数据库集群的权限 写入

cluster*

StartDBInstance 授予权限以启动数据库实例 写入

db*

StartDBInstanceAutomatedBackupsReplication 授予开始将自动备份复制到其他备份的权限 Amazon Web Services 区域 写入

auto-backup*

db*

StartExportTask 授予权限以启动数据库快照的新导出任务 Write

iam:PassRole

StopActivityStream 授予权限以停止活动流 Write

cluster

db

StopDBCluster 授予权限以停止数据库集群 Write

cluster*

StopDBInstance 授予权限以停止数据库实例 Write

db*

StopDBInstanceAutomatedBackupsReplication 授予权限以停止数据库实例的自动备份复制 写入

db*

SwitchoverBlueGreenDeployment 授予权限以将蓝绿部署从源实例或集群切换到目标 写入

deployment*

rds:ModifyDBCluster

rds:ModifyDBInstance

rds:PromoteReadReplica

rds:PromoteReadReplicaDBCluster

aws:ResourceTag/${TagKey}

SwitchoverGlobalCluster 授予切换全局集群的权限 写入

cluster*

global-cluster*

SwitchoverReadReplica 授予权限以切换只读副本,使其成为新的主数据库 写入

db*

Amazon RDS 定义的资源类型

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在表的最后一列。有关下表中各列的详细信息,请参阅资源类型表

资源类型 ARN 条件键
cluster arn:${Partition}:rds:${Region}:${Account}:cluster:${DbClusterInstanceName}

aws:ResourceTag/${TagKey}

rds:cluster-tag/${TagKey}

shardgrp arn:${Partition}:rds:${Region}:${Account}:shard-group:${DbShardGroupResourceId}
cluster-auto-backup arn:${Partition}:rds:${Region}:${Account}:cluster-auto-backup:${DbClusterAutomatedBackupId}
auto-backup arn:${Partition}:rds:${Region}:${Account}:auto-backup:${DbInstanceAutomatedBackupId}
cluster-endpoint arn:${Partition}:rds:${Region}:${Account}:cluster-endpoint:${DbClusterEndpoint}

aws:ResourceTag/${TagKey}

cluster-pg arn:${Partition}:rds:${Region}:${Account}:cluster-pg:${ClusterParameterGroupName}

aws:ResourceTag/${TagKey}

rds:cluster-pg-tag/${TagKey}

cluster-snapshot arn:${Partition}:rds:${Region}:${Account}:cluster-snapshot:${ClusterSnapshotName}

aws:ResourceTag/${TagKey}

rds:cluster-snapshot-tag/${TagKey}

db arn:${Partition}:rds:${Region}:${Account}:db:${DbInstanceName}

aws:ResourceTag/${TagKey}

rds:DatabaseClass

rds:DatabaseEngine

rds:DatabaseName

rds:MultiAz

rds:Piops

rds:StorageEncrypted

rds:StorageSize

rds:Vpc

rds:db-tag/${TagKey}

es arn:${Partition}:rds:${Region}:${Account}:es:${SubscriptionName}

aws:ResourceTag/${TagKey}

rds:es-tag/${TagKey}

global-cluster arn:${Partition}:rds::${Account}:global-cluster:${GlobalCluster}
og arn:${Partition}:rds:${Region}:${Account}:og:${OptionGroupName}

aws:ResourceTag/${TagKey}

rds:og-tag/${TagKey}

pg arn:${Partition}:rds:${Region}:${Account}:pg:${ParameterGroupName}

aws:ResourceTag/${TagKey}

rds:pg-tag/${TagKey}

proxy arn:${Partition}:rds:${Region}:${Account}:db-proxy:${DbProxyId}

aws:ResourceTag/${TagKey}

proxy-endpoint arn:${Partition}:rds:${Region}:${Account}:db-proxy-endpoint:${DbProxyEndpointId}

aws:ResourceTag/${TagKey}

ri arn:${Partition}:rds:${Region}:${Account}:ri:${ReservedDbInstanceName}

aws:ResourceTag/${TagKey}

rds:ri-tag/${TagKey}

secgrp arn:${Partition}:rds:${Region}:${Account}:secgrp:${SecurityGroupName}

aws:ResourceTag/${TagKey}

rds:secgrp-tag/${TagKey}

snapshot arn:${Partition}:rds:${Region}:${Account}:snapshot:${SnapshotName}

aws:ResourceTag/${TagKey}

rds:snapshot-tag/${TagKey}

subgrp arn:${Partition}:rds:${Region}:${Account}:subgrp:${SubnetGroupName}

aws:ResourceTag/${TagKey}

rds:subgrp-tag/${TagKey}

target-group arn:${Partition}:rds:${Region}:${Account}:target-group:${TargetGroupId}

