Actions Tipos de recurso Claves de condición

Acciones, recursos y claves de condición de Amazon RDS

Amazon RDS (prefijo de servicio: rds) proporciona las siguientes claves de contexto de condición, acciones y recursos específicos del servicio para su uso en las políticas de permisos de IAM.

Referencias:

Obtenga información para configurar este servicio.
Vea una lista de las operaciones de API disponibles para este servicio.
Obtenga información sobre cómo proteger este servicio y sus recursos mediante las políticas de permisos de IAM.

Temas

Acciones definidas por Amazon RDS
Tipos de recurso definidos por Amazon RDS
Claves de condición de Amazon RDS

Acciones definidas por Amazon RDS

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el elemento Resource de una política de IAM, debe incluir un ARN o patrón para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.

La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.

nota

Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones	Descripción	Nivel de acceso	Tipos de recursos (*necesarios)	Claves de condición	Acciones dependientes
AddRoleToDBCluster	Concede permiso para asociar un rol de Identity and Access Management (IAM) desde un clúster de base de datos de Aurora	Escritura	cluster*		iam:PassRole
AddRoleToDBInstance	Otorga permiso para asociar una función de AWS Identity and Access Management (IAM) a una instancia de base de datos	Escritura	db*		iam:PassRole
AddSourceIdentifierToSubscription	Concede permiso para agregar un identificador de origen a una suscripción de notificación de eventos RDS existente	Write	es*
AddTagsToResource	Concede permiso para agregar etiquetas de metadatos a un recurso de Amazon RDS	Etiquetado	cev
			cluster
			cluster-endpoint
			cluster-pg
			cluster-snapshot
			db
			deployment
			es
			integration
			og
			pg
			proxy
			proxy-endpoint
			ri
			secgrp
			shardgrp
			snapshot
			snapshot-tenant-database
			subgrp
			target-group
			tenant-database
				aws:RequestTag/${TagKey} aws:TagKeys rds:req-tag/${TagKey}
ApplyPendingMaintenanceAction	Concede permiso para aplicar una acción de mantenimiento pendiente a un recurso	Escritura	cluster
ApplyPendingMaintenanceAction		Escritura	db
AuthorizeDBSecurityGroupIngress	Otorga permiso para permitir la entrada a un DBSecurity grupo mediante una de las dos formas de autorización	Administración de permisos	secgrp*
BacktrackDBCluster	Concede permiso para realizar un seguimiento de un clúster de base de datos a una hora específica, sin crear un nuevo clúster de base de datos	Write	cluster*
CancelExportTask	Concede permiso para cancelar una tarea de exportación en curso	Escritura
CopyCustomDBEngineVersion [solo permiso]	Concede permiso para copiar una versión personalizada del motor	Escritura	cev*
CopyDBClusterParameterGroup	Concede permiso para copiar el grupo de parámetros de clúster de base de datos especificado	Write	cluster-pg*		rds:AddTagsToResource
CopyDBClusterParameterGroup		Write		aws:RequestTag/${TagKey} aws:TagKeys
CopyDBClusterSnapshot	Concede permiso para crear una instantánea de un clúster de base de datos	Write	cluster-snapshot*		rds:AddTagsToResource
CopyDBClusterSnapshot		Write		aws:RequestTag/${TagKey} aws:TagKeys
CopyDBParameterGroup	Concede permiso para copiar el grupo de parámetros de base de datos especificado	Write	pg*		rds:AddTagsToResource
CopyDBParameterGroup		Write		aws:RequestTag/${TagKey} aws:TagKeys
CopyDBSnapshot	Concede permiso para copiar la instantánea de base de datos especificada	Write	snapshot*		rds:AddTagsToResource rds:CopyCustomDBEngineVersion
CopyDBSnapshot		Write		aws:RequestTag/${TagKey} aws:TagKeys rds:CopyOptionGroup
CopyOptionGroup	Concede permiso para copiar el grupo de opciones especificado	Escritura	og*		rds:AddTagsToResource
CopyOptionGroup		Escritura		aws:RequestTag/${TagKey} aws:TagKeys
