Acciones, recursos y claves de condición de Amazon RDS - Referencia de autorizaciones de servicio

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acciones, recursos y claves de condición de Amazon RDS

Amazon RDS (prefijo de servicio: rds) proporciona las siguientes claves de contexto de condición, acciones y recursos específicos del servicio para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por Amazon RDS

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el elemento Resource de una política de IAM, debe incluir un ARN o patrón para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.

La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.

nota

Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AddRoleToDBCluster Concede permiso para asociar un rol de Identity and Access Management (IAM) desde un clúster de base de datos de Aurora Escritura

cluster*

iam:PassRole

AddRoleToDBInstance Otorga permiso para asociar una función de AWS Identity and Access Management (IAM) a una instancia de base de datos Escritura

db*

iam:PassRole

AddSourceIdentifierToSubscription Concede permiso para agregar un identificador de origen a una suscripción de notificación de eventos RDS existente Write

es*

AddTagsToResource Concede permiso para agregar etiquetas de metadatos a un recurso de Amazon RDS Etiquetado

cev

cluster

cluster-endpoint

cluster-pg

cluster-snapshot

db

deployment

es

integration

og

pg

proxy

proxy-endpoint

ri

secgrp

shardgrp

snapshot

snapshot-tenant-database

subgrp

target-group

tenant-database

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

ApplyPendingMaintenanceAction Concede permiso para aplicar una acción de mantenimiento pendiente a un recurso Escritura

cluster

db

AuthorizeDBSecurityGroupIngress Otorga permiso para permitir la entrada a un DBSecurity grupo mediante una de las dos formas de autorización Administración de permisos

secgrp*

BacktrackDBCluster Concede permiso para realizar un seguimiento de un clúster de base de datos a una hora específica, sin crear un nuevo clúster de base de datos Write

cluster*

CancelExportTask Concede permiso para cancelar una tarea de exportación en curso Escritura
CopyCustomDBEngineVersion [solo permiso] Concede permiso para copiar una versión personalizada del motor Escritura

cev*

CopyDBClusterParameterGroup Concede permiso para copiar el grupo de parámetros de clúster de base de datos especificado Write

cluster-pg*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

CopyDBClusterSnapshot Concede permiso para crear una instantánea de un clúster de base de datos Write

cluster-snapshot*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

CopyDBParameterGroup Concede permiso para copiar el grupo de parámetros de base de datos especificado Write

pg*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

CopyDBSnapshot Concede permiso para copiar la instantánea de base de datos especificada Write

snapshot*

rds:AddTagsToResource

rds:CopyCustomDBEngineVersion

aws:RequestTag/${TagKey}

aws:TagKeys

rds:CopyOptionGroup

CopyOptionGroup Concede permiso para copiar el grupo de opciones especificado Escritura

og*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

CreateBlueGreenDeployment Concede permiso para crear una implementación azul/verde para un clúster o instancia de origen determinado Escritura

deployment*

rds:AddTagsToResource

rds:CreateDBCluster

rds:CreateDBClusterEndpoint

rds:CreateDBInstance

rds:CreateDBInstanceReadReplica

cluster

cluster-pg

db

pg

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

rds:cluster-tag/${TagKey}

rds:cluster-pg-tag/${TagKey}

rds:db-tag/${TagKey}

rds:pg-tag/${TagKey}

rds:req-tag/${TagKey}

rds:DatabaseEngine

rds:DatabaseName

rds:StorageEncrypted

rds:DatabaseClass

rds:StorageSize

rds:MultiAz

rds:Piops

rds:Vpc

CreateCustomDBEngineVersion Concede permiso para crear una versión de un motor personalizado Escritura

cev*

iam:CreateServiceLinkedRole

mediaimport:CreateDatabaseBinarySnapshot

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDBCluster Concede permiso para crear un nuevo clúster de base de datos Escritura

cluster*

iam:PassRole

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

rds:AddTagsToResource

rds:CreateDBInstance

secretsmanager:CreateSecret

secretsmanager:TagResource

cluster-pg*

og*

subgrp*

db

global-cluster

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:DatabaseEngine

rds:DatabaseName

rds:StorageEncrypted

rds:DatabaseClass

rds:StorageSize

rds:Piops

rds:ManageMasterUserPassword

CreateDBClusterEndpoint Concede permiso para crear un nuevo punto de conexión personalizado y lo asocia a un clúster de base de datos de Amazon Aurora o a un clúster de Amazon DocumentDB Escritura

cluster*

rds:AddTagsToResource

cluster-endpoint*

rds:EndpointType

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDBClusterParameterGroup Concede permiso para crear un nuevo grupo de parámetros de clúster de base de datos Write

cluster-pg*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBClusterSnapshot Concede permiso para crear una instantánea de un clúster de base de datos Write

