Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aktionen, Ressourcen und Bedingungsschlüssel für Amazon RDS
Amazon RDS (Service-Präfix:rds) stellt die folgenden servicespezifischen Ressourcen, Aktionen und Bedingungskontextschlüssel zur Verwendung in IAM Berechtigungsrichtlinien bereit.
Referenzen:
-
Erfahren Sie, wie Sie diesen Service konfigurieren.
-
Sehen Sie sich eine Liste der für diesen Service verfügbaren API Operationen an.
-
Erfahren Sie, wie Sie diesen Dienst und seine Ressourcen mithilfe von IAM Berechtigungsrichtlinien schützen können.
Themen
Von Amazon definierte Aktionen RDS
Sie können die folgenden Aktionen im Action Element einer IAM Grundsatzerklärung angeben. Verwenden Sie Richtlinien, um Berechtigungen zum Ausführen einer Operation in AWS zu erteilen. Wenn Sie eine Aktion in einer Richtlinie verwenden, gewähren oder verweigern Sie normalerweise den Zugriff auf den API Vorgang oder CLI Befehl mit demselben Namen. Dabei kann es mitunter vorkommen, dass eine einzige Aktion den Zugriff auf mehr als eine Operation steuert. Alternativ erfordern einige Vorgänge mehrere verschiedene Aktionen.
Die Spalte Resource types (Ressourcentypen) der Aktionstabelle gibt an, ob die Aktion Berechtigungen auf Ressourcenebene unterstützt. Wenn es keinen Wert für diese Spalte gibt, müssen Sie alle Ressourcen ("*") im Element Resource Ihrer Richtlinienanweisung angeben. Wenn die Spalte einen Ressourcentyp enthält, können Sie in ARN einer Anweisung mit dieser Aktion einen Ressourcentyp angeben. Wenn für die Aktion eine oder mehrere Ressourcen erforderlich sind, muss der Aufrufer die Erlaubnis haben, die Aktion mit diesen Ressourcen zu verwenden. Erforderliche Ressourcen sind in der Tabelle mit einem Sternchen (*) gekennzeichnet. Wenn Sie den Ressourcenzugriff mit dem Resource Element in einer IAM Richtlinie einschränken, müssen Sie für jeden erforderlichen Ressourcentyp ein ARN Oder-Muster angeben. Einige Aktionen unterstützen mehrere Ressourcentypen. Wenn der Ressourcentyp optional ist (nicht als erforderlich angegeben), können Sie sich für einen der optionalen Ressourcentypen entscheiden.
Die Spalte Bedingungsschlüssel der Tabelle der Aktionen enthält Schlüssel, die Sie im Element Condition einer Richtlinienanweisung angeben können. Weitere Informationen zu den Bedingungsschlüsseln, die den Ressourcen für den Service zugeordnet sind, finden Sie in der Spalte Bedingungsschlüssel der Tabelle der Ressourcentypen.
Anmerkung
Die Ressourcenbedingungsschlüssel sind in der Tabelle Ressourcentypen enthalten. Sie finden einen Link zu dem Ressourcentyp, der für eine Aktion gilt, in der Spalte Ressourcentypen (*erforderlich) der Tabelle „Aktionen“. Der Ressourcentyp in der Tabelle „Ressourcentypen“ enthält die Spalte Bedingungsschlüssel. Das sind die Ressourcenbedingungsschlüssel, die für eine Aktion in der Tabelle „Aktionen“ gelten.
Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Aktionen
| Aktionen | Beschreibung | Zugriffsebene | Ressourcentypen (*erforderlich) | Bedingungsschlüssel | Abhängige Aktionen |
|---|---|---|---|---|---|
| AddRoleToDBCluster | Erteilt die Berechtigung, eine Identity and Access Management (IAM) -Rolle aus einem Aurora-DB-Cluster zuzuordnen | Schreiben |
iam:PassRole |
||
| AddRoleToDBInstance | Erteilt die Berechtigung, einer DB-Instance eine AWS Identity and Access Management (IAM) -Rolle zuzuordnen | Schreiben |
iam:PassRole |
||
| AddSourceIdentifierToSubscription | Erteilt die Berechtigung, einem bestehenden Abonnement für RDS Ereignisbenachrichtigungen eine Quell-ID hinzuzufügen | Schreiben | |||
| AddTagsToResource | Erteilt die Erlaubnis, Metadaten-Tags zu einer RDS Amazon-Ressource hinzuzufügen | Tagging | |||
| ApplyPendingMaintenanceAction | Gewährt die Berechtigung zum Anwenden einer ausstehenden Wartungsaktion auf eine Ressource | Schreiben | |||
| AuthorizeDBSecurityGroupIngress | Erteilt die Erlaubnis, den Zugriff auf eine DBSecurityGroup von zwei Autorisierungsformen zu ermöglichen | Berechtigungsverwaltung | |||
| BacktrackDBCluster | Gewährt die Berechtigung, einen DB-Cluster bis zu einem bestimmten Zeitpunkt zurückzuverfolgen, ohne einen neuen DB-Cluster zu erstellen | Write | |||
| CancelExportTask | Gewährt die Berechtigung zum Abbrechen einer laufenden Exportaufgabe | Schreiben | |||
| CopyCustomDBEngineVersion [nur Berechtigung] | Erteilt die Berechtigung zum Kopieren einer benutzerdefinierten Engine-Version | Schreiben | |||
| CopyDBClusterParameterGroup | Gewährt die Berechtigung zum Kopieren der angegebenen DB-Cluster-Parametergruppe | Write |
