本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon 的操作、资源和条件密钥 RDS
AmazonRDS(服务前缀:rds
)提供以下特定于服务的资源、操作和条件上下文密钥,供在IAM权限策略中使用。
参考:
-
了解如何配置该服务。
-
查看此服务可用的API操作列表。
-
了解如何使用 IAM 权限策略保护该服务及其资源。
Amazon 定义的操作 RDS
您可以在 Action
策略语句的 IAM 元素中指定以下操作。可以使用策略授予在 Amazon中执行操作的权限。当您在策略中使用操作时,通常会允许或拒绝访问具有相同名称的API操作或CLI命令。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。
操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource
元素中指定策略应用的所有资源(“*”)。如果该列包含资源类型,则可以在带有该操作ARN的语句中指定该类型的资源类型。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您使用IAM策略中的Resource
元素限制资源访问权限,则必须为每种必需的资源类型包含ARN或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。
操作表的条件键列包括可以在策略语句的 Condition
元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。
注意
资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。
有关下表中各列的详细信息,请参阅操作表。
操作 | 描述 | 访问级别 | 资源类型(* 为必需) | 条件键 | 相关操作 |
---|---|---|---|---|---|
AddRoleToDBCluster | 授予从 Aurora 数据库集群关联身份和访问管理 (IAM) 角色的权限 | 写入 |
iam:PassRole |
||
AddRoleToDBInstance | 授予将 Id Amazon entity and Access Managemen IAM t () 角色与数据库实例关联的权限 | 写入 |
iam:PassRole |
||
AddSourceIdentifierToSubscription | 授予向现有RDS事件通知订阅添加源标识符的权限 | 写入 | |||
AddTagsToResource | 授予向 Amazon RDS 资源添加元数据标签的权限 | 标记 | |||
ApplyPendingMaintenanceAction | 授予权限以将待处理的维护操作应用于资源 | 写入 | |||
AuthorizeDBSecurityGroupIngress | DBSecurityGroup使用两种授权形式之一授予允许进入的权限 | 权限管理 | |||
BacktrackDBCluster | 授予权限以将数据库集群回溯到特定时间,而不创建新的数据库集群 | Write | |||
CancelExportTask | 授予权限以取消正在进行的导出任务 | 写入 | |||
CopyCustomDBEngineVersion[仅权限] | 授予权限以复制自定义引擎版本 | 写入 | |||
CopyDBClusterParameterGroup | 授予权限以复制指定数据库集群参数组 | Write |
rds:AddTagsToResource |
||
CopyDBClusterSnapshot | 授予权限以创建数据库集群快照 | Write |
rds:AddTagsToResource |
||
CopyDBParameterGroup | 授予权限以复制指定数据库参数组 | Write |
rds:AddTagsToResource |
||
CopyDBSnapshot | 授予权限以复制指定数据库快照 | Write |
rds:AddTagsToResource rds:CopyCustomDBEngineVersion |
||
CopyOptionGroup | 授予权限以复制指定选项组 | 写入 |
rds:AddTagsToResource |
||
CreateBlueGreenDeployment | 授予权限以为给定源集群或实例创建蓝绿部署 | 写入 |
rds:AddTagsToResource rds:CreateDBCluster rds:CreateDBClusterEndpoint rds:CreateDBInstance rds:CreateDBInstanceReadReplica |
||
CreateCustomDBEngineVersion | 授予创建自定义引擎版本的权限 | 写入 |
iam:CreateServiceLinkedRole mediaimport:CreateDatabaseBinarySnapshot rds:AddTagsToResource |
||
CreateDBCluster | 授予权限以创建新的数据库集群 | 写入 |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateDBInstance secretsmanager:CreateSecret secretsmanager:TagResource |
||
CreateDBClusterEndpoint | 授予权限以创建新的自定义端点,并将其与 Amazon Aurora DB 集群或 Amazon DocumentDB 集群关联 | 写入 |
rds:AddTagsToResource |
||
CreateDBClusterParameterGroup | 授予权限以创建新的数据库集群参数组 | Write |
