Berechtigungsrichtlinien zum Erstellen, Ändern und Löschen von Ressourcen in Aurora - Amazon Aurora
Erlauben Sie einem Benutzer, DB-Instances in einem AWS Konto zu erstellenErlauben Sie einem Benutzer, eine beliebige beschreibende Aktion an einer beliebigen RDS Ressource durchzuführenEinem Benutzer erlauben, eine DB-Instance zu erstellen, die spezifische DB-Parametergruppe und Subnetzgruppe verwendet.Erteilen von Berechtigungen für Aktionen in einer Ressource mit einem bestimmten Tag und zwei verschiedenen Tag-WertenVerhindern, dass ein Benutzer eine DB-Instance löschtVerweigern des gesamten Zugriffs auf eine Ressource

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Berechtigungsrichtlinien zum Erstellen, Ändern und Löschen von Ressourcen in Aurora

Die folgenden Abschnitte enthalten Beispiele für Berechtigungsrichtlinien, die den Zugriff auf Ressourcen gewähren und einschränken:

Erlauben Sie einem Benutzer, DB-Instances in einem AWS Konto zu erstellen

Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die es dem Konto mit der ID ermöglicht, DB-Instances für Ihr AWS Konto 123456789012 zu erstellen. Die Richtlinie setzt voraus, dass der Name der DB-Instance mit beginn test. Die neue DB-Instance muss auch die My SQL Database-Engine und die db.t2.micro DB-Instance-Klasse verwenden. Zusätzlich muss die neue DB-Instance eine Optionsgruppe und eine DB-Parametergruppe verwenden, die mit default beginnt und die Subnetzgruppe default verwendet.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "AllowCreateDBInstanceOnly",
         "Effect": "Allow",
         "Action": [
            "rds:CreateDBInstance"
         ],
         "Resource": [
            "arn:aws:rds:*:123456789012:db:test*",
            "arn:aws:rds:*:123456789012:og:default*",
            "arn:aws:rds:*:123456789012:pg:default*",
            "arn:aws:rds:*:123456789012:subgrp:default"
         ],
         "Condition": {
            "StringEquals": {
               "rds:DatabaseEngine": "mysql",
               "rds:DatabaseClass": "db.t2.micro"
            }
         }
      }
   ]
}

Die Richtlinie ist ein einzelnes Statement, das die folgenden Berechtigungen für den -Benutzer bestimmt:

  • Die Richtlinie ermöglicht es dem Konto, mithilfe der reateDBInstanceAPIC-Operation eine DB-Instance zu erstellen (dies gilt auch für den create-db-instance AWS CLI Befehl und den AWS Management Console).

  • Das Element Resource gibt an, dass der Benutzer auf oder mit Ressourcen Aktionen ausführen kann. Sie geben Ressourcen mit einem Amazon-Ressourcennamen (ARN) an. Dazu ARN gehören der Name des Services, zu dem die Ressource gehört (rds), die AWS Region (*steht in diesem Beispiel für eine beliebige Region), die AWS Kontonummer (123456789012ist in diesem Beispiel die Kontonummer) und die Art der Ressource. Weitere Informationen zum Erstellen finden ARNs Sie unterAmazon-Ressourcennamen (ARNs) in Amazon RDS.

    Das Resource-Element im Beispiel gibt für den Benutzer die folgenden richtlinienbezogenen Einschränkungen für die Ressourcen an:

    • Die DB-Instance-Kennung für die neue DB-Instance muss mit test beginnen (zum Beispiel testCustomerData1, test-region2-data).

    • Die Optionsgruppe für die neue DB-Instance muss mit beginne default.

    • Die DB-Parametergruppe für die neue DB-Instance muss mit beginne default.

    • Die Subnetzgruppe für die neue DB-Instance muss mit default beginnen.

  • Das Condition Element gibt an, dass es sich bei der DB-Engine um My SQL und bei der DB-Instance-Klasse um My handeln mussdb.t2.micro. Das Condition-Element bestimmt die Bedingungen, wann eine Richtlinie wirksam sein soll. Sie können zusätzliche Berechtigungen oder Einschränkungen hinzufügen, indem Sie das Condition-Element verwenden. Weitere Informationen zur Angabe von Bedingungen finden Sie unter Schlüssel zu den Versicherungsbedingungen für Aurora. Dieses Beispiel zeigt die Bedingungen rds:DatabaseEngine und rds:DatabaseClass. Informationen zu den gültigen Bedingungswerten für rds:DatabaseEngine finden Sie in der Liste unter dem Engine Parameter in reateDBInstanceC. Informationen zu den gültigen Bedingungswerten für rds:DatabaseClass finden Sie unter Unterstützte DB-Engines für DB-Instance-Klassen.

Das Element Principal ist in der Richtlinie nicht angegeben, da in identitätsbasierten Richtlinien die Angabe des Prinzipals als Empfänger der Berechtigung nicht erforderlich ist. Wenn Sie einem Benutzer eine Richtlinie zuweisen, ist der Benutzer automatisch der Prinzipal. Wenn Sie einer IAM Rolle eine Berechtigungsrichtlinie zuordnen, erhält der in der Vertrauensrichtlinie der Rolle angegebene Principal die Berechtigungen.