rds:AddTagsToResource |
||
| CopyDBClusterSnapshot | Gewährt die Berechtigung zum Erstellen eines Snapshots eines DB-Clusters | Write |
rds:AddTagsToResource |
||
| CopyDBParameterGroup | Gewährt die Berechtigung zum Kopieren der angegebenen DB-Parametergruppe | Write |
rds:AddTagsToResource |
||
| CopyDBSnapshot | Gewährt die Berechtigung zum Kopieren des angegebenen DB-Snapshots | Write |
rds:AddTagsToResource rds:CopyCustomDBEngineVersion |
||
| CopyOptionGroup | Gewährt die Berechtigung zum Kopieren der angegebenen Optionsgruppe | Schreiben |
rds:AddTagsToResource |
||
| CreateBlueGreenDeployment | Gewährt die Berechtigung zum Erstellen einer Blau/Grün-Bereitstellung für einen bestimmten Quellcluster oder eine Instance | Schreiben |
rds:AddTagsToResource rds:CreateDBCluster rds:CreateDBClusterEndpoint rds:CreateDBInstance rds:CreateDBInstanceReadReplica |
||
| CreateCustomDBEngineVersion | Gewährt die Berechtigung zum Erstellen einer benutzerdefinierten Engine-Version | Schreiben |
iam:CreateServiceLinkedRole mediaimport:CreateDatabaseBinarySnapshot rds:AddTagsToResource |
||
| CreateDBCluster | Erteilt die Berechtigung zum Erstellen eines neuen DB-Clusters | Schreiben |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateDBInstance secretsmanager:CreateSecret secretsmanager:TagResource |
||
| CreateDBClusterEndpoint | Erteilt die Erlaubnis, einen neuen benutzerdefinierten Endpunkt zu erstellen und ordnet ihn einem Amazon Aurora Aurora-DB-Cluster oder Amazon DocumentDB-Cluster zu | Schreiben |
rds:AddTagsToResource |
||
| CreateDBClusterParameterGroup | Gewährt die Berechtigung zum Erstellen einer neuen DB-Cluster-Parametergruppe | Write |
rds:AddTagsToResource |
||
| CreateDBClusterSnapshot | Gewährt die Berechtigung zum Erstellen eines Snapshots eines DB-Clusters | Write |
rds:AddTagsToResource |
||
| CreateDBInstance | Gewährt die Berechtigung zum Erstellen einer neuen DB-Instance | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateTenantDatabase secretsmanager:CreateSecret secretsmanager:TagResource |
||
| CreateDBInstanceReadReplica | Gewährt die Berechtigung zum Erstellen einer DB-Instance, die als Read Replica einer Quell-DB-Instance fungiert | Write |
iam:PassRole rds:AddTagsToResource |
||
| CreateDBParameterGroup | Gewährt die Berechtigung zum Erstellen einer neuen DB-Parametergruppe | Write |
rds:AddTagsToResource |
||
| CreateDBProxy | Gewährt die Berechtigung, einen Datenbank-Proxy zu erstellen | Write |
iam:PassRole |
||
| CreateDBProxyEndpoint | Gewährt die Berechtigung zum Erstellen eines Datenbank-Proxy-Endpunkts | Write | |||
| CreateDBSecurityGroup | Gewährt die Berechtigung zum Erstellen einer neuen DB-Sicherheitsgruppe DB-Sicherheitsgruppen steuern den Zugriff auf eine DB-Instance. | Schreiben |
rds:AddTagsToResource |
||
| CreateDBShardGroup | Erteilt die Erlaubnis, eine neue Aurora Limitless Database DB-Shard-Gruppe zu erstellen | Schreiben |
rds:AddTagsToResource |
||
| CreateDBSnapshot | Erteilt die Erlaubnis zum Erstellen eines DBSnapshot | Schreiben |
rds:AddTagsToResource |
||
| CreateDBSubnetGroup | Gewährt die Berechtigung zum Erstellen einer neuen DB-Subnetzgruppe | Schreiben |
rds:AddTagsToResource |
||
| CreateEventSubscription | Erteilt die Erlaubnis, ein Abonnement für RDS Ereignisbenachrichtigungen zu erstellen | Schreiben |
rds:AddTagsToResource |
||
| CreateGlobalCluster | Erteilt die Erlaubnis, eine globale Aurora-Datenbank oder eine globale DocumentDB-Datenbank zu erstellen, die über mehrere Regionen verteilt ist | Schreiben | |||
| CreateIntegration | Erteilt die Erlaubnis, eine ETL Aurora-Zero-Integration mit Redshift zu erstellen | Schreiben |
kms:CreateGrant kms:DescribeKey rds:AddTagsToResource |
||
| CreateOptionGroup | Gewährt die Berechtigung zum Erstellen einer neuen Optionsgruppe | Schreiben |
rds:AddTagsToResource |
||
| CreateTenantDatabase | Gewährt Berechtigungen zum Erstellen einer neuen Tenant-Datenbank | Schreiben |
rds:AddTagsToResource |
||
| CrossRegionCommunication [nur Berechtigung] | Gewährt die Berechtigung für den Zugriff auf eine Ressource in der Remote-Region, wenn regionsübergreifende Produktionen ausgeführt werden, z. B. eine regionsübergreifende Snapshot-Kopie oder eine regionsübergreifende Read Replica-Erstellung | Schreiben | |||
| DeleteBlueGreenDeployment | Gewährt die Berechtigung zum Löschen einer Blau/Grün-Bereitstellung | Schreiben |
rds:DeleteDBCluster rds:DeleteDBClusterEndpoint rds:DeleteDBInstance rds:PromoteReadReplica rds:PromoteReadReplicaDBCluster |
||