rds:AddTagsToResource |
||
CreateDBClusterSnapshot | 授予权限以创建数据库集群快照 | Write |
rds:AddTagsToResource |
||
CreateDBInstance | 授予权限以创建新的数据库实例 | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateTenantDatabase secretsmanager:CreateSecret secretsmanager:TagResource |
||
CreateDBInstanceReadReplica | 授予权限以创建作为源数据库实例的只读副本的数据库实例 | Write |
iam:PassRole rds:AddTagsToResource |
||
CreateDBParameterGroup | 授予权限以创建新的数据库参数组 | Write |
rds:AddTagsToResource |
||
CreateDBProxy | 授予权限以创建数据库代理 | Write |
iam:PassRole |
||
CreateDBProxyEndpoint | 授予权限以创建数据库代理终端节点 | Write | |||
CreateDBSecurityGroup | 授予权限以创建新的数据库安全组。数据库安全组控制对数据库实例的访问权限 | 写入 |
rds:AddTagsToResource |
||
CreateDBShardGroup | 授予权限以创建新的 Aurora Limitless Database DB 分片组 | 写入 |
rds:AddTagsToResource |
||
CreateDBSnapshot | 授予创建 DBSnapshot | 写入 |
rds:AddTagsToResource |
||
CreateDBSubnetGroup | 授予权限以创建新的数据库子网组 | 写入 |
rds:AddTagsToResource |
||
CreateEventSubscription | 授予创建RDS事件通知订阅的权限 | 写入 |
rds:AddTagsToResource |
||
CreateGlobalCluster | 授予权限以创建分布在多个区域中的 Aurora 全局数据库或 DocumentDB 全局数据库 | 写入 | |||
CreateIntegration | 授予使用 Redshift 创建 Aurora 零ETL集成的权限 | 写入 |
kms:CreateGrant kms:DescribeKey rds:AddTagsToResource |
||
CreateOptionGroup | 授予权限以创建新的选项组 | 写入 |
rds:AddTagsToResource |
||
CreateTenantDatabase | 授予创建新租户数据库的权限 | 写入 |
rds:AddTagsToResource |
||
CrossRegionCommunication[仅权限] | 在执行跨区域操作(如跨区域快照复制或跨区域只读副本创建)时,授予权限以访问远程区域中的资源 | 写入 | |||
DeleteBlueGreenDeployment | 授予权限以删除蓝绿部署 | 写入 |
rds:DeleteDBCluster rds:DeleteDBClusterEndpoint rds:DeleteDBInstance rds:PromoteReadReplica rds:PromoteReadReplicaDBCluster |
||
DeleteCustomDBEngineVersion | 授予删除现有自定义引擎版本的权限 | 写入 | |||
DeleteDBCluster | 授予权限以删除以前预置的数据库集群 | 写入 |
rds:AddTagsToResource rds:CreateDBClusterSnapshot rds:DeleteDBInstance |
||
DeleteDBClusterAutomatedBackup | 根据源集群的 DbClusterResourceId 值或可恢复集群的资源 ID 授予删除群集自动备份的权限 | 写入 | |||
DeleteDBClusterEndpoint | 授予权限以删除自定义端点,并将其从 Amazon Aurora DB 集群或 Amazon DocumentDB 集群中删除 | 写入 | |||
DeleteDBClusterParameterGroup | 授予权限以删除指定数据库集群参数组 | Write | |||
DeleteDBClusterSnapshot | 授予权限以删除数据库集群快照 | Write | |||
DeleteDBInstance | 授予权限以删除以前预配置的数据库实例 | 写入 |
rds:AddTagsToResource rds:CreateDBSnapshot rds:DeleteTenantDatabase |
||
DeleteDBInstanceAutomatedBackup | 根据源实例的 DbiResourceId 值或可恢复实例的资源 ID 授予删除自动备份的权限 | 写入 | |||
DeleteDBParameterGroup | 授予删除指定内容的权限 DBParameterGroup | 写入 | |||
DeleteDBProxy | 授予权限以删除数据库代理 | Write | |||
DeleteDBProxyEndpoint | 授予权限以删除数据库代理终端节点 | Write | |||
DeleteDBSecurityGroup | 授予权限以删除数据库安全组 | 写入 | |||
DeleteDBShardGroup | 授予权限以删除 Aurora Limitless Database DB 分片组 | 写入 | |||
DeleteDBSnapshot | 授予删除权限 DBSnapshot | 写入 | |||