cluster*

rds:AddTagsToResource

cluster-snapshot*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBInstance Concede permiso para crear un nuevo dominio de base de datos Write

db*

iam:PassRole

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

rds:AddTagsToResource

rds:CreateTenantDatabase

secretsmanager:CreateSecret

secretsmanager:TagResource

cluster

og

pg

secgrp

subgrp

rds:BackupTarget

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:ManageMasterUserPassword

CreateDBInstanceReadReplica Concede permiso para crear una instancia de base de datos que actúe como réplica de lectura de una instancia de base de datos de origen Write

cluster*

iam:PassRole

rds:AddTagsToResource

db*

og*

pg*

subgrp*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBParameterGroup Concede permiso para crear un nuevo grupo de parámetros de base de datos Write

pg*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBProxy Concede permiso para crear un proxy de base de datos. Write

aws:RequestTag/${TagKey}

aws:TagKeys

iam:PassRole

CreateDBProxyEndpoint Concede permiso para crear un punto de enlace con el proxy de una base de datos. Write

proxy*

proxy-endpoint*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDBSecurityGroup Concede permiso para crear un grupo de seguridad de base de datos Los grupos de seguridad de base de datos controlan el acceso a la instancia de base de datos. Escritura

secgrp*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBShardGroup Concede permiso para crear un nuevo grupo de particiones de base de datos Aurora Limitless Database Escritura

cluster*

rds:AddTagsToResource

shardgrp*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDBSnapshot Otorga permiso para crear un DBSnapshot Escritura

db*

rds:AddTagsToResource

snapshot*

rds:BackupTarget

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBSubnetGroup Concede permiso para crear un nuevo grupo de subred de base de datos Write

subgrp*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateEventSubscription Concede permiso para crear una suscripción de notificación de eventos RDS Escritura

es*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateGlobalCluster Concede permiso para crear una base de datos global de Aurora o una base de datos global de DocumentDB distribuida en varias regiones Escritura

cluster*

global-cluster*

CreateIntegration Concede permiso para crear una integración sin ETL con Redshift Escritura

cluster*

kms:CreateGrant

kms:DescribeKey

rds:AddTagsToResource

integration*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateOptionGroup Concede permiso para crear un nuevo grupo de opción Escritura

og*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateTenantDatabase Concede permiso para crear una nueva base de datos de inquilinos Escritura

db*

rds:AddTagsToResource

tenant-database*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:TenantDatabaseName

CrossRegionCommunication [solo permiso] Concede permiso para acceder a un recurso en la región remota al ejecutar operaciones entre regiones, como copia de instantáneas entre regiones o creación de réplicas de lectura entre regiones Escritura
DeleteBlueGreenDeployment Concede permiso para eliminar implementaciones azul/verde Escritura

deployment*

rds:DeleteDBCluster

rds:DeleteDBClusterEndpoint

rds:DeleteDBInstance

rds:PromoteReadReplica

rds:PromoteReadReplicaDBCluster

aws:ResourceTag/${TagKey}

DeleteCustomDBEngineVersion Concede permiso para eliminar una versión de motor personalizado existente Escritura

cev*

DeleteDBCluster Concede permiso para eliminar un clúster de base de datos aprovisionado anteriormente Escritura

cluster*

rds:AddTagsToResource

rds:CreateDBClusterSnapshot

rds:DeleteDBInstance

cluster-snapshot*

DeleteDBClusterAutomatedBackup Otorga permiso para eliminar las copias de seguridad automatizadas del clúster en función del DbClusterResourceId valor del clúster de origen o del identificador de recurso del clúster restaurable Escritura

cluster-auto-backup*

DeleteDBClusterEndpoint Concede permiso para eliminar un punto de conexión personalizado y lo elimina de un clúster de base de datos de Amazon Aurora o un clúster de Amazon DocumentDB Escritura

cluster-endpoint*

DeleteDBClusterParameterGroup Concede permiso para eliminar un grupo de parámetros de clúster de DB especificado Write

cluster-pg*

DeleteDBClusterSnapshot Concede permiso para eliminar una instantánea de clúster de base de datos Write

cluster-snapshot*

DeleteDBInstance Concede permiso para eliminar un clúster aprovisionado anteriormente Escritura

db*

rds:AddTagsToResource

rds:CreateDBSnapshot

rds:DeleteTenantDatabase

DeleteDBInstanceAutomatedBackup Otorga permiso para eliminar copias de seguridad automatizadas en función del DbiResourceId valor de la instancia de origen o del ID de recurso de la instancia restaurable Escritura

auto-backup*

DeleteDBParameterGroup Otorga permiso para eliminar un grupo específico DBParameter Escritura

pg*

DeleteDBProxy Concede permiso para eliminar un proxy de base de datos. Write

proxy*

DeleteDBProxyEndpoint Concede permiso para eliminar un punto de enlace con el proxy de una base de datos. Write