| DeleteCustomDBEngineVersion | Gewährt die Berechtigung zum Löschen einer bestehenden benutzerdefinierten Engine-Version | Schreiben | |||
| DeleteDBCluster | Gewährt die Berechtigung zum Löschen eines zuvor bereitgestellten DB-Clusters | Schreiben |
rds:AddTagsToResource rds:CreateDBClusterSnapshot rds:DeleteDBInstance |
||
| DeleteDBClusterAutomatedBackup | Erteilt die Berechtigung zum Löschen automatisierter Cluster-Backups auf der Grundlage des DbClusterResourceId Werts des Quell-Clusters oder der Ressourcen-ID des wiederherstellbaren Clusters | Schreiben | |||
| DeleteDBClusterEndpoint | Erteilt die Berechtigung zum Löschen eines benutzerdefinierten Endpunkts und entfernt ihn aus einem Amazon Aurora Aurora-DB-Cluster oder Amazon DocumentDB-Cluster | Schreiben | |||
| DeleteDBClusterParameterGroup | Gewährt die Berechtigung zum Löschen einer angegebenen DB-Cluster-Parametergruppe | Write | |||
| DeleteDBClusterSnapshot | Gewährt die Berechtigung zum Löschen eines DB-Cluster-Snapshots | Write | |||
| DeleteDBInstance | Gewährt die Berechtigung zum Löschen einer zuvor bereitgestellten DB-Instance | Schreiben |
rds:AddTagsToResource rds:CreateDBSnapshot rds:DeleteTenantDatabase |
||
| DeleteDBInstanceAutomatedBackup | Erteilt die Erlaubnis, automatische Backups auf der Grundlage des DbiResourceId Werts der Quell-Instance oder der Ressourcen-ID der wiederherstellbaren Instance zu löschen | Schreiben | |||
| DeleteDBParameterGroup | Erteilt die Erlaubnis, eine angegebene Datei zu löschen DBParameterGroup | Schreiben | |||
| DeleteDBProxy | Gewährt die Berechtigung zum Löschen eines Datenbank-Proxys | Write | |||
| DeleteDBProxyEndpoint | Gewährt die Berechtigung zum Löschen eines Datenbank-Proxy-Endpunkts | Write | |||
| DeleteDBSecurityGroup | Gewährt die Berechtigung zum Löschen einer DB-Sicherheitsgruppe | Schreiben | |||
| DeleteDBShardGroup | Erteilt die Berechtigung zum Löschen einer Aurora Limitless Database DB-Shard-Gruppe | Schreiben | |||
| DeleteDBSnapshot | Erteilt die Erlaubnis zum Löschen eines DBSnapshot | Schreiben | |||
| DeleteDBSubnetGroup | Gewährt die Berechtigung zum Löschen einer DB-Subnetzgruppe | Schreiben | |||
| DeleteEventSubscription | Erteilt die Berechtigung zum Löschen eines Abonnements für RDS Ereignisbenachrichtigungen | Schreiben | |||
| DeleteGlobalCluster | Gewährt die Berechtigung zum Löschen eines globalen Datenbankclusters | Schreiben | |||
| DeleteIntegration | Erteilt die Erlaubnis, eine ETL Aurora-Zero-Integration mit Redshift zu löschen | Schreiben | |||
| DeleteOptionGroup | Gewährt die Berechtigung zum Löschen einer vorhandenen Optionsgruppe | Schreiben | |||
| DeleteTenantDatabase | Gewährt die Berechtigung zum Löschen einer Tenant-Datenbank | Schreiben |
rds:AddTagsToResource rds:CreateDBSnapshot |
||
| DeregisterDBProxyTargets | Gewährt die Berechtigung, Ziele aus einer Datenbank-Proxy-Zielgruppe zu entfernen | Write | |||
| DescribeAccountAttributes | Gewährt die Berechtigung, alle Attribute eines Kundenkontos aufzulisten | Auflisten | |||
| DescribeBlueGreenDeployments | Gewährt die Berechtigung zum Beschreiben von Blau/Grün-Bereitstellungen | Auflisten | |||
| DescribeCertificates | Erteilt die Erlaubnis, die von Amazon RDS dafür bereitgestellten CA-Zertifikate aufzulisten AWS-Konto | Auflisten | |||
| DescribeDBClusterAutomatedBackups | Erteilt die Berechtigung zum Zurückgeben einer Liste automatisierter Cluster-Sicherungen für aktuelle und gelöschte Cluster | Auflisten | |||
| DescribeDBClusterBacktracks | Gewährt die Berechtigung zum Zurückgeben von Informationen über Backtracks für einen DB-Cluster | List | |||
| DescribeDBClusterEndpoints | Gewährt die Berechtigung, Informationen zu Endpunkten für einen Amazon Aurora DB-Cluster zurückzugeben | Auflisten | |||
| DescribeDBClusterParameterGroups | Erteilt die Erlaubnis, eine Liste mit DBClusterParameterGroup Beschreibungen zurückzugeben | Auflisten | |||
| DescribeDBClusterParameters | Gewährt die Berechtigung, die detaillierte Parameterliste für eine bestimmte DB-Cluster-Parametergruppe zurückzugeben | List | |||
| DescribeDBClusterSnapshotAttributes | Gewährt die Berechtigung, eine Liste der Namen und Werte von DB-Cluster-Attributen eines manuellen DB-Cluster-Snapshots zurückzugeben | List | |||
| DescribeDBClusterSnapshots | Gewährt die Berechtigung, Informationen über DB-Cluster-Snapshots zurückzugeben | Auflisten | |||
| DescribeDBClusters | Erteilt die Erlaubnis, Informationen über bereitgestellte Aurora-DB-Cluster oder DocumentDB-Cluster zurückzugeben | Auflisten | |||
| DescribeDBEngineVersions | Gewährt die Berechtigung, eine Liste der verfügbaren DB-Engines zurückzugeben | List | |||