DeleteDBSubnetGroup | 授予权限以删除数据库子网组 | 写入 | |||
DeleteEventSubscription | 授予删除RDS事件通知订阅的权限 | 写入 | |||
DeleteGlobalCluster | 授予权限以删除全局数据库集群 | 写入 | |||
DeleteIntegration | 授予删除与 Redshift 的 Aurora 零ETL集成的权限 | 写入 | |||
DeleteOptionGroup | 授予权限以删除现有选项组 | 写入 | |||
DeleteTenantDatabase | 授予删除租户数据库的权限 | 写入 |
rds:AddTagsToResource rds:CreateDBSnapshot |
||
DeregisterDBProxyTargets | 授予权限以从数据库代理目标组中删除目标 | Write | |||
DescribeAccountAttributes | 授予权限以列出客户账户的所有属性 | 列表 | |||
DescribeBlueGreenDeployments | 授予权限以描述蓝绿部署 | 列表 | |||
DescribeCertificates | 授予列出 Amazon 为此提供的 CA 证书集RDS的权限 Amazon Web Services 账户 | 列表 | |||
DescribeDBClusterAutomatedBackups | 授予权限以返回当前实例和已删除实例的集群自动备份列表 | 列表 | |||
DescribeDBClusterBacktracks | 授予权限以返回有关数据库集群回溯的信息 | List | |||
DescribeDBClusterEndpoints | 授予权限以返回有关 Amazon Aurora 数据库集群的终端节点的信息 | 列表 | |||
DescribeDBClusterParameterGroups | 授予返回DBClusterParameterGroup描述列表的权限 | 列表 | |||
DescribeDBClusterParameters | 授予权限以返回特定数据库集群参数组的详细参数列表 | List | |||
DescribeDBClusterSnapshotAttributes | 授予权限以返回手动数据库集群快照的数据库集群快照属性名称和值的列表 | List | |||
DescribeDBClusterSnapshots | 授予权限以返回有关数据库集群快照的信息 | 列表 | |||
DescribeDBClusters | 授予权限以返回有关预置 Aurora DB 集群或 DocumentDB 集群的信息 | 列表 | |||
DescribeDBEngineVersions | 授予权限以返回可用数据库引擎的列表 | List | |||
DescribeDBInstanceAutomatedBackups | 授予权限以返回当前实例和删除的实例的自动备份列表 | 列表 | |||
DescribeDBInstances | 授予返回有关预配置RDS实例信息的权限 | 列表 | |||
DescribeDBLogFiles | 授予权限以返回数据库实例的数据库日志文件列表 | 列表 | |||
DescribeDBParameterGroups | 授予返回DBParameterGroup描述列表的权限 | 列表 | |||
DescribeDBParameters | 授予权限以返回特定数据库参数组的详细参数列表 | List | |||
DescribeDBProxies | 授予权限以查看代理 | List | |||
DescribeDBProxyEndpoints | 授予权限以查看代理终端节点 | List | |||
DescribeDBProxyTargetGroups | 授予权限以查看数据库代理目标组详细信息 | List | |||
DescribeDBProxyTargets | 授予权限以查看数据库代理目标详细信息 | 列表 | |||
DescribeDBRecommendations | 授予列出建议详细信息的权限 | 列表 | |||
DescribeDBSecurityGroups | 授予返回DBSecurityGroup描述列表的权限 | 列表 | |||
DescribeDBShardGroups | 授予权限以返回有关该账户的所有 Aurora Limitless Database DB 分片组的信息。您可以按分片组进行筛选 | 列表 | |||
DescribeDBSnapshotAttributes | 授予权限以返回手动数据库快照的数据库快照属性名称和值的列表 | 列表 | |||
DescribeDBSnapshotTenantDatabases | 授予在数据库快照中返回有关租户数据库的信息的权限。您可以按区域或快照进行筛选 | 列表 | |||
DescribeDBSnapshots | 授予权限以返回有关数据库快照的信息 | 列表 | |||
DescribeDBSubnetGroups | 授予返回DBSubnetGroup描述列表的权限 | 列表 | |||
DescribeEngineDefaultClusterParameters | 授予权限以返回集群数据库引擎的默认引擎和系统参数信息 | List | |||
DescribeEngineDefaultParameters | 授予权限以返回指定数据库引擎的默认引擎和系统参数信息 | List | |||
DescribeEventCategories | 授予权限以显示所有事件源类型的类别列表;或如果指定,则显示指定源类型的类别列表 | List | |||
DescribeEventSubscriptions | 授予权限以列出客户账户的所有订阅描述 | List | |||
DescribeEvents | 授予权限以返回过去 14 天与数据库实例、数据库安全组、数据库快照和数据库参数组相关的事件 | List | |||