proxy-endpoint*

DeleteDBSecurityGroup Concede permiso para eliminar un grupo de seguridad de base de datos Escritura

secgrp*

DeleteDBShardGroup Concede permiso para eliminar un grupo de particiones de base de datos Aurora Limitless Database Escritura

shardgrp*

DeleteDBSnapshot Otorga permiso para eliminar un DBSnapshot Escritura

snapshot*

DeleteDBSubnetGroup Concede permiso para eliminar un grupo de subredes de base de datos Write

subgrp*

DeleteEventSubscription Concede permiso para eliminar una suscripción de notificación de eventos de RDS Write

es*

DeleteGlobalCluster Concede permiso para eliminar un clúster de base de datos global Escritura

global-cluster*

DeleteIntegration Concede permiso para eliminar una integración de Aurora sin ETL con Redshift Escritura

integration*

DeleteOptionGroup Concede permiso para eliminar una opción de grupo existente Escritura

og*

DeleteTenantDatabase Concede permiso para eliminar una base de datos de inquilinos Escritura

db*

rds:AddTagsToResource

rds:CreateDBSnapshot

tenant-database*

DeregisterDBProxyTargets Concede permiso para eliminar destinos de un grupo de destino de proxy de base de datos Write

cluster*

db*

proxy*

target-group*

DescribeAccountAttributes Concede permiso para enumerar todos los atributos de una cuenta de cliente Enumeración
DescribeBlueGreenDeployments Concede permiso para describir las implementaciones azul/verde Enumeración

deployment

DescribeCertificates Otorga permiso para publicar el conjunto de certificados de CA proporcionados por Amazon RDS para esto Cuenta de AWS Enumeración
DescribeDBClusterAutomatedBackups Concede permiso para devolver una lista de copias de seguridad automatizadas del clúster para clústeres actuales y eliminados Enumeración

cluster-auto-backup*

cluster

DescribeDBClusterBacktracks Concede permiso para devolver información sobre pistas de retroceso para un clúster de base de datos List

cluster*

DescribeDBClusterEndpoints Concede permiso para devolver información sobre los puntos de enlace de un clúster de base de datos de Amazon Aurora Enumeración

cluster

cluster-endpoint

DescribeDBClusterParameterGroups Otorga permiso para devolver una lista de descripciones DBCluster ParameterGroup Enumeración

cluster-pg*

DescribeDBClusterParameters Concede permiso para devolver la lista de parámetros detallada para un grupo de parámetros de clúster de base de datos determinado List

cluster-pg*

DescribeDBClusterSnapshotAttributes Concede permiso para devolver una lista de nombres y valores de atributos de instantáneas de clúster de base de datos para una instantánea manual de clúster de base de datos List

cluster-snapshot*

DescribeDBClusterSnapshots Concede permiso para devolver información sobre instantáneas de clúster de base de datos Enumeración

cluster

cluster-snapshot

DescribeDBClusters Concede permiso para devolver información sobre clústeres de bases de datos de Aurora o clústeres de DocumentDB aprovisionados Enumeración

cluster*

DescribeDBEngineVersions Concede permiso para devolver una lista de los motores de base de datos disponibles List
DescribeDBInstanceAutomatedBackups Concede permiso para devolver una lista de copias de seguridad automatizadas para instancias actuales y eliminadas List

auto-backup

db

DescribeDBInstances Concede permiso para devolver información acerca de instancias RDS aprovisionadas List

db*

DescribeDBLogFiles Concede permiso para devolver una lista de archivos de registro de base de datos para la instancia de base de datos Enumeración

db*

DescribeDBParameterGroups Otorga permiso para devolver una lista de descripciones de DBParameter grupos Enumeración

pg*

DescribeDBParameters Concede permiso para devolver la lista de parámetros detallada para un grupo de parámetros de base de datos concreto List

pg*

DescribeDBProxies Concede permiso para ver proxies. List

proxy*

DescribeDBProxyEndpoints Concede permiso para ver puntos de enlace con proxy. List

proxy*

proxy-endpoint*

DescribeDBProxyTargetGroups Concede permiso para ver los detalles del grupo de destino del proxy de base de datos. List

proxy*

DescribeDBProxyTargets Concede permiso para ver los detalles de destino del proxy de la base de datos. Enumeración

proxy*

target-group*

DescribeDBRecommendations Concede permiso para enumerar los detalles de la recomendación Enumeración
DescribeDBSecurityGroups Otorga permiso para devolver una lista de descripciones de DBSecurity grupos Enumeración

secgrp*

DescribeDBShardGroups Concede permiso para devolver información sobre todos los grupos de particiones de base de datos de Aurora Limitless Database correspondientes a esta cuenta. Puede filtrar por grupo o grupos de particiones Enumeración