Eine Liste der Aurora-Aktionen finden Sie unter Von Amazon definierte Aktionen RDS in der Service Authorization Reference.

Erlauben Sie einem Benutzer, eine beliebige beschreibende Aktion an einer beliebigen RDS Ressource durchzuführen

Die folgende Berechtigungsrichtlinie gewährt Berechtigungen für einen Benutzer, alle Aktionen auszuführen, die mit beginne Describe. Diese Aktionen zeigen Informationen über eine RDS Ressource, z. B. eine DB-Instance. Das Platzhalterzeichen (*) in dem Resource Element gibt an, dass die Aktionen für alle Aurora Aurora-Ressourcen zulässig sind, die dem Konto gehören. 

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "AllowRDSDescribe",
         "Effect": "Allow",
         "Action": "rds:Describe*",
         "Resource": "*"
      }
   ]
}

Einem Benutzer erlauben, eine DB-Instance zu erstellen, die spezifische DB-Parametergruppe und Subnetzgruppe verwendet.

Die folgenden Berechtigungsrichtlinien erteilen einem Benutzer die Erlaubnis, ausschließlich eine DB-Instance mit der DB-Parametergruppe mydbpg und der DB-Subnetzgruppe mydbsubnetgroup zu erstellen. 

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "VisualEditor0",
         "Effect": "Allow",
         "Action": "rds:CreateDBInstance",
         "Resource": [
            "arn:aws:rds:*:*:pg:mydbpg",
            "arn:aws:rds:*:*:subgrp:mydbsubnetgroup"
         ]
      }
   ]
}

Erteilen von Berechtigungen für Aktionen in einer Ressource mit einem bestimmten Tag und zwei verschiedenen Tag-Werten

Sie können Bedingungen in Ihrer identitätsbasierten Richtlinie verwenden, um den Zugriff auf Aurora-Ressourcen anhand von Tags zu kontrollieren. Die folgende Richtlinie ermöglicht die Genehmigung, den CreateDBSnapshot API Vorgang auf DB-Instances durchzuführen, bei denen das stage Tag entweder auf development oder gesetzt ist. test

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"AllowAnySnapshotName",
         "Effect":"Allow",
         "Action":[
            "rds:CreateDBSnapshot"
         ],
         "Resource":"arn:aws:rds:*:123456789012:snapshot:*"
      },
      {
         "Sid":"AllowDevTestToCreateSnapshot",
         "Effect":"Allow",
         "Action":[
            "rds:CreateDBSnapshot"
         ],
         "Resource":"arn:aws:rds:*:123456789012:db:*",
         "Condition":{
            "StringEquals":{
                "rds:db-tag/stage":[
                  "development",
                  "test"
               ]
            }
         }
      }
   ]
}

Die folgende Richtlinie gewährt die Erlaubnis, den ModifyDBInstance API Vorgang auf DB-Instances auszuführen, bei denen das stage Tag entweder auf development oder gesetzt isttest.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"AllowChangingParameterOptionSecurityGroups",
         "Effect":"Allow",
         "Action":[
            "rds:ModifyDBInstance"
         ],
         "Resource": [
            "arn:aws:rds:*:123456789012:pg:*",
            "arn:aws:rds:*:123456789012:secgrp:*",
            "arn:aws:rds:*:123456789012:og:*"
         ]
      },
      {
         "Sid":"AllowDevTestToModifyInstance",
         "Effect":"Allow",
         "Action":[
            "rds:ModifyDBInstance"
         ],
         "Resource":"arn:aws:rds:*:123456789012:db:*",
         "Condition":{
            "StringEquals":{
                "rds:db-tag/stage":[
                  "development",
                  "test"
               ]
            }
         }
      }
   ]
}

Verhindern, dass ein Benutzer eine DB-Instance löscht

Die folgenden Berechtigungsrichtlinien erteilen Berechtigungen, um einen Benutzer davon abzuhalten, eine bestimmte DB-Instance zu löschen. Beispielsweise möchten Sie jedem Benutzer, der kein Administrator ist, verbieten, Ihre Produktions-DB-Instances zu löschen.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "DenyDelete1",
         "Effect": "Deny",
         "Action": "rds:DeleteDBInstance",
         "Resource": "arn:aws:rds:us-west-2:123456789012:db:my-mysql-instance"
      }
   ]
}

Verweigern des gesamten Zugriffs auf eine Ressource

Sie können den Zugriff auf eine Ressource explizit verweigern. Verweigerungsrichtlinien haben Vorrang vor Zulassungsrichtlinien. Die folgende Richtlinie verweigert einem Benutzer explizit die Möglichkeit, eine Ressource zu verwalten:

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Effect": "Deny",
         "Action": "rds:*",
         "Resource": "arn:aws:rds:us-east-1:123456789012:db:mydb"
      }
   ]
}