CreateBlueGreenDeployment	Concede permiso para crear una implementación azul/verde para un clúster o instancia de origen determinado	Escritura	deployment*		rds:AddTagsToResource rds:CreateDBCluster rds:CreateDBClusterEndpoint rds:CreateDBInstance rds:CreateDBInstanceReadReplica
			cluster
			cluster-pg
			db
			pg
				aws:RequestTag/${TagKey} aws:ResourceTag/${TagKey} aws:TagKeys rds:cluster-tag/${TagKey} rds:cluster-pg-tag/${TagKey} rds:db-tag/${TagKey} rds:pg-tag/${TagKey} rds:req-tag/${TagKey} rds:DatabaseEngine rds:DatabaseName rds:StorageEncrypted rds:DatabaseClass rds:StorageSize rds:MultiAz rds:Piops rds:Vpc
CreateCustomDBEngineVersion	Concede permiso para crear una versión de un motor personalizado	Escritura	cev*		iam:CreateServiceLinkedRole mediaimport:CreateDatabaseBinarySnapshot rds:AddTagsToResource
CreateCustomDBEngineVersion		Escritura		aws:RequestTag/${TagKey} aws:TagKeys
CreateDBCluster	Concede permiso para crear un nuevo clúster de base de datos	Escritura	cluster*		iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateDBInstance secretsmanager:CreateSecret secretsmanager:TagResource
			cluster-pg*
			og*
			subgrp*
			db
			global-cluster
				aws:RequestTag/${TagKey} aws:TagKeys rds:req-tag/${TagKey} rds:DatabaseEngine rds:DatabaseName rds:StorageEncrypted rds:DatabaseClass rds:StorageSize rds:Piops rds:ManageMasterUserPassword
CreateDBClusterEndpoint	Concede permiso para crear un nuevo punto de conexión personalizado y lo asocia a un clúster de base de datos de Amazon Aurora o a un clúster de Amazon DocumentDB	Escritura	cluster*		rds:AddTagsToResource
			cluster-endpoint*
				rds:EndpointType aws:RequestTag/${TagKey} aws:TagKeys
CreateDBClusterParameterGroup	Concede permiso para crear un nuevo grupo de parámetros de clúster de base de datos	Write	cluster-pg*		rds:AddTagsToResource
CreateDBClusterParameterGroup		Write		aws:RequestTag/${TagKey} aws:TagKeys rds:req-tag/${TagKey}
CreateDBClusterSnapshot	Concede permiso para crear una instantánea de un clúster de base de datos	Write	cluster*		rds:AddTagsToResource
			cluster-snapshot*
				aws:RequestTag/${TagKey} aws:TagKeys rds:req-tag/${TagKey}
CreateDBInstance	Concede permiso para crear un nuevo dominio de base de datos	Write	db*		iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateTenantDatabase secretsmanager:CreateSecret secretsmanager:TagResource
			cluster
			og
			pg
			secgrp
			subgrp
				rds:BackupTarget aws:RequestTag/${TagKey} aws:TagKeys rds:req-tag/${TagKey} rds:ManageMasterUserPassword
CreateDBInstanceReadReplica	Concede permiso para crear una instancia de base de datos que actúe como réplica de lectura de una instancia de base de datos de origen	Write	cluster*		iam:PassRole rds:AddTagsToResource
			db*
			og*
			pg*
			subgrp*
				aws:RequestTag/${TagKey} aws:TagKeys rds:req-tag/${TagKey}
CreateDBParameterGroup	Concede permiso para crear un nuevo grupo de parámetros de base de datos	Write	pg*		rds:AddTagsToResource
CreateDBParameterGroup		Write		aws:RequestTag/${TagKey} aws:TagKeys rds:req-tag/${TagKey}
CreateDBProxy	Concede permiso para crear un proxy de base de datos.	Write		aws:RequestTag/${TagKey} aws:TagKeys	iam:PassRole
CreateDBProxyEndpoint	Concede permiso para crear un punto de enlace con el proxy de una base de datos.	Write	proxy*
			proxy-endpoint*
				aws:RequestTag/${TagKey} aws:TagKeys
CreateDBSecurityGroup	Concede permiso para crear un grupo de seguridad de base de datos Los grupos de seguridad de base de datos controlan el acceso a la instancia de base de datos.	Escritura	secgrp*		rds:AddTagsToResource
CreateDBSecurityGroup		Escritura		aws:RequestTag/${TagKey} aws:TagKeys rds:req-tag/${TagKey}
CreateDBShardGroup	Concede permiso para crear un nuevo grupo de particiones de base de datos Aurora Limitless Database	Escritura	cluster*		rds:AddTagsToResource
			shardgrp*
				aws:RequestTag/${TagKey} aws:TagKeys
CreateDBSnapshot	Otorga permiso para crear un DBSnapshot	Escritura	db*		rds:AddTagsToResource
			snapshot*