shardgrp*

DescribeDBSnapshotAttributes Concede permiso para devolver una lista de nombres y valores de atributos de instantánea de base de datos para una instantánea de base de datos manual Enumeración

snapshot*

DescribeDBSnapshotTenantDatabases Concede permiso para devolver información acerca de bases de datos de inquilinos en instantáneas de bases de datos. Puede filtrar por región o por instantánea Enumeración

snapshot-tenant-database*

db

snapshot

DescribeDBSnapshots Concede permiso para devolver información acerca de instantáneas de bases de datos Enumeración

db

snapshot

DescribeDBSubnetGroups Otorga permiso para devolver una lista de descripciones de DBSubnet grupos Enumeración

subgrp*

DescribeEngineDefaultClusterParameters Concede permiso para devolver información del parámetro del sistema y motor predeterminada para el motor de base de datos del clúster List
DescribeEngineDefaultParameters Concede permiso para devolver información predeterminada del motor y el sistema para el motor de base de datos especificado List
DescribeEventCategories Concede permiso para mostrar una lista de categorías de todos los tipos de origen de eventos o, si se especifica, para tipo de origen especificado List
DescribeEventSubscriptions Concede permiso para enumerar todas las descripciones de suscripción de una cuenta de cliente List

es*

DescribeEvents Concede permiso para devolver eventos relacionados con las instancias grupos de seguridad, instantáneas y grupos de parámetros de base de datos de los últimos 14 días List
DescribeExportTasks Concede permiso para devolver información acerca de las tareas exportadas Enumeración

cluster

cluster-snapshot

snapshot

DescribeGlobalClusters Concede permiso para devolver información sobre clústeres de bases de datos globales Aurora o clústeres de bases de datos globales de DocumentDB Enumeración

global-cluster*

DescribeIntegrations Concede permiso para describir una integración de Aurora sin ETL con Redshift Enumeración

integration*

aws:ResourceTag/${TagKey}

DescribeOptionGroupOptions Concede permiso para describir todas las opciones disponibles List
DescribeOptionGroups Concede permiso para describir los grupos de opciones disponibles List

og*

DescribeOrderableDBInstanceOptions Concede permiso para devolver una lista de opciones de instancia de base de datos ordenables para el motor especificado List
DescribePendingMaintenanceActions Concede permiso para devolver una lista de recursos (por ejemplo, instancias de base de datos) que tienen al menos una acción de mantenimiento pendiente Enumeración

cluster

db

DescribeRecommendationGroups [solo permiso] Concede permiso para devolver información sobre grupos de recomendaciones Lectura
DescribeRecommendations [solo permiso] Concede permiso para devolver información sobre recomendaciones Lectura
DescribeReservedDBInstances Concede permiso para devolver información acerca de las instancias de base de datos reservadas para esta cuenta o sobre una instancia de base de datos reservada especificada List

ri*

DescribeReservedDBInstancesOfferings Concede permiso para enumerar ofertas de instancias de base de datos reservadas Enumeración
DescribeSourceRegions Otorga permiso para devolver una lista de la fuente desde la Regiones de AWS que el usuario actual Región de AWS puede crear una réplica de lectura o copiar una instantánea de base de datos Enumeración
DescribeTenantDatabases Concede permiso para devolver información acerca de las bases de datos de inquilinos aprovisionados. Puede filtrar por región o por instantánea Enumeración

tenant-database*

db

DescribeValidDBInstanceModifications Concede permiso para enumerar las modificaciones disponibles que puede realizar en su instancia de base de datos Enumeración

db*

DisableHttpEndpoint Concede permiso para deshabilitar el punto de conexión http para un clúster de base de datos Escritura

cluster*

DownloadCompleteDBLogFile Concede permiso para descargar el archivo de registros especificado Lectura

db*

DownloadDBLogFilePortion Concede permiso para descargar todo o una parte del archivo de registro especificado, con un tamaño de hasta 1 MB Lectura

db*

EnableHttpEndpoint Concede permiso para habilitar el punto de conexión http para un clúster de base de datos Escritura

cluster*

FailoverDBCluster Concede permiso para forzar una conmutación por error para un clúster de base de datos Write

cluster*

FailoverGlobalCluster Concede permiso para conmutar por error un clúster global Escritura

cluster*

global-cluster*

ListTagsForResource Concede permiso para enumerar todas las etiquetas de un recurso de Amazon RDS Lectura

cev

cluster

cluster-endpoint

cluster-pg

cluster-snapshot

db

es

integration

og

pg

proxy

proxy-endpoint

ri

secgrp

shardgrp

snapshot

snapshot-tenant-database

subgrp

target-group

tenant-database

ModifyActivityStream Concede permiso para modificar un flujo de actividad de la base de datos Escritura