| DescribeDBInstanceAutomatedBackups | Gewährt die Berechtigung zum Zurückgeben einer Liste automatisierter Sicherungen für aktuelle und gelöschte Instances | Auflisten | |||
| DescribeDBInstances | Erteilt die Erlaubnis, Informationen über bereitgestellte Instances zurückzugeben RDS | Auflisten | |||
| DescribeDBLogFiles | Gewährt die Berechtigung, eine Liste von DB-Protokolldateien für die DB-Instance zurückzugeben | Auflisten | |||
| DescribeDBParameterGroups | Erteilt die Erlaubnis, eine Liste mit Beschreibungen zurückzugeben DBParameterGroup | Auflisten | |||
| DescribeDBParameters | Gewährt die Berechtigung, die detaillierte Parameterliste für eine bestimmte DB-Parametergruppe zurückzugeben | List | |||
| DescribeDBProxies | Gewährt die Berechtigung zur Anzeige von Proxys | List | |||
| DescribeDBProxyEndpoints | Gewährt die Berechtigung zur Anzeige von Proxy-Endpunkten | List | |||
| DescribeDBProxyTargetGroups | Gewährt die Berechtigung, Datenbank-Proxy-Zielgruppendetails anzuzeigen | List | |||
| DescribeDBProxyTargets | Gewährt die Berechtigung zum Anzeigen von Datenbank-Proxy-Zieldetails | Auflisten | |||
| DescribeDBRecommendations | Gewährt die Berechtigung zum Auflisten von Empfehlungsdetails | Auflisten | |||
| DescribeDBSecurityGroups | Erteilt die Erlaubnis, eine Liste mit DBSecurityGroup Beschreibungen zurückzugeben | Auflisten | |||
| DescribeDBShardGroups | Erteilt die Erlaubnis, Informationen über alle Aurora Limitless Database DB-Shard-Gruppen für dieses Konto zurückzugeben. Sie können nach Shard-Gruppe (n) filtern | Auflisten | |||
| DescribeDBSnapshotAttributes | Gewährt die Berechtigung, eine Liste der Namen und Werte von DB-Snapshot-Attributen eines manuellen DB-Snapshots zurückzugeben | Auflisten | |||
| DescribeDBSnapshotTenantDatabases | Gewährt die Berechtigung zum Zurückgeben von Informationen über Tenant-Datenbanken in DB-Snapshots. Sie können nach Region oder Snapshot filtern | Auflisten | |||
| DescribeDBSnapshots | Gewährt die Berechtigung zum Zurückgeben von Informationen über DB-Snapshots | Auflisten | |||
| DescribeDBSubnetGroups | Erteilt die Erlaubnis, eine Liste mit Beschreibungen zurückzugeben DBSubnetGroup | Auflisten | |||
| DescribeEngineDefaultClusterParameters | Gewährt die Berechtigung, die Standard-Engine- und System-Parameterinformationen für die Cluster-Datenbank-Engine zurückzugeben | List | |||
| DescribeEngineDefaultParameters | Gewährt die Berechtigung, die Standard-Engine- und System-Parameterinformationen für die angegebene Datenbank-Engine zurückzugeben | List | |||
| DescribeEventCategories | Gewährt die Berechtigung zum Anzeige einer Liste von Kategorien für alle Ereignisquelltypen oder – falls angegeben – für einen angegebenen Quelltyp | List | |||
| DescribeEventSubscriptions | Gewährt die Berechtigung zum Auflisten aller Abonnementbeschreibungen für ein Kundenkonto | List | |||
| DescribeEvents | Gewährt die Berechtigung, Ereignisse zu DB-Instances, DB-Sicherheitsgruppen, DB-Snapshots und DB-Parametergruppen in den vergangenen 14 Tagen zurückzugeben | List | |||
| DescribeExportTasks | Gewährt die Berechtigung zum Zurückgeben von Informationen zu Exportaufgaben | Auflisten | |||
| DescribeGlobalClusters | Erteilt die Erlaubnis, Informationen über globale Aurora-Datenbankcluster oder globale DocumentDB-Datenbankcluster zurückzugeben | Auflisten | |||
| DescribeIntegrations | Erteilt die Erlaubnis, eine ETL Aurora-Zero-Integration mit Redshift zu beschreiben | Auflisten | |||
| DescribeOptionGroupOptions | Gewährt die Berechtigung zum Beschreiben aller verfügbaren Optionen | List | |||
| DescribeOptionGroups | Gewährt die Berechtigung zum Beschreiben der verfügbaren Optionsgruppen | List | |||
| DescribeOrderableDBInstanceOptions | Gewährt die Berechtigung, eine Liste der bestellbaren DB-Instance-Optionen für die angegebene Engine zurückzugeben | List | |||
| DescribePendingMaintenanceActions | Gewährt die Berechtigung zum Zurückgeben von einer Liste von Ressourcen (z. B. DB-Instances), für die mindestens eine Wartungsaktion aussteht | Auflisten | |||
| DescribeRecommendationGroups [nur Berechtigung] | Gewährt die Berechtigung zum Erhalten von Informationen zu Empfehlungsgruppen | Lesen | |||
| DescribeRecommendations [nur Berechtigung] | Gewährt die Berechtigung zum Erhalten von Informationen zu Empfehlungen | Lesen | |||
| DescribeReservedDBInstances | Gewährt die Berechtigung, Informationen zu reservierten DB-Instances für dieses Konto oder zur angegebenen reservierten DB-Instance zurückzugeben | List | |||