				rds:BackupTarget aws:RequestTag/${TagKey} aws:TagKeys rds:req-tag/${TagKey}
CreateDBSubnetGroup	Concede permiso para crear un nuevo grupo de subred de base de datos	Write	subgrp*		rds:AddTagsToResource
CreateDBSubnetGroup		Write		aws:RequestTag/${TagKey} aws:TagKeys rds:req-tag/${TagKey}
CreateEventSubscription	Concede permiso para crear una suscripción de notificación de eventos RDS	Escritura	es*		rds:AddTagsToResource
CreateEventSubscription		Escritura		aws:RequestTag/${TagKey} aws:TagKeys rds:req-tag/${TagKey}
CreateGlobalCluster	Concede permiso para crear una base de datos global de Aurora o una base de datos global de DocumentDB distribuida en varias regiones	Escritura	cluster*
CreateGlobalCluster		Escritura	global-cluster*
CreateIntegration	Concede permiso para crear una integración sin ETL con Redshift	Escritura	cluster*		kms:CreateGrant kms:DescribeKey rds:AddTagsToResource
			integration*
				aws:RequestTag/${TagKey} aws:TagKeys rds:req-tag/${TagKey}
CreateOptionGroup	Concede permiso para crear un nuevo grupo de opción	Escritura	og*		rds:AddTagsToResource
CreateOptionGroup	Concede permiso para crear un nuevo grupo de opción	Escritura		aws:RequestTag/${TagKey} aws:TagKeys rds:req-tag/${TagKey}
CreateTenantDatabase	Concede permiso para crear una nueva base de datos de inquilinos	Escritura	db*		rds:AddTagsToResource
			tenant-database*
				aws:RequestTag/${TagKey} aws:TagKeys rds:TenantDatabaseName
CrossRegionCommunication [solo permiso]	Concede permiso para acceder a un recurso en la región remota al ejecutar operaciones entre regiones, como copia de instantáneas entre regiones o creación de réplicas de lectura entre regiones	Escritura
DeleteBlueGreenDeployment	Concede permiso para eliminar implementaciones azul/verde	Escritura	deployment*		rds:DeleteDBCluster rds:DeleteDBClusterEndpoint rds:DeleteDBInstance rds:PromoteReadReplica rds:PromoteReadReplicaDBCluster
DeleteBlueGreenDeployment	Concede permiso para eliminar implementaciones azul/verde	Escritura		aws:ResourceTag/${TagKey}
DeleteCustomDBEngineVersion	Concede permiso para eliminar una versión de motor personalizado existente	Escritura	cev*
DeleteDBCluster	Concede permiso para eliminar un clúster de base de datos aprovisionado anteriormente	Escritura	cluster*		rds:AddTagsToResource rds:CreateDBClusterSnapshot rds:DeleteDBInstance
DeleteDBCluster		Escritura	cluster-snapshot*
DeleteDBClusterAutomatedBackup	Otorga permiso para eliminar las copias de seguridad automatizadas del clúster en función del DbClusterResourceId valor del clúster de origen o del identificador de recurso del clúster restaurable	Escritura	cluster-auto-backup*
DeleteDBClusterEndpoint	Concede permiso para eliminar un punto de conexión personalizado y lo elimina de un clúster de base de datos de Amazon Aurora o un clúster de Amazon DocumentDB	Escritura	cluster-endpoint*
DeleteDBClusterParameterGroup	Concede permiso para eliminar un grupo de parámetros de clúster de DB especificado	Write	cluster-pg*
DeleteDBClusterSnapshot	Concede permiso para eliminar una instantánea de clúster de base de datos	Write	cluster-snapshot*
DeleteDBInstance	Concede permiso para eliminar un clúster aprovisionado anteriormente	Escritura	db*		rds:AddTagsToResource rds:CreateDBSnapshot rds:DeleteTenantDatabase
DeleteDBInstanceAutomatedBackup	Otorga permiso para eliminar copias de seguridad automatizadas en función del DbiResourceId valor de la instancia de origen o del ID de recurso de la instancia restaurable	Escritura	auto-backup*
DeleteDBParameterGroup	Otorga permiso para eliminar un grupo específico DBParameter	Escritura	pg*
DeleteDBProxy	Concede permiso para eliminar un proxy de base de datos.	Write	proxy*
DeleteDBProxyEndpoint	Concede permiso para eliminar un punto de enlace con el proxy de una base de datos.	Write	proxy-endpoint*
DeleteDBSecurityGroup	Concede permiso para eliminar un grupo de seguridad de base de datos	Escritura	secgrp*