DescribeExportTasks | 授予权限以返回有关导出任务的信息 | 列表 | |||
DescribeGlobalClusters | 授予权限以返回有关 Aurora 全局数据库集群或 DocumentDB 全局数据库集群的信息 | 列表 | |||
DescribeIntegrations | 授予描述与 Redshift 的 Aurora 零ETL集成的权限 | 列表 | |||
DescribeOptionGroupOptions | 授予权限以描述所有可用选项 | List | |||
DescribeOptionGroups | 授予权限以描述可用选项组 | List | |||
DescribeOrderableDBInstanceOptions | 授予权限以返回指定引擎的可订购数据库实例选项的列表 | List | |||
DescribePendingMaintenanceActions | 授予权限以返回至少具有一个待处理的维护操作的资源(例如,数据库实例)的列表 | 列表 | |||
DescribeRecommendationGroups[仅权限] | 授予权限以返回有关建议组的信息 | 读取 | |||
DescribeRecommendations[仅权限] | 授予权限以返回有关建议的信息 | 读取 | |||
DescribeReservedDBInstances | 授予权限以返回有关该账户的预留数据库实例的信息,或返回有关指定的预留数据库实例的信息 | List | |||
DescribeReservedDBInstancesOfferings | 授予权限以获取可用的预留数据库实例产品 | 列表 | |||
DescribeSourceRegions | 授予返回源列表的权限,当前用户 Amazon Web Services 区域 可以在 Amazon Web Services 区域 其中创建只读副本或从中复制数据库快照 | 列表 | |||
DescribeTenantDatabases | 授予返回有关预置的租户数据库的信息的权限。您可以按区域或快照进行筛选 | 列表 | |||
DescribeValidDBInstanceModifications | 授予权限以列出可以对数据库实例进行的修改 | 列表 | |||
DisableHttpEndpoint | 授予禁用数据库集群 http 端点的权限 | 写入 | |||
DownloadCompleteDBLogFile | 授予权限以下载指定的日志文件 | 读取 | |||
DownloadDBLogFilePortion | 授予权限以下载指定日志文件的全部或部分内容,大小最多为 1 MB | 读取 | |||
EnableHttpEndpoint | 授予启用数据库集群 http 端点的权限 | 写入 | |||
FailoverDBCluster | 授予权限以强制执行数据库集群故障转移 | Write | |||
FailoverGlobalCluster | 授予权限以将故障转移到全局集群 | 写入 | |||
ListTagsForResource | 授予列出 Amazon RDS 资源上所有标签的权限 | 读取 | |||
ModifyActivityStream | 授予权限以修改数据库活动流 | 写入 | |||
ModifyCertificates | 授予修改新数据库实例的 Amazon 系统默认(安全套接字Layer/Transport Layer Security (SSL/TLS)证书RDS的权限 | 写入 | |||
ModifyCurrentDBClusterCapacity | 授予权限以修改 Amazon Aurora Serverless DB 的当前集群容量 | 写入 | |||
ModifyCustomDBEngineVersion | 授予修改现有自定义引擎版本的权限 | 写入 | |||
ModifyDBCluster | 授予权限以修改 Amazon Aurora DB 集群或 Amazon DocumentDB 集群的设置 | 写入 |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:ModifyDBInstance secretsmanager:CreateSecret secretsmanager:RotateSecret secretsmanager:TagResource |
||
ModifyDBClusterEndpoint | 授予权限以修改 Amazon Aurora DB 集群或 Amazon DocumentDB 集群中端点的属性 | 写入 | |||
ModifyDBClusterParameterGroup | 授予权限以修改数据库集群参数组的参数 | Write | |||
ModifyDBClusterSnapshotAttribute | 授予权限以向手动数据库集群快照添加属性和值,或者从中删除属性和值 | Write | |||
ModifyDBInstance | 授予权限以修改数据库实例的设置 | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateTenantDatabase secretsmanager:CreateSecret secretsmanager:RotateSecret secretsmanager:TagResource |
||
ModifyDBParameterGroup | 授予权限以修改数据库参数组的参数 | Write | |||
ModifyDBProxy | 授予权限以修改数据库代理 | Write |
iam:PassRole |
||
ModifyDBProxyEndpoint | 授予权限以修改数据库代理终端节点 | Write | |||
ModifyDBProxyTargetGroup | 授予权限以修改数据库代理的目标组 | 写入 | |||