db*

ModifyCertificates Concede permiso para modificar el certificado Layer/Transport Layer Security (SSL/TLS (Secure Sockets) predeterminado del sistema para Amazon RDS para nuevas instancias de base de datos Escritura
ModifyCurrentDBClusterCapacity Concede permiso para modificar la capacidad actual de clúster de los clústeres de bases de datos sin servidor de Amazon Aurora Escritura

cluster*

ModifyCustomDBEngineVersion Concede permiso para modificar una versión de motor personalizado existente Escritura

cev*

ModifyDBCluster Concede permiso para modificar una configuración de un clúster de base de datos de Amazon Aurora o un clúster de Amazon DocumentDB Escritura

cluster*

iam:PassRole

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

rds:ModifyDBInstance

secretsmanager:CreateSecret

secretsmanager:RotateSecret

secretsmanager:TagResource

cluster-pg

og

pg

rds:DatabaseClass

rds:StorageSize

rds:Piops

rds:ManageMasterUserPassword

ModifyDBClusterEndpoint Concede permiso para modificar las propiedades de un punto de conexión en un clúster de base de datos de Amazon Aurora o en un clúster de Amazon DocumentDB Escritura

cluster-endpoint*

ModifyDBClusterParameterGroup Concede permiso para modificar los parámetros de un grupo de parámetros Write

cluster-pg*

ModifyDBClusterSnapshotAttribute Concede permiso para agregar un atributo y valores a una instantánea de clúster de base de datos manual o los quita de ella Write

cluster-snapshot*

ModifyDBInstance Concede permiso para modificar la configuración de una instancia de base de datos Write

db*

iam:PassRole

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

rds:AddTagsToResource

rds:CreateTenantDatabase

secretsmanager:CreateSecret

secretsmanager:RotateSecret

secretsmanager:TagResource

og

pg

secgrp

subgrp

rds:ManageMasterUserPassword

ModifyDBParameterGroup Concede permiso para modificar los parámetros de un grupo de parámetros de base de datos Write

pg*

ModifyDBProxy Concede permiso para modificar el proxy de la base de datos. Write

proxy*

iam:PassRole

ModifyDBProxyEndpoint Concede permiso para modificar un punto de enlace con el proxy de una base de datos. Write

proxy-endpoint*

ModifyDBProxyTargetGroup Concede permiso para modificar el grupo de destino para un proxy de base de datos. Escritura

target-group*

ModifyDBRecommendation Concede permiso para modificar la recomendación Escritura
ModifyDBShardGroup Concede permiso para modificar las propiedades de un grupo de particiones de base de datos Aurora Limitless Database Escritura

shardgrp*

ModifyDBSnapshot Concede permiso para actualizar una instantánea de base de datos manual, que puede estar cifrada o sin cifrar, con una nueva versión del motor Write

snapshot*

og

ModifyDBSnapshotAttribute Concede permiso para agregar un atributo y valores a una instantánea de base de datos manual o los quita de ella Write

snapshot*

ModifyDBSubnetGroup Concede permiso para modificar un grupo de subredes de base de datos existente Write

subgrp*

ModifyEventSubscription Concede permiso para modificar una suscripción de notificación de eventos de RDS existente Escritura

es*

ModifyGlobalCluster Concede permiso para modificar una configuración de un clúster global de Amazon Aurora o un clúster global de Amazon DocumentDB Escritura

global-cluster*

ModifyIntegration Concede permiso para modificar una integración de Aurora sin operaciones de extracción, transformación y carga (ETL) con Redshift Escritura

integration*

ModifyOptionGroup Concede permiso para modificar una opción de grupo existente Escritura

og*

iam:PassRole

ModifyRecommendation [solo permiso] Concede permiso para modificar la recomendación Escritura
ModifyTenantDatabase Concede permiso para modificar una base de datos de inquilinos Escritura

db*

tenant-database*

rds:TenantDatabaseName

PromoteReadReplica Concede permiso para promover una instancia de base de datos de réplica de lectura a una instancia de base de datos Write

db*

PromoteReadReplicaDBCluster Concede permiso para promover un clúster de base de datos de réplica de lectura a un clúster de base de datos Write

cluster*

PurchaseReservedDBInstancesOffering Concede permiso para comprar una oferta de instancia de base de datos reservada Escritura

ri*

aws:RequestTag/${TagKey}

aws:TagKeys

RebootDBCluster Concede permiso para reiniciar un clúster de base de datos aprovisionado anteriormente Escritura

cluster*

rds:RebootDBInstance

RebootDBInstance Concede permiso para reiniciar el servicio del motor de base Escritura

db*

RebootDBShardGroup Concede permiso para reiniciar un grupo de particiones de base de datos Aurora Limitless Database Escritura