DeleteDBShardGroup	Concede permiso para eliminar un grupo de particiones de base de datos Aurora Limitless Database	Escritura	shardgrp*
DeleteDBSnapshot	Otorga permiso para eliminar un DBSnapshot	Escritura	snapshot*
DeleteDBSubnetGroup	Concede permiso para eliminar un grupo de subredes de base de datos	Write	subgrp*
DeleteEventSubscription	Concede permiso para eliminar una suscripción de notificación de eventos de RDS	Write	es*
DeleteGlobalCluster	Concede permiso para eliminar un clúster de base de datos global	Escritura	global-cluster*
DeleteIntegration	Concede permiso para eliminar una integración de Aurora sin ETL con Redshift	Escritura	integration*
DeleteOptionGroup	Concede permiso para eliminar una opción de grupo existente	Escritura	og*
DeleteTenantDatabase	Concede permiso para eliminar una base de datos de inquilinos	Escritura	db*		rds:AddTagsToResource rds:CreateDBSnapshot
DeleteTenantDatabase		Escritura	tenant-database*
DeregisterDBProxyTargets	Concede permiso para eliminar destinos de un grupo de destino de proxy de base de datos	Write	cluster*
			db*
			proxy*
			target-group*
DescribeAccountAttributes	Concede permiso para enumerar todos los atributos de una cuenta de cliente	Enumeración
DescribeBlueGreenDeployments	Concede permiso para describir las implementaciones azul/verde	Enumeración	deployment
DescribeCertificates	Otorga permiso para publicar el conjunto de certificados de CA proporcionados por Amazon RDS para esto Cuenta de AWS	Enumeración
DescribeDBClusterAutomatedBackups	Concede permiso para devolver una lista de copias de seguridad automatizadas del clúster para clústeres actuales y eliminados	Enumeración	cluster-auto-backup*
DescribeDBClusterAutomatedBackups		Enumeración	cluster
DescribeDBClusterBacktracks	Concede permiso para devolver información sobre pistas de retroceso para un clúster de base de datos	List	cluster*
DescribeDBClusterEndpoints	Concede permiso para devolver información sobre los puntos de enlace de un clúster de base de datos de Amazon Aurora	Enumeración	cluster
DescribeDBClusterEndpoints		Enumeración	cluster-endpoint
DescribeDBClusterParameterGroups	Otorga permiso para devolver una lista de descripciones DBCluster ParameterGroup	Enumeración	cluster-pg*
DescribeDBClusterParameters	Concede permiso para devolver la lista de parámetros detallada para un grupo de parámetros de clúster de base de datos determinado	List	cluster-pg*
DescribeDBClusterSnapshotAttributes	Concede permiso para devolver una lista de nombres y valores de atributos de instantáneas de clúster de base de datos para una instantánea manual de clúster de base de datos	List	cluster-snapshot*
DescribeDBClusterSnapshots	Concede permiso para devolver información sobre instantáneas de clúster de base de datos	Enumeración	cluster
DescribeDBClusterSnapshots		Enumeración	cluster-snapshot
DescribeDBClusters	Concede permiso para devolver información sobre clústeres de bases de datos de Aurora o clústeres de DocumentDB aprovisionados	Enumeración	cluster*
DescribeDBEngineVersions	Concede permiso para devolver una lista de los motores de base de datos disponibles	List
DescribeDBInstanceAutomatedBackups	Concede permiso para devolver una lista de copias de seguridad automatizadas para instancias actuales y eliminadas	List	auto-backup
DescribeDBInstanceAutomatedBackups		List	db
DescribeDBInstances	Concede permiso para devolver información acerca de instancias RDS aprovisionadas	List	db*
DescribeDBLogFiles	Concede permiso para devolver una lista de archivos de registro de base de datos para la instancia de base de datos	Enumeración	db*
DescribeDBParameterGroups	Otorga permiso para devolver una lista de descripciones de DBParameter grupos	Enumeración	pg*
DescribeDBParameters	Concede permiso para devolver la lista de parámetros detallada para un grupo de parámetros de base de datos concreto	List	pg*
DescribeDBProxies	Concede permiso para ver proxies.	List	proxy*