| DescribeReservedDBInstancesOfferings | Gewährt die Berechtigung, verfügbare reservierte DB-Instance-Angebote aufzulisten | Auflisten | |||
| DescribeSourceRegions | Erteilt die Erlaubnis, eine Liste der Quellen zurückzugeben, aus AWS-Regionen der der aktuelle Benutzer eine Read Replica erstellen oder einen DB-Snapshot kopieren AWS-Region kann | Auflisten | |||
| DescribeTenantDatabases | Gewährt die Berechtigung zum Zurückgeben von Informationen über alle bereitgestellten Tenant-Datenbanken. Sie können nach Region oder Snapshot filtern | Auflisten | |||
| DescribeValidDBInstanceModifications | Gewährt die Berechtigung zum Auflisten verfügbarer Änderungen, die Sie an Ihrer DB-Instance vornehmen können | Auflisten | |||
| DisableHttpEndpoint | Gewährt die Berechtigung zum Deaktivieren des HTTP-Endpunkts für einen DB-Cluster | Schreiben | |||
| DownloadCompleteDBLogFile | Gewährt die Berechtigung zum Herunterladen einer bestimmten Protokolldatei | Lesen | |||
| DownloadDBLogFilePortion | Gewährt die Berechtigung zum Herunterladen der gesamten oder eines Teils der angegebenen Protokolldatei mit einer Größe von bis zu 1 MB | Lesen | |||
| EnableHttpEndpoint | Gewährt die Berechtigung zum Aktivieren des HTTP-Endpunkts für einen DB-Cluster | Schreiben | |||
| FailoverDBCluster | Gewährt die Berechtigung zum Erzwingen eines Failovers für einen DB-Cluster | Write | |||
| FailoverGlobalCluster | Gewährt die Berechtigung zum Failover eines globalen Clusters | Schreiben | |||
| ListTagsForResource | Erteilt die Erlaubnis, alle Tags auf einer RDS Amazon-Ressource aufzulisten | Lesen | |||
| ModifyActivityStream | Erteilung der Berechtigung zur Änderung eines Datenbankaktivitätsstroms | Schreiben | |||
| ModifyCertificates | Erteilt die Erlaubnis, das standardmäßige Systemzertifikat Layer/Transport Layer Security (SSL/TLS (Secure Sockets) für Amazon RDS für neue DB-Instances zu ändern | Schreiben | |||
| ModifyCurrentDBClusterCapacity | Erteilt die Erlaubnis, die aktuelle Clusterkapazität für einen Amazon Aurora Serverless DB-Cluster zu ändern | Schreiben | |||
| ModifyCustomDBEngineVersion | Gewährt die Berechtigung zum Ändern einer bestehenden benutzerdefinierten Engine-Version | Schreiben | |||
| ModifyDBCluster | Erteilt die Erlaubnis, eine Einstellung für einen Amazon Aurora Aurora-DB-Cluster oder Amazon DocumentDB-Cluster zu ändern | Schreiben |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:ModifyDBInstance secretsmanager:CreateSecret secretsmanager:RotateSecret secretsmanager:TagResource |
||
| ModifyDBClusterEndpoint | Erteilt die Erlaubnis, die Eigenschaften eines Endpunkts in einem Amazon Aurora-DB-Cluster oder Amazon DocumentDB-Cluster zu ändern | Schreiben | |||
| ModifyDBClusterParameterGroup | Gewährt die Berechtigung zum Ändern der Parameter einer DB-Cluster-Parametergruppe | Write | |||
| ModifyDBClusterSnapshotAttribute | Gewährt die Berechtigung zum Hinzufügen eines Attribut und von Werten zu einem manuellen DB-Cluster-Snapshot, oder entfernt ein Attribut und Werte daraus | Write | |||
| ModifyDBInstance | Gewährt die Berechtigung zum Ändern von Einstellungen für eine DB-Instance | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateTenantDatabase secretsmanager:CreateSecret secretsmanager:RotateSecret secretsmanager:TagResource |
||
| ModifyDBParameterGroup | Gewährt die Berechtigung zum Ändern der Parameter einer DB-Parametergruppe | Write | |||
| ModifyDBProxy | Gewährt die Berechtigung, den Datenbank-Proxy zu ändern | Write |
iam:PassRole |
||
| ModifyDBProxyEndpoint | Gewährt die Berechtigung zum Ändern des Datenbank-Proxy-Endpunkts | Write | |||
| ModifyDBProxyTargetGroup | Gewährt die Berechtigung, die Datenbank-Proxy-Zielgruppe zu ändern | Schreiben | |||
| ModifyDBRecommendation | Gewährt die Berechtigung zum Ändern von Empfehlungen | Schreiben | |||
| ModifyDBShardGroup | Erteilt die Berechtigung, Eigenschaften einer Aurora Limitless Database DB-Shard-Gruppe zu ändern | Schreiben | |||
| ModifyDBSnapshot | Gewährt die Berechtigung zum Aktualisieren eines manuellen DB-Snapshots, der verschlüsselt oder nicht verschlüsselt sein kann, mit einer neuen Engine-Version | Write | |||
| ModifyDBSnapshotAttribute | Gewährt die Berechtigung, einem manuellen DB-Snapshot ein Attribut und Werte hinzufügen, oder entfernt ein Attribut und Werte daraus | Write | |||
| ModifyDBSubnetGroup | Gewährt die Berechtigung zum Ändern einer vorhandenen DB-Subnetzgruppe | Schreiben | |||
| ModifyEventSubscription | Erteilt die Berechtigung, ein vorhandenes Abonnement für RDS Ereignisbenachrichtigungen zu ändern | Schreiben | |||