shardgrp*

RegisterDBProxyTargets Concede permiso para agregar destinos a un grupo de destino de proxy de base de datos. Escritura

target-group*

RemoveFromGlobalCluster Concede permiso para separar un clúster secundario de Aurora de un clúster de base de datos global de Aurora o de un clúster global de DocumentDB Escritura

cluster*

global-cluster*

RemoveRoleFromDBCluster Otorga permiso para desasociar una función de AWS Identity and Access Management (IAM) de un clúster de base de datos de Amazon Aurora Escritura

cluster*

iam:PassRole

RemoveRoleFromDBInstance Otorga permiso para desasociar una función de AWS Identity and Access Management (IAM) de una instancia de base de datos Escritura

db*

iam:PassRole

RemoveSourceIdentifierFromSubscription Concede permiso para quitar un identificador de origen de una suscripción de notificación de eventos RDS existente Write

es*

RemoveTagsFromResource Concede permiso para eliminar etiquetas de metadatos de un recurso de Amazon RDS Etiquetado

cev

cluster

cluster-endpoint

cluster-pg

cluster-snapshot

db

deployment

es

integration

og

pg

proxy

proxy-endpoint

ri

secgrp

shardgrp

snapshot

snapshot-tenant-database

subgrp

target-group

tenant-database

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

ResetDBClusterParameterGroup Concede permiso para modificar los parámetros de un grupo de parámetros de clúster de base de datos al valor predeterminado Write

cluster-pg*

ResetDBParameterGroup Concede permiso para modificar los parámetros de un grupo de parámetros de base de datos al valor predeterminado del motor/sistema Write

pg*

RestoreDBClusterFromS3 Concede permiso para crear un clúster de base de datos de Amazon Aurora a partir de datos almacenados en un bucket de Amazon S3 Write

cluster*

iam:PassRole

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

rds:AddTagsToResource

secretsmanager:CreateSecret

secretsmanager:TagResource

cluster-pg*

og*

subgrp*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:DatabaseEngine

rds:DatabaseName

rds:StorageEncrypted

rds:ManageMasterUserPassword

RestoreDBClusterFromSnapshot Concede permiso para crear un nuevo clúster de base de datos a partir de una instantánea de clúster de base de datos Write

cluster*

iam:PassRole

rds:AddTagsToResource

rds:CreateDBInstance

cluster-pg*

og*

subgrp*

cluster-snapshot

snapshot

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:DatabaseClass

rds:StorageSize

rds:Piops

RestoreDBClusterToPointInTime Concede permiso para restaurar un clúster de base de datos a un punto en el tiempo arbitrario Write

cluster*

iam:PassRole

rds:AddTagsToResource

rds:CreateDBInstance

cluster-pg*

og*

subgrp*

cluster-auto-backup

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:DatabaseClass

rds:StorageSize

rds:Piops

RestoreDBInstanceFromDBSnapshot Concede permiso para crear una nueva instancia de base de datos desde una instantánea de base de datos Write

db*

iam:PassRole

rds:AddTagsToResource

rds:CreateTenantDatabase

og*

pg*

subgrp*

cluster-snapshot

snapshot

rds:BackupTarget

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

RestoreDBInstanceFromS3 Concede permiso para crear una nueva instancia de base de datos a partir de un bucket de Amazon S3 Write

db*

iam:PassRole

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

rds:AddTagsToResource

secretsmanager:CreateSecret

secretsmanager:TagResource

og*

pg*

subgrp*

secgrp

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:ManageMasterUserPassword

RestoreDBInstanceToPointInTime Concede permiso para restaurar una instancia de base de datos a un punto en el tiempo arbitrario Escritura

db*

iam:PassRole

rds:AddTagsToResource

rds:CreateTenantDatabase

og*

pg*

subgrp*

auto-backup

rds:BackupTarget

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

RevokeDBSecurityGroupIngress Otorga permiso para revocar la entrada de un DBSecurity grupo para rangos de IP o grupos de seguridad de EC2 VPC previamente autorizados Escritura

secgrp*

StartActivityStream Concede permiso para iniciar una secuencia de actividades Escritura

cluster

db

StartDBCluster Concede permiso para comenzar el clúster de base de datos Escritura

cluster*

StartDBInstance Concede permiso para iniciar la instancia de base de datos Escritura

db*

StartDBInstanceAutomatedBackupsReplication Otorga permiso para iniciar la replicación de copias de seguridad automatizadas en otro Región de AWS Escritura

auto-backup*

db*

StartExportTask Concede permiso para iniciar una nueva tarea de exportación para una instantánea de base de datos Write