DescribeDBProxyEndpoints	Concede permiso para ver puntos de enlace con proxy.	List	proxy*
DescribeDBProxyEndpoints	Concede permiso para ver puntos de enlace con proxy.	List	proxy-endpoint*
DescribeDBProxyTargetGroups	Concede permiso para ver los detalles del grupo de destino del proxy de base de datos.	List	proxy*
DescribeDBProxyTargets	Concede permiso para ver los detalles de destino del proxy de la base de datos.	Enumeración	proxy*
DescribeDBProxyTargets		Enumeración	target-group*
DescribeDBRecommendations	Concede permiso para enumerar los detalles de la recomendación	Enumeración
DescribeDBSecurityGroups	Otorga permiso para devolver una lista de descripciones de DBSecurity grupos	Enumeración	secgrp*
DescribeDBShardGroups	Concede permiso para devolver información sobre todos los grupos de particiones de base de datos de Aurora Limitless Database correspondientes a esta cuenta. Puede filtrar por grupo o grupos de particiones	Enumeración	shardgrp*
DescribeDBSnapshotAttributes	Concede permiso para devolver una lista de nombres y valores de atributos de instantánea de base de datos para una instantánea de base de datos manual	Enumeración	snapshot*
DescribeDBSnapshotTenantDatabases	Concede permiso para devolver información acerca de bases de datos de inquilinos en instantáneas de bases de datos. Puede filtrar por región o por instantánea	Enumeración	snapshot-tenant-database*
			db
			snapshot
DescribeDBSnapshots	Concede permiso para devolver información acerca de instantáneas de bases de datos	Enumeración	db
DescribeDBSnapshots		Enumeración	snapshot
DescribeDBSubnetGroups	Otorga permiso para devolver una lista de descripciones de DBSubnet grupos	Enumeración	subgrp*
DescribeEngineDefaultClusterParameters	Concede permiso para devolver información del parámetro del sistema y motor predeterminada para el motor de base de datos del clúster	List
DescribeEngineDefaultParameters	Concede permiso para devolver información predeterminada del motor y el sistema para el motor de base de datos especificado	List
DescribeEventCategories	Concede permiso para mostrar una lista de categorías de todos los tipos de origen de eventos o, si se especifica, para tipo de origen especificado	List
DescribeEventSubscriptions	Concede permiso para enumerar todas las descripciones de suscripción de una cuenta de cliente	List	es*
DescribeEvents	Concede permiso para devolver eventos relacionados con las instancias grupos de seguridad, instantáneas y grupos de parámetros de base de datos de los últimos 14 días	List
DescribeExportTasks	Concede permiso para devolver información acerca de las tareas exportadas	Enumeración	cluster
			cluster-snapshot
			snapshot
DescribeGlobalClusters	Concede permiso para devolver información sobre clústeres de bases de datos globales Aurora o clústeres de bases de datos globales de DocumentDB	Enumeración	global-cluster*
DescribeIntegrations	Concede permiso para describir una integración de Aurora sin ETL con Redshift	Enumeración	integration*
DescribeIntegrations		Enumeración		aws:ResourceTag/${TagKey}
DescribeOptionGroupOptions	Concede permiso para describir todas las opciones disponibles	List
DescribeOptionGroups	Concede permiso para describir los grupos de opciones disponibles	List	og*
DescribeOrderableDBInstanceOptions	Concede permiso para devolver una lista de opciones de instancia de base de datos ordenables para el motor especificado	List
DescribePendingMaintenanceActions	Concede permiso para devolver una lista de recursos (por ejemplo, instancias de base de datos) que tienen al menos una acción de mantenimiento pendiente	Enumeración	cluster
DescribePendingMaintenanceActions		Enumeración	db
DescribeRecommendationGroups [solo permiso]	Concede permiso para devolver información sobre grupos de recomendaciones	Lectura
DescribeRecommendations [solo permiso]	Concede permiso para devolver información sobre recomendaciones	Lectura