ModifyDBRecommendation | 授予权限以修改建议 | 写入 | |||
ModifyDBShardGroup | 授予权限以修改 Aurora Limitless Database DB 分片组的属性 | 写入 | |||
ModifyDBSnapshot | 授予权限以使用新的引擎版本更新手动数据库快照(可能加密,也可能未加密) | Write | |||
ModifyDBSnapshotAttribute | 授予权限以向手动数据库快照添加属性和值,或者从中删除属性和值 | Write | |||
ModifyDBSubnetGroup | 授予权限以修改现有数据库子网组 | 写入 | |||
ModifyEventSubscription | 授予修改现有RDS事件通知订阅的权限 | 写入 | |||
ModifyGlobalCluster | 授予权限以修改 Amazon Aurora 全局集群或 Amazon DocumentDB 全局集群的设置 | 写入 | |||
ModifyIntegration | 授予修改与 Redshift 的 Aurora 零ETL集成的权限 | 写入 | |||
ModifyOptionGroup | 授予权限以修改现有的选项组 | 写入 |
iam:PassRole |
||
ModifyRecommendation[仅权限] | 授予权限以修改建议 | 写入 | |||
ModifyTenantDatabase | 授予修改租户数据库的权限 | 写入 | |||
PromoteReadReplica | 授予权限以将只读副本数据库实例提升为单独的数据库实例 | Write | |||
PromoteReadReplicaDBCluster | 授予权限以将只读副本数据库集群提升为独立数据库集群 | Write | |||
PurchaseReservedDBInstancesOffering | 授予权限以购买预留数据库实例产品 | 写入 | |||
RebootDBCluster | 授予权限以重启以前预置的数据库集群 | 写入 |
rds:RebootDBInstance |
||
RebootDBInstance | 授予权限以重新启动数据库引擎服务 | 写入 | |||
RebootDBShardGroup | 授予权限以重启 Aurora Limitless Database DB 分片组 | 写入 | |||
RegisterDBProxyTargets | 授予权限以向数据库代理目标组添加目标 | 写入 | |||
RemoveFromGlobalCluster | 授予权限以将 Aurora 辅助集群从 Aurora 全局数据库集群或 DocumentDB 全局集群中分离 | 写入 | |||
RemoveRoleFromDBCluster | 授予解除 Amazon 身份和访问管理 (IAM) 角色与 Amazon Aurora 数据库集群的关联的权限 | 写入 |
iam:PassRole |
||
RemoveRoleFromDBInstance | 授予取消 Amazon 身份和访问管理 (IAM) 角色与数据库实例关联的权限 | 写入 |
iam:PassRole |
||
RemoveSourceIdentifierFromSubscription | 授予从现有RDS事件通知订阅中删除源标识符的权限 | 写入 | |||
RemoveTagsFromResource | 授予从 Amazon RDS 资源中移除元数据标签的权限 | 标记 | |||
ResetDBClusterParameterGroup | 授予权限以将数据库集群参数组的参数修改为默认值 | Write | |||
ResetDBParameterGroup | 授予权限以将数据库参数组的参数修改为引擎/系统默认值 | Write | |||
RestoreDBClusterFromS3 | 授予权限以通过 Amazon S3 存储桶中存储的数据创建 Amazon Aurora 数据库集群 | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource secretsmanager:CreateSecret secretsmanager:TagResource |
||
RestoreDBClusterFromSnapshot | 授予权限以从数据库集群快照创建新的数据库集群 | Write |
iam:PassRole rds:AddTagsToResource rds:CreateDBInstance |
||
RestoreDBClusterToPointInTime | 授予权限以将数据库集群还原到任意时间点 | Write |
iam:PassRole rds:AddTagsToResource rds:CreateDBInstance |
||
RestoreDBInstanceFromDBSnapshot | 授予权限以从数据库快照创建新的数据库实例 | Write |
iam:PassRole rds:AddTagsToResource rds:CreateTenantDatabase |
||
RestoreDBInstanceFromS3 | 授予权限以从 Amazon S3 存储桶创建新数据库实例 | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource secretsmanager:CreateSecret secretsmanager:TagResource |
||
RestoreDBInstanceToPointInTime | 授予权限以将数据库实例还原到任意时间点 | 写入 |
iam:PassRole rds:AddTagsToResource rds:CreateTenantDatabase |
||