cluster

iam:PassRole

cluster-snapshot

snapshot

StopActivityStream Concede permiso para detener una secuencia de actividad Write

cluster

db

StopDBCluster Concede permiso para detener el clúster de base de datos Write

cluster*

StopDBInstance Concede permiso para detener la instancia de base de datos Write

db*

rds:AddTagsToResource

rds:CreateDBSnapshot

snapshot

StopDBInstanceAutomatedBackupsReplication Concede permiso para detener la replicación de copia de seguridad automatizada para una instancia de base de datos Escritura

db*

SwitchoverBlueGreenDeployment Concede permiso para cambiar una implementación azul/verde la instancia o clúster de origen al de destino Escritura

deployment*

rds:ModifyDBCluster

rds:ModifyDBInstance

rds:PromoteReadReplica

rds:PromoteReadReplicaDBCluster

aws:ResourceTag/${TagKey}

SwitchoverGlobalCluster Concede permiso para realizar la transición de un clúster global Escritura

cluster*

global-cluster*

SwitchoverReadReplica Concede permiso para cambiar una réplica de lectura, convirtiéndola en la nueva base de datos principal Escritura

db*

Tipos de recurso definidos por Amazon RDS

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición
cluster arn:${Partition}:rds:${Region}:${Account}:cluster:${DbClusterInstanceName}

aws:ResourceTag/${TagKey}

rds:cluster-tag/${TagKey}

shardgrp arn:${Partition}:rds:${Region}:${Account}:shard-group:${DbShardGroupResourceId}

aws:ResourceTag/${TagKey}

cluster-auto-backup arn:${Partition}:rds:${Region}:${Account}:cluster-auto-backup:${DbClusterAutomatedBackupId}
auto-backup arn:${Partition}:rds:${Region}:${Account}:auto-backup:${DbInstanceAutomatedBackupId}
cluster-endpoint arn:${Partition}:rds:${Region}:${Account}:cluster-endpoint:${DbClusterEndpoint}

aws:ResourceTag/${TagKey}

cluster-pg arn:${Partition}:rds:${Region}:${Account}:cluster-pg:${ClusterParameterGroupName}

aws:ResourceTag/${TagKey}

rds:cluster-pg-tag/${TagKey}

cluster-snapshot arn:${Partition}:rds:${Region}:${Account}:cluster-snapshot:${ClusterSnapshotName}

aws:ResourceTag/${TagKey}

rds:cluster-snapshot-tag/${TagKey}

db arn:${Partition}:rds:${Region}:${Account}:db:${DbInstanceName}

aws:ResourceTag/${TagKey}

rds:DatabaseClass

rds:DatabaseEngine

rds:DatabaseName

rds:MultiAz

rds:Piops

rds:StorageEncrypted

rds:StorageSize

rds:Vpc

rds:db-tag/${TagKey}

es arn:${Partition}:rds:${Region}:${Account}:es:${SubscriptionName}

aws:ResourceTag/${TagKey}

rds:es-tag/${TagKey}

global-cluster arn:${Partition}:rds::${Account}:global-cluster:${GlobalCluster}
og arn:${Partition}:rds:${Region}:${Account}:og:${OptionGroupName}

aws:ResourceTag/${TagKey}

rds:og-tag/${TagKey}

pg arn:${Partition}:rds:${Region}:${Account}:pg:${ParameterGroupName}

aws:ResourceTag/${TagKey}

rds:pg-tag/${TagKey}

proxy arn:${Partition}:rds:${Region}:${Account}:db-proxy:${DbProxyId}

aws:ResourceTag/${TagKey}

proxy-endpoint arn:${Partition}:rds:${Region}:${Account}:db-proxy-endpoint:${DbProxyEndpointId}

aws:ResourceTag/${TagKey}

ri arn:${Partition}:rds:${Region}:${Account}:ri:${ReservedDbInstanceName}

aws:ResourceTag/${TagKey}

rds:ri-tag/${TagKey}

secgrp arn:${Partition}:rds:${Region}:${Account}:secgrp:${SecurityGroupName}

aws:ResourceTag/${TagKey}

rds:secgrp-tag/${TagKey}

snapshot arn:${Partition}:rds:${Region}:${Account}:snapshot:${SnapshotName}

aws:ResourceTag/${TagKey}

rds:snapshot-tag/${TagKey}

subgrp arn:${Partition}:rds:${Region}:${Account}:subgrp:${SubnetGroupName}

aws:ResourceTag/${TagKey}

rds:subgrp-tag/${TagKey}

target-group arn:${Partition}:rds:${Region}:${Account}:target-group:${TargetGroupId}

aws:ResourceTag/${TagKey}

cev arn:${Partition}:rds:${Region}:${Account}:cev:${Engine}/${EngineVersion}/${CustomDbEngineVersionId}

aws:ResourceTag/${TagKey}

deployment arn:${Partition}:rds:${Region}:${Account}:deployment:${BlueGreenDeploymentIdentifier}

aws:ResourceTag/${TagKey}

integration arn:${Partition}:rds:${Region}:${Account}:integration:${IntegrationIdentifier}