| ModifyGlobalCluster | Erteilt die Erlaubnis, eine Einstellung für einen globalen Amazon Aurora Aurora-Cluster oder einen globalen Amazon DocumentDB-Cluster zu ändern | Schreiben | |||
| ModifyIntegration | Erteilt die Erlaubnis, eine ETL Aurora-Zero-Integration mit Redshift zu ändern | Schreiben | |||
| ModifyOptionGroup | Gewährt die Berechtigung zum Ändern einer vorhandenen Optionsgruppe | Schreiben |
iam:PassRole |
||
| ModifyRecommendation [nur Berechtigung] | Gewährt die Berechtigung zum Ändern von Empfehlungen | Schreiben | |||
| ModifyTenantDatabase | Gewährt die Berechtigung zum Ändern einer Tenant-Datenbank | Schreiben | |||
| PromoteReadReplica | Gewährt die Berechtigung zum Heraufstufen einer Read Replica-DB-Instance auf eine eigenständige DB-Instance | Write | |||
| PromoteReadReplicaDBCluster | Gewährt die Berechtigung, einen Read Replica-DB-Cluster auf einen eigenständigen DB-Cluster heraufzustufen | Write | |||
| PurchaseReservedDBInstancesOffering | Gewährt die Berechtigung zum Kauf einer reservierten DB-Instance | Schreiben | |||
| RebootDBCluster | Gewährt die Berechtigung zum Neustarten eines zuvor bereitgestellten DB-Clusters | Schreiben |
rds:RebootDBInstance |
||
| RebootDBInstance | Gewährt die Berechtigung zum Neustart des Datenbank-Engine-Service | Schreiben | |||
| RebootDBShardGroup | Erteilt die Erlaubnis, eine Aurora Limitless Database DB-Shard-Gruppe neu zu starten | Schreiben | |||
| RegisterDBProxyTargets | Gewährt die Berechtigung zum Hinzufügen von Zielen zu einer Datenbank-Proxy-Zielgruppe | Schreiben | |||
| RemoveFromGlobalCluster | Erteilt die Erlaubnis, einen sekundären Aurora-Cluster von einem globalen Aurora-Datenbankcluster oder einem globalen DocumentDB-Cluster zu trennen | Schreiben | |||
| RemoveRoleFromDBCluster | Erteilt die Erlaubnis, eine AWS Identity and Access Management (IAM) -Rolle von einem Amazon Aurora Aurora-DB-Cluster zu trennen | Schreiben |
iam:PassRole |
||
| RemoveRoleFromDBInstance | Erteilt die Berechtigung, die Zuordnung einer AWS Identity and Access Management (IAM) -Rolle zu einer DB-Instance aufzuheben | Schreiben |
iam:PassRole |
||
| RemoveSourceIdentifierFromSubscription | Erteilt die Berechtigung, eine Quell-ID aus einem bestehenden Abonnement für RDS Ereignisbenachrichtigungen zu entfernen | Schreiben | |||
| RemoveTagsFromResource | Erteilt die Erlaubnis, Metadaten-Tags aus einer RDS Amazon-Ressource zu entfernen | Tagging | |||
| ResetDBClusterParameterGroup | Gewährt die Berechtigung zum Ändern der Parameter einer DB-Cluster-Parametergruppe auf den Standardwert | Write | |||
| ResetDBParameterGroup | Gewährt die Berechtigung, die Parameter einer DB-Parametergruppe auf die Standardwerte der Engine/des Systems zurückzusetzen | Write | |||
| RestoreDBClusterFromS3 | Gewährt die Berechtigung zum Erstellen eines Amazon Aurora DB-Clusters aus Daten, die in einem Amazon S3 Bucket gespeichert sind | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource secretsmanager:CreateSecret secretsmanager:TagResource |
||
| RestoreDBClusterFromSnapshot | Gewährt die Berechtigung zum Erstellen eines neuen DB-Clusters aus einem DB-Cluster-Snapshot | Write |
iam:PassRole rds:AddTagsToResource rds:CreateDBInstance |
||
| RestoreDBClusterToPointInTime | Gewährt die Berechtigung zum Wiederherstellen eines DB-Clusters zu einem beliebigen Zeitpunkt | Write |
iam:PassRole rds:AddTagsToResource rds:CreateDBInstance |
||
| RestoreDBInstanceFromDBSnapshot | Gewährt die Berechtigung zum Erstellen einer neuen DB-Instance aus einem DB-Snapshot | Write |
iam:PassRole rds:AddTagsToResource rds:CreateTenantDatabase |
||
| RestoreDBInstanceFromS3 | Gewährt die Berechtigung zum Erstellen einer neuen DB-Instance aus einem Amazon-S3-Bucket | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource secretsmanager:CreateSecret secretsmanager:TagResource |
||
| RestoreDBInstanceToPointInTime | Gewährt die Berechtigung zum Wiederherstellen einer DB-Instance zu einem beliebigen Zeitpunkt | Schreiben |
iam:PassRole rds:AddTagsToResource rds:CreateTenantDatabase |
||
| RevokeDBSecurityGroupIngress | Erteilt die Erlaubnis, Zugriffe aus vier zuvor autorisierten IP-Bereichen EC2 oder VPC Sicherheitsgruppen zu widerrufen DBSecurityGroup | Schreiben | |||
| StartActivityStream | Gewährt die Berechtigung zum Starten von Aktivity Stream | Schreiben | |||
| StartDBCluster | Gewährt die Berechtigung zum Starten des DB-Clusters | Schreiben | |||
| StartDBInstance | Gewährt die Berechtigung zum Starten der DB-Instance | Schreiben | |||