DescribeReservedDBInstances	Concede permiso para devolver información acerca de las instancias de base de datos reservadas para esta cuenta o sobre una instancia de base de datos reservada especificada	List	ri*
DescribeReservedDBInstancesOfferings	Concede permiso para enumerar ofertas de instancias de base de datos reservadas	Enumeración
DescribeSourceRegions	Otorga permiso para devolver una lista de la fuente desde la Regiones de AWS que el usuario actual Región de AWS puede crear una réplica de lectura o copiar una instantánea de base de datos	Enumeración
DescribeTenantDatabases	Concede permiso para devolver información acerca de las bases de datos de inquilinos aprovisionados. Puede filtrar por región o por instantánea	Enumeración	tenant-database*
DescribeTenantDatabases		Enumeración	db
DescribeValidDBInstanceModifications	Concede permiso para enumerar las modificaciones disponibles que puede realizar en su instancia de base de datos	Enumeración	db*
DisableHttpEndpoint	Concede permiso para deshabilitar el punto de conexión http para un clúster de base de datos	Escritura	cluster*
DownloadCompleteDBLogFile	Concede permiso para descargar el archivo de registros especificado	Lectura	db*
DownloadDBLogFilePortion	Concede permiso para descargar todo o una parte del archivo de registro especificado, con un tamaño de hasta 1 MB	Lectura	db*
EnableHttpEndpoint	Concede permiso para habilitar el punto de conexión http para un clúster de base de datos	Escritura	cluster*
FailoverDBCluster	Concede permiso para forzar una conmutación por error para un clúster de base de datos	Write	cluster*
FailoverGlobalCluster	Concede permiso para conmutar por error un clúster global	Escritura	cluster*
FailoverGlobalCluster	Concede permiso para conmutar por error un clúster global	Escritura	global-cluster*
ListTagsForResource	Concede permiso para enumerar todas las etiquetas de un recurso de Amazon RDS	Lectura	cev
			cluster
			cluster-endpoint
			cluster-pg
			cluster-snapshot
			db
			es
			integration
			og
			pg
			proxy
			proxy-endpoint
			ri
			secgrp
			shardgrp
			snapshot
			snapshot-tenant-database
			subgrp
			target-group
			tenant-database
ModifyActivityStream	Concede permiso para modificar un flujo de actividad de la base de datos	Escritura	db*
ModifyCertificates	Concede permiso para modificar el certificado Layer/Transport Layer Security (SSL/TLS (Secure Sockets) predeterminado del sistema para Amazon RDS para nuevas instancias de base de datos	Escritura
ModifyCurrentDBClusterCapacity	Concede permiso para modificar la capacidad actual de clúster de los clústeres de bases de datos sin servidor de Amazon Aurora	Escritura	cluster*
ModifyCustomDBEngineVersion	Concede permiso para modificar una versión de motor personalizado existente	Escritura	cev*
ModifyDBCluster	Concede permiso para modificar una configuración de un clúster de base de datos de Amazon Aurora o un clúster de Amazon DocumentDB	Escritura	cluster*		iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:ModifyDBInstance secretsmanager:CreateSecret secretsmanager:RotateSecret secretsmanager:TagResource
			cluster-pg
			og
			pg
				rds:DatabaseClass rds:StorageSize rds:Piops rds:ManageMasterUserPassword
ModifyDBClusterEndpoint	Concede permiso para modificar las propiedades de un punto de conexión en un clúster de base de datos de Amazon Aurora o en un clúster de Amazon DocumentDB	Escritura	cluster-endpoint*
ModifyDBClusterParameterGroup	Concede permiso para modificar los parámetros de un grupo de parámetros	Write	cluster-pg*
ModifyDBClusterSnapshotAttribute	Concede permiso para agregar un atributo y valores a una instantánea de clúster de base de datos manual o los quita de ella	Write	cluster-snapshot*
ModifyDBInstance	Concede permiso para modificar la configuración de una instancia de base de datos	Write	db*		iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateTenantDatabase secretsmanager:CreateSecret secretsmanager:RotateSecret secretsmanager:TagResource