aws:ResourceTag/${TagKey}

snapshot-tenant-database arn:${Partition}:rds:${Region}:${Account}:snapshot-tenant-database:${SnapshotName}:${TenantResourceId}

aws:ResourceTag/${TagKey}

tenant-database arn:${Partition}:rds:${Region}:${Account}:tenant-database:${TenantResourceId}

aws:ResourceTag/${TagKey}

Claves de condición de Amazon RDS

Amazon RDS define las siguientes claves de condición que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra el acceso mediante los pares clave-valor de la etiqueta en la solicitud. Cadena
aws:ResourceTag/${TagKey} Filtra el acceso mediante los pares clave-valor de etiqueta adjuntados al recurso. Cadena
aws:TagKeys Filtra el acceso mediante el conjunto de claves de etiqueta en la solicitud. ArrayOfString
rds:BackupTarget Filtra el acceso mediante el tipo de destino de copia de seguridad. Uno de estos: región, outposts Cadena
rds:CopyOptionGroup Filtra el acceso por el valor que especifica si la DBSnapshot acción de copiar requiere copiar el grupo de opciones de base de datos Bool
rds:DatabaseClass Filtra el acceso por el tipo de clase de instancia de base de datos Cadena
rds:DatabaseEngine Filtra el acceso por el motor de la base de datos. Para ver los valores posibles, consulte el parámetro del motor en Create DBInstance API Cadena
rds:DatabaseName Filtra el acceso por el nombre definido por el usuario de la base de datos en la instancia de base de datos Cadena
rds:EndpointType Filtra el acceso según el tipo de punto de enlace Puede ser: READER, WRITER, CUSTOM (lectura, escritura, personalizado) Cadena
rds:ManageMasterUserPassword Filtra el acceso por el valor que especifica si RDS administra la contraseña del usuario maestro en AWS Secrets Manager para la instancia de base de datos o el clúster Bool
rds:MultiAz Filtra el acceso por un valor que especifica si la instancia de base de datos se ejecuta en varias zonas de disponibilidad Para indicar que la instancia de base de datos está utilizando Multi-AZ, especifique true Bool
rds:Piops Filtra el acceso por un valor que contiene el número de IOPS provisionadas (PIOPS) compatible con la instancia Para indicar una instancia de base de datos que no tenga PIOPS habilitado, especifique 0 Numérico
rds:StorageEncrypted Filtra el acceso por un valor que especifica si el almacenamiento de la instancia de base de datos debe cifrarse Para aplicar el cifrado de almacenamiento, especifique true Bool
rds:StorageSize Filtra el acceso según el tamaño del volumen de almacenamiento (en GB) Numérico
rds:TenantDatabaseName Filtra el acceso por el nombre de la base de datos arrendataria CreateTenantDatabase y por el nombre de la nueva base de datos arrendataria en ModifyTenantDatabase Cadena
rds:Vpc Filtra el acceso por un valor que especifica si la instancia de base de datos se ejecuta en una Amazon Virtual Private Cloud (Amazon VPC) Para indicar que la instancia de base de datos se ejecuta en una Amazon VPC; especifique true Bool
rds:cluster-pg-tag/${TagKey} Filtra el acceso por la etiqueta asociada a un grupo de parámetros de clúster de base de datos Cadena
rds:cluster-snapshot-tag/${TagKey} Filtra el acceso por la etiqueta adjunta a una instantánea de clúster de base de datos Cadena
rds:cluster-tag/${TagKey} Filtra el acceso por la etiqueta adjunta a un clúster de base de datos Cadena
rds:db-tag/${TagKey} Filtra el acceso por la etiqueta adjunta a una instancia de base de datos Cadena
rds:es-tag/${TagKey} Filtra el acceso por la etiqueta adjunta a una suscripción de evento Cadena
rds:og-tag/${TagKey} Filtra el acceso por la etiqueta adjunta a un grupo de opciones de base de datos Cadena
rds:pg-tag/${TagKey} Filtra el acceso por la etiqueta adjunta a un grupo de parámetros de base de datos Cadena
rds:req-tag/${TagKey} Filtra el acceso por el conjunto de claves y valores de etiquetas que se pueden usar para etiquetar un recurso Cadena
rds:ri-tag/${TagKey} Filtra el acceso por la etiqueta adjunta a una instancia de base de datos reservada Cadena
rds:secgrp-tag/${TagKey} Filtra el acceso por la etiqueta adjunta a un grupo de seguridad de base de datos Cadena
rds:snapshot-tag/${TagKey} Filtra el acceso por la etiqueta adjunta a una instantánea de base de datos Cadena
rds:subgrp-tag/${TagKey} Filtra el acceso por la etiqueta adjunta a un grupo de subred de base de datos Cadena