| StartDBInstanceAutomatedBackupsReplication | Erteilt die Berechtigung, mit der Replikation automatisierter Backups auf ein anderes System zu beginnen AWS-Region | Schreiben | |||
| StartExportTask | Gewährt die Berechtigung zum Starten einer neuen Exportaufgabe für einen DB-Snapshot | Write |
iam:PassRole |
||
| StopActivityStream | Gewährt die Berechtigung zum Beenden von Activity Stream | Write | |||
| StopDBCluster | Gewährt die Berechtigung zum Beenden des DB-Clusters | Write | |||
| StopDBInstance | Gewährt die Berechtigung zum Beenden der DB-Instance | Write |
rds:AddTagsToResource rds:CreateDBSnapshot |
||
| StopDBInstanceAutomatedBackupsReplication | Gewährt die Berechtigung, die automatisierte Backup-Replikation für eine DB-Instance | Schreiben | |||
| SwitchoverBlueGreenDeployment | Gewährt die Berechtigung zum Wechseln einer Blau/Grün-Bereitstellung von der Quell-Instance oder dem Cluster zur Ziel-Instance | Schreiben |
rds:ModifyDBCluster rds:ModifyDBInstance rds:PromoteReadReplica rds:PromoteReadReplicaDBCluster |
||
| SwitchoverGlobalCluster | Gewährt die Berechtigung zum Umstellen eines globalen Clusters | Schreiben | |||
| SwitchoverReadReplica | Erteilung der Berechtigung zum Umschalten einer Read Replica, wodurch diese zur neuen primären Datenbank wird | Schreiben |
Von Amazon definierte Ressourcentypen RDS
Die folgenden Ressourcentypen werden von diesem Service definiert und können als Resource Element von IAM Genehmigungsrichtlinien verwendet werden. Jede Aktion in der Tabelle Aktionen identifiziert die Ressourcentypen, die mit der Aktion angegeben werden können. Ein Ressourcentyp kann auch definieren, welche Bedingungsschlüssel Sie in einer Richtlinie einschließen können. Diese Schlüssel werden in der letzten Spalte der Tabelle der Ressourcentypen angezeigt. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Resource types.
| Ressourcentypen | ARN | Bedingungsschlüssel |
|---|---|---|
| cluster |
arn:${Partition}:rds:${Region}:${Account}:cluster:${DbClusterInstanceName}
|
|
| shardgrp |
arn:${Partition}:rds:${Region}:${Account}:shard-group:${DbShardGroupResourceId}
|
|
| cluster-auto-backup |
arn:${Partition}:rds:${Region}:${Account}:cluster-auto-backup:${DbClusterAutomatedBackupId}
|
|
| auto-backup |
arn:${Partition}:rds:${Region}:${Account}:auto-backup:${DbInstanceAutomatedBackupId}
|
|
| cluster-endpoint |
arn:${Partition}:rds:${Region}:${Account}:cluster-endpoint:${DbClusterEndpoint}
|
|
| cluster-pg |
arn:${Partition}:rds:${Region}:${Account}:cluster-pg:${ClusterParameterGroupName}
|
|
| cluster-snapshot |
arn:${Partition}:rds:${Region}:${Account}:cluster-snapshot:${ClusterSnapshotName}
|
|
| db |
arn:${Partition}:rds:${Region}:${Account}:db:${DbInstanceName}
|
|
| es |
arn:${Partition}:rds:${Region}:${Account}:es:${SubscriptionName}
|
|
| global-cluster |
arn:${Partition}:rds::${Account}:global-cluster:${GlobalCluster}
|
|
| og |
arn:${Partition}:rds:${Region}:${Account}:og:${OptionGroupName}
|
|
| pg |
arn:${Partition}:rds:${Region}:${Account}:pg:${ParameterGroupName}
|
|
| proxy |
arn:${Partition}:rds:${Region}:${Account}:db-proxy:${DbProxyId}
|
|
| proxy-endpoint |
arn:${Partition}:rds:${Region}:${Account}:db-proxy-endpoint:${DbProxyEndpointId}
|
|
| ri |
arn:${Partition}:rds:${Region}:${Account}:ri:${ReservedDbInstanceName}
|
|
| secgrp |
arn:${Partition}:rds:${Region}:${Account}:secgrp:${SecurityGroupName}
|
|
| snapshot |
arn:${Partition}:rds:${Region}:${Account}:snapshot:${SnapshotName}
|
|
| subgrp |
arn:${Partition}:rds:${Region}:${Account}:subgrp:${SubnetGroupName}
|
|
| target-group |
arn:${Partition}:rds:${Region}:${Account}:target-group:${TargetGroupId}
|
|
| cev |
arn:${Partition}:rds:${Region}:${Account}:cev:${Engine}/${EngineVersion}/${CustomDbEngineVersionId}
|
|
| deployment |
arn:${Partition}:rds:${Region}:${Account}:deployment:${BlueGreenDeploymentIdentifier}
|
|
| integration |
arn:${Partition}:rds:${Region}:${Account}:integration:${IntegrationIdentifier}
|
|
| snapshot-tenant-database |
arn:${Partition}:rds:${Region}:${Account}:snapshot-tenant-database:${SnapshotName}:${TenantResourceId}
|
|
| tenant-database |
arn:${Partition}:rds:${Region}:${Account}:tenant-database:${TenantResourceId}
|
Zustandsschlüssel für Amazon RDS
Amazon RDS definiert die folgenden Bedingungsschlüssel, die im Condition Element einer IAM Richtlinie verwendet werden können. Diese Schlüssel können Sie verwenden, um die Bedingungen zu verfeinern, unter denen die Richtlinienanweisung angewendet wird. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Condition keys (Bedingungsschlüssel).