aws:ResourceTag/${TagKey}

cev arn:${Partition}:rds:${Region}:${Account}:cev:${Engine}/${EngineVersion}/${CustomDbEngineVersionId}

aws:ResourceTag/${TagKey}

deployment arn:${Partition}:rds:${Region}:${Account}:deployment:${BlueGreenDeploymentIdentifier}

aws:ResourceTag/${TagKey}

integration arn:${Partition}:rds:${Region}:${Account}:integration:${IntegrationIdentifier}

aws:ResourceTag/${TagKey}

snapshot-tenant-database arn:${Partition}:rds:${Region}:${Account}:snapshot-tenant-database:${SnapshotName}:${TenantResourceId}

aws:ResourceTag/${TagKey}

tenant-database arn:${Partition}:rds:${Region}:${Account}:tenant-database:${TenantResourceId}

aws:ResourceTag/${TagKey}

Amazon RDS 的条件键

Amazon RDS 定义以下可以在 IAM policy 的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表

要查看适用于所有服务的全局条件键,请参阅可用的全局条件键

条件键 描述 类型
aws:RequestTag/${TagKey} 按请求中的标签键值对集筛选访问权限 字符串
aws:ResourceTag/${TagKey} 按附加到资源的标签键值对集筛选访问权限 字符串
aws:TagKeys 按照请求中的标签键集筛选访问权限 ArrayOfString
rds:BackupTarget 按备份目标类型筛选访问权限 以下选项之一:REGION、OUTPOSTS 字符串
rds:CopyOptionGroup 根据指定 CopyDBSnapshot 操作是否需要复制 DB 选项组的值筛选访问权限 布尔型
rds:DatabaseClass 按数据库实例类的类型筛选访问 字符串
rds:DatabaseEngine 按数据库引擎筛选访问。有关可能的值,请参阅 CreateDBInstance API 中的引擎参数 字符串
rds:DatabaseName 按数据库实例上的数据库的用户定义名称筛选访问 字符串
rds:EndpointType 按终端节点类型筛选访问。它是以下内容之一:READER、WRITER、CUSTOM 字符串
rds:ManageMasterUserPassword 按指定 RDS 是否在 S Amazon ecrets Manager 中管理数据库实例或集群的主用户密码的值筛选访问权限 布尔型
rds:MultiAz 按指定数据库实例是否在多个可用区中运行的值来筛选访问。要指示数据库实例在使用多可用区,请指定 true。 布尔型
rds:MultiTenant 按指定数据库实例是否处于多租户配置的值来筛选访问权限 字符串
rds:Piops 按包含实例所支持的预置 IOPS (PIOPS) 数的值筛选访问。要指示未启用 PIOPS 的数据库实例,请指定 0 数值
rds:StorageEncrypted 按指定是否应对数据库实例存储进行加密的值筛选访问。要执行存储加密,请指定 true 布尔型
rds:StorageSize 按存储卷大小(以 GB 为单位)筛选访问 数值
rds:TenantDatabaseName 按中的租户数据库名称 CreateTenantDatabase 和中的新租户数据库名称筛选访问权限 ModifyTenantDatabase 字符串
rds:Vpc 指定数据库实例是否在 Amazon Virtual Private Cloud (Amazon VPC) 中运行的值筛选访问。要指示数据库实例在 Amazon VPC 中运行,请指定 true 布尔型
rds:cluster-pg-tag/${TagKey} 按附加到数据库集群参数组的标签筛选访问 字符串
rds:cluster-snapshot-tag/${TagKey} 按附加到数据库集群快照的标签筛选访问 字符串
rds:cluster-tag/${TagKey} 按附加到数据库集群的标签筛选访问 字符串
rds:db-tag/${TagKey} 按附加到数据库实例的标签筛选访问 字符串
rds:es-tag/${TagKey} 按附加到事件订阅的标签筛选访问 字符串
rds:og-tag/${TagKey} 按附加到数据库选项组的标签筛选访问 字符串
rds:pg-tag/${TagKey} 按附加到数据库参数组的标签筛选访问 字符串
rds:req-tag/${TagKey} 按可用于对资源进行标记的一组标签键和值筛选访问 字符串
rds:ri-tag/${TagKey} 按附加到预留数据库实例的标签筛选访问 字符串
rds:secgrp-tag/${TagKey} 按附加到数据库安全组的标签筛选访问 字符串
rds:snapshot-tag/${TagKey} 按附加到数据库快照的标签筛选访问 字符串
rds:subgrp-tag/${TagKey} 按附加到数据库子网组的标签筛选访问 字符串