RevokeDBSecurityGroupIngress | 授予撤消先前授权的 IP 范围和/或EC2安全组DBSecurityGroup的入口的权限 VPC | 写入 | |||
StartActivityStream | 授予权限以启动活动流 | 写入 | |||
StartDBCluster | 授予启动数据库集群的权限 | 写入 | |||
StartDBInstance | 授予权限以启动数据库实例 | 写入 | |||
StartDBInstanceAutomatedBackupsReplication | 授予开始将自动备份复制到其他备份的权限 Amazon Web Services 区域 | 写入 | |||
StartExportTask | 授予权限以启动数据库快照的新导出任务 | Write |
iam:PassRole |
||
StopActivityStream | 授予权限以停止活动流 | Write | |||
StopDBCluster | 授予权限以停止数据库集群 | Write | |||
StopDBInstance | 授予权限以停止数据库实例 | Write |
rds:AddTagsToResource rds:CreateDBSnapshot |
||
StopDBInstanceAutomatedBackupsReplication | 授予权限以停止数据库实例的自动备份复制 | 写入 | |||
SwitchoverBlueGreenDeployment | 授予权限以将蓝绿部署从源实例或集群切换到目标 | 写入 |
rds:ModifyDBCluster rds:ModifyDBInstance rds:PromoteReadReplica rds:PromoteReadReplicaDBCluster |
||
SwitchoverGlobalCluster | 授予切换全局集群的权限 | 写入 | |||
SwitchoverReadReplica | 授予权限以切换只读副本,使其成为新的主数据库 | 写入 |
Amazon 定义的资源类型 RDS
以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource
元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息,请参阅资源类型表。
资源类型 | ARN | 条件键 |
---|---|---|
cluster |
arn:${Partition}:rds:${Region}:${Account}:cluster:${DbClusterInstanceName}
|
|
shardgrp |
arn:${Partition}:rds:${Region}:${Account}:shard-group:${DbShardGroupResourceId}
|
|
cluster-auto-backup |
arn:${Partition}:rds:${Region}:${Account}:cluster-auto-backup:${DbClusterAutomatedBackupId}
|
|
auto-backup |
arn:${Partition}:rds:${Region}:${Account}:auto-backup:${DbInstanceAutomatedBackupId}
|
|
cluster-endpoint |
arn:${Partition}:rds:${Region}:${Account}:cluster-endpoint:${DbClusterEndpoint}
|
|
cluster-pg |
arn:${Partition}:rds:${Region}:${Account}:cluster-pg:${ClusterParameterGroupName}
|
|
cluster-snapshot |
arn:${Partition}:rds:${Region}:${Account}:cluster-snapshot:${ClusterSnapshotName}
|
|
db |
arn:${Partition}:rds:${Region}:${Account}:db:${DbInstanceName}
|
|
es |
arn:${Partition}:rds:${Region}:${Account}:es:${SubscriptionName}
|
|
global-cluster |
arn:${Partition}:rds::${Account}:global-cluster:${GlobalCluster}
|
|
og |
arn:${Partition}:rds:${Region}:${Account}:og:${OptionGroupName}
|
|
pg |
arn:${Partition}:rds:${Region}:${Account}:pg:${ParameterGroupName}
|
|
proxy |
arn:${Partition}:rds:${Region}:${Account}:db-proxy:${DbProxyId}
|
|
proxy-endpoint |
arn:${Partition}:rds:${Region}:${Account}:db-proxy-endpoint:${DbProxyEndpointId}
|
|
ri |
arn:${Partition}:rds:${Region}:${Account}:ri:${ReservedDbInstanceName}
|
|
secgrp |
arn:${Partition}:rds:${Region}:${Account}:secgrp:${SecurityGroupName}
|
|
snapshot |
arn:${Partition}:rds:${Region}:${Account}:snapshot:${SnapshotName}
|
|
subgrp |