Eine Liste der globalen Bedingungsschlüssel, die für alle Services verfügbar sind, finden Sie unter Verfügbare globale Bedingungsschlüssel.
| Bedingungsschlüssel | Beschreibung | Typ |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtert den Zugriff nach dem Satz von Tag-Schlüssel-Wert-Paaren in der Anforderung | String |
| aws:ResourceTag/${TagKey} | Filtert den Zugriff nach Tag-Schlüssel-Wert-Paaren, die der Ressource angefügt sind | String |
| aws:TagKeys | Filtert den Zugriff nach dem Satz von Tag-Schlüsseln in der Anforderung | ArrayOfString |
| rds:BackupTarget | Filtert den Zugriff nach dem Typ des Backup-Ziels. Einer von: Region, Außenposten | String |
| rds:CopyOptionGroup | Filtert den Zugriff nach dem Wert, der angibt, ob für die opyDBSnapshot C-Aktion das Kopieren der DB-Optionsgruppe erforderlich ist | Bool |
| rds:DatabaseClass | Filtert den Zugriff nach dem Typ der DB-Instance-Klasse | Zeichenfolge |
| rds:DatabaseEngine | Filtert den Zugriff nach dem Datenbank-Engine. Mögliche Werte finden Sie im Engine-Parameter in C reateDBInstance API | String |
| rds:DatabaseName | Filtert den Zugriff nach benutzerdefiniertem Name der Datenbank auf der DB-Instance | Zeichenfolge |
| rds:EndpointType | Filtert den Zugriff nach dem Typ des Endpunkts. Einer von:READER,WRITER, CUSTOM | String |
| rds:ManageMasterUserPassword | Filtert den Zugriff nach dem Wert, der angibt, ob das Master-Benutzerpasswort in AWS Secrets Manager für die DB-Instance oder den Cluster RDS verwaltet wird | Bool |
| rds:MultiAz | Filtert den Zugriff nach dem Wert, der angibt, ob die DB-Instance in mehreren Availability Zones ausgeführt wird. Legen Sie „true“ fest, um anzugeben, dass die DB-Instance Multi-AZ verwendet | Bool |
| rds:Piops | Filtert den Zugriff nach dem Wert, der die Anzahl der Provisioned IOPS (PIOPS) enthält, die die Instance unterstützt. Um eine DB-Instance anzugeben, die nicht PIOPS aktiviert wurde, geben Sie 0 an | Numerischer Wert |
| rds:StorageEncrypted | Filtert den Zugriff nach dem Wert, der angibt, ob der DB-Instance-Speicher verschlüsselt werden soll. Um die Speicherverschlüsselung durchzusetzen, geben Sie „wahr“ an. | Bool |
| rds:StorageSize | Filtert den Zugriff nach der Größe des Speicher-Volumes (in GB) | Numerischer Wert |
| rds:TenantDatabaseName | Filtert den Zugriff nach dem Namen der Tenant-Datenbank in CreateTenantDatabase und nach dem Namen der neuen Tenant-Datenbank in ModifyTenantDatabase | String |
| rds:Vpc | Filtert den Zugriff nach dem Wert, der angibt, ob die DB-Instance in einer Amazon Virtual Private Cloud (AmazonVPC) ausgeführt wird. Um anzugeben, dass die DB-Instance in einem Amazon läuftVPC, geben Sie true an | Bool |
| rds:cluster-pg-tag/${TagKey} | Filtert den Zugriff über das Tag, das einer DB-Cluster-Parametergruppe zugeordnet ist | Zeichenfolge |
| rds:cluster-snapshot-tag/${TagKey} | Filtert den Zugriff über das Tag, das an einem DB-Cluster-Snapshot zugeordnet ist | Zeichenfolge |
| rds:cluster-tag/${TagKey} | Filtert den Zugriff über dass Tag, das einem DB-Cluster zugeordnet ist | Zeichenfolge |
| rds:db-tag/${TagKey} | Filtert den Zugriff über das Tag, das einer DB-Instance zugeordnet ist | Zeichenfolge |
| rds:es-tag/${TagKey} | Filtert den Zugriff über das Tag, das einem Ereignisabonnement zugeordnet ist | Zeichenfolge |
| rds:og-tag/${TagKey} | Filtert den Zugriff über das Tag, das einer DB-Optionsgruppe zugeordnet ist | Zeichenfolge |
| rds:pg-tag/${TagKey} | Filtert den Zugriff über das Tag, das einer DB-Parametergruppe zugeordnet ist | Zeichenfolge |
| rds:req-tag/${TagKey} | Filtert den Zugriff über die Gruppe von Tag-Schlüsseln und -Werten, die verwendet werden können, um eine Ressource zu kennzeichnen | Zeichenfolge |
| rds:ri-tag/${TagKey} | Filtert den Zugriff über das Tag, das einer reservierten DB-Instance zugeordnet ist | Zeichenfolge |
| rds:secgrp-tag/${TagKey} | Filtert den Zugriff über das Tag, das einer DB-Sicherheitsgruppe zugeordnet ist | Zeichenfolge |
| rds:snapshot-tag/${TagKey} | Filtert den Zugriff über das Tag, das einem DB-Snapshot zugeordnet ist | Zeichenfolge |
| rds:subgrp-tag/${TagKey} | Filtert den Zugriff nach dem Tag, das einer DB-Subnetzgruppe angefügt ist. | String |
