对性能详情使用基于标签的访问控制 - Amazon Relational Database Service
标签如何与性能详情配合使用创建基于标签的 IAM 策略
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

对性能详情使用基于标签的访问控制

您可以使用继承自父数据库实例的标签来控制对性能详情指标的访问权限。要控制对性能详情操作的访问,请使用 IAM 策略。这些策略可以检查数据库实例上的标签以确定权限。

标签如何与性能详情配合使用

性能详情会自动应用您的数据库实例标签来授权性能详情指标。向数据库实例添加标签时,您可以立即使用这些标签来控制对性能详情数据的访问。

  • 要为性能详情指标添加或更新标签,请修改数据库实例上的标签。

  • 要查看性能详情指标的标签,请对性能详情指标资源调用 ListTagsForResource。它将从与该指标关联的数据库实例返回标签。

注意

如果您尝试直接对性能详情指标使用 TagResourceUntagResource 操作,则会返回错误。

创建基于标签的 IAM 策略

要控制对性能详情操作的访问权限,请使用 IAM 策略中的 aws:ResourceTag 条件键。这些策略会检查您的数据库实例上的标签。

该策略禁止访问生产数据库的性能详情指标。该策略拒绝在性能详情中对任何带有 env:prod 标签的数据库资源执行 pi:GetResourceMetrics 操作。

 {
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "pi:GetResourceMetrics",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/env": "prod"
                }
            }
        }
    ]
}