arn:${Partition}:rds:${Region}:${Account}:subgrp:${SubnetGroupName}
|
|
target-group |
arn:${Partition}:rds:${Region}:${Account}:target-group:${TargetGroupId}
|
|
cev |
arn:${Partition}:rds:${Region}:${Account}:cev:${Engine}/${EngineVersion}/${CustomDbEngineVersionId}
|
|
deployment |
arn:${Partition}:rds:${Region}:${Account}:deployment:${BlueGreenDeploymentIdentifier}
|
|
integration |
arn:${Partition}:rds:${Region}:${Account}:integration:${IntegrationIdentifier}
|
|
snapshot-tenant-database |
arn:${Partition}:rds:${Region}:${Account}:snapshot-tenant-database:${SnapshotName}:${TenantResourceId}
|
|
tenant-database |
arn:${Partition}:rds:${Region}:${Account}:tenant-database:${TenantResourceId}
|
Amazon 的条件密钥 RDS
Amazon RDS 定义了以下可在IAM策略Condition
元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表。
要查看适用于所有服务的全局条件键,请参阅可用的全局条件键。
条件键 | 描述 | Type |
---|---|---|
aws:RequestTag/${TagKey} | 按请求中的标签键值对集筛选访问权限 | 字符串 |
aws:ResourceTag/${TagKey} | 按附加到资源的标签键值对集筛选访问权限 | 字符串 |
aws:TagKeys | 按照请求中的标签键集筛选访问权限 | ArrayOfString |
rds:BackupTarget | 按备份目标类型筛选访问权限 以下选项之一:region、outposts | 字符串 |
rds:CopyOptionGroup | 按指定 C opyDBSnapshot 操作是否需要复制数据库选项组的值筛选访问权限 | 布尔型 |
rds:DatabaseClass | 按数据库实例类的类型筛选访问 | 字符串 |
rds:DatabaseEngine | 按数据库引擎筛选访问。有关可能的值,请参阅 C 语言中的引擎参数 reateDBInstance API | 字符串 |
rds:DatabaseName | 按数据库实例上的数据库的用户定义名称筛选访问 | 字符串 |
rds:EndpointType | 按终端节点类型筛选访问。其中之一:READER,WRITER,CUSTOM | 字符串 |
rds:ManageMasterUserPassword | 按指定是在 S Amazon ecrets Manager 中RDS管理数据库实例还是集群的主用户密码的值筛选访问权限 | 布尔型 |
rds:MultiAz | 按指定数据库实例是否在多个可用区中运行的值来筛选访问。要指示数据库实例在使用多可用区,请指定 true。 | 布尔型 |
rds:Piops | 按包含实例支持的已配置数量 IOPS (PIOPS) 的值筛选访问权限。要表示未PIOPS启用的数据库实例,请指定 0 | 数值 |
rds:StorageEncrypted | 按指定是否应对数据库实例存储进行加密的值筛选访问。要执行存储加密,请指定 true | 布尔型 |
rds:StorageSize | 按存储卷大小(以 GB 为单位)筛选访问 | 数值 |
rds:TenantDatabaseName | 按中的租户数据库名称 CreateTenantDatabase 和中的新租户数据库名称筛选访问权限 ModifyTenantDatabase | 字符串 |
rds:Vpc | 按指定数据库实例是否在 Amazon Virtual Private Cloud (AmazonVPC) 中运行的值筛选访问权限。要表示数据库实例在 Amazon 中运行VPC,请指定 true | 布尔型 |
rds:cluster-pg-tag/${TagKey} | 按附加到数据库集群参数组的标签筛选访问 | 字符串 |
rds:cluster-snapshot-tag/${TagKey} | 按附加到数据库集群快照的标签筛选访问 | 字符串 |
rds:cluster-tag/${TagKey} | 按附加到数据库集群的标签筛选访问 | 字符串 |
rds:db-tag/${TagKey} | 按附加到数据库实例的标签筛选访问 | 字符串 |
rds:es-tag/${TagKey} | 按附加到事件订阅的标签筛选访问 | 字符串 |
rds:og-tag/${TagKey} | 按附加到数据库选项组的标签筛选访问 | 字符串 |
rds:pg-tag/${TagKey} | 按附加到数据库参数组的标签筛选访问 | 字符串 |
rds:req-tag/${TagKey} | 按可用于对资源进行标记的一组标签键和值筛选访问 | 字符串 |
rds:ri-tag/${TagKey} | 按附加到预留数据库实例的标签筛选访问 | 字符串 |
rds:secgrp-tag/${TagKey} | 按附加到数据库安全组的标签筛选访问 | 字符串 |
rds:snapshot-tag/${TagKey} | 按附加到数据库快照的标签筛选访问 | 字符串 |
rds:subgrp-tag/${TagKey} | 按附加到数据库子网组的标签筛选访问 | 字符串 |