			og
			pg
			secgrp
			subgrp
				rds:ManageMasterUserPassword
ModifyDBParameterGroup	Concede permiso para modificar los parámetros de un grupo de parámetros de base de datos	Write	pg*
ModifyDBProxy	Concede permiso para modificar el proxy de la base de datos.	Write	proxy*		iam:PassRole
ModifyDBProxyEndpoint	Concede permiso para modificar un punto de enlace con el proxy de una base de datos.	Write	proxy-endpoint*
ModifyDBProxyTargetGroup	Concede permiso para modificar el grupo de destino para un proxy de base de datos.	Escritura	target-group*
ModifyDBRecommendation	Concede permiso para modificar la recomendación	Escritura
ModifyDBShardGroup	Concede permiso para modificar las propiedades de un grupo de particiones de base de datos Aurora Limitless Database	Escritura	shardgrp*
ModifyDBSnapshot	Concede permiso para actualizar una instantánea de base de datos manual, que puede estar cifrada o sin cifrar, con una nueva versión del motor	Write	snapshot*
ModifyDBSnapshot		Write	og
ModifyDBSnapshotAttribute	Concede permiso para agregar un atributo y valores a una instantánea de base de datos manual o los quita de ella	Write	snapshot*
ModifyDBSubnetGroup	Concede permiso para modificar un grupo de subredes de base de datos existente	Write	subgrp*
ModifyEventSubscription	Concede permiso para modificar una suscripción de notificación de eventos de RDS existente	Escritura	es*
ModifyGlobalCluster	Concede permiso para modificar una configuración de un clúster global de Amazon Aurora o un clúster global de Amazon DocumentDB	Escritura	global-cluster*
ModifyIntegration	Concede permiso para modificar una integración de Aurora sin operaciones de extracción, transformación y carga (ETL) con Redshift	Escritura	integration*
ModifyOptionGroup	Concede permiso para modificar una opción de grupo existente	Escritura	og*		iam:PassRole
ModifyRecommendation [solo permiso]	Concede permiso para modificar la recomendación	Escritura
ModifyTenantDatabase	Concede permiso para modificar una base de datos de inquilinos	Escritura	db*
			tenant-database*
				rds:TenantDatabaseName
PromoteReadReplica	Concede permiso para promover una instancia de base de datos de réplica de lectura a una instancia de base de datos	Write	db*
PromoteReadReplicaDBCluster	Concede permiso para promover un clúster de base de datos de réplica de lectura a un clúster de base de datos	Write	cluster*
PurchaseReservedDBInstancesOffering	Concede permiso para comprar una oferta de instancia de base de datos reservada	Escritura	ri*
PurchaseReservedDBInstancesOffering		Escritura		aws:RequestTag/${TagKey} aws:TagKeys
RebootDBCluster	Concede permiso para reiniciar un clúster de base de datos aprovisionado anteriormente	Escritura	cluster*		rds:RebootDBInstance
RebootDBInstance	Concede permiso para reiniciar el servicio del motor de base	Escritura	db*
RebootDBShardGroup	Concede permiso para reiniciar un grupo de particiones de base de datos Aurora Limitless Database	Escritura	shardgrp*
RegisterDBProxyTargets	Concede permiso para agregar destinos a un grupo de destino de proxy de base de datos.	Escritura	target-group*
RemoveFromGlobalCluster	Concede permiso para separar un clúster secundario de Aurora de un clúster de base de datos global de Aurora o de un clúster global de DocumentDB	Escritura	cluster*
RemoveFromGlobalCluster		Escritura	global-cluster*
RemoveRoleFromDBCluster	Otorga permiso para desasociar una función de AWS Identity and Access Management (IAM) de un clúster de base de datos de Amazon Aurora	Escritura	cluster*		iam:PassRole
RemoveRoleFromDBInstance	Otorga permiso para desasociar una función de AWS Identity and Access Management (IAM) de una instancia de base de datos	Escritura	db*		iam:PassRole
RemoveSourceIdentifierFromSubscription	Concede permiso para quitar un identificador de origen de una suscripción de notificación de eventos RDS existente	Write	es*
RemoveTagsFromResource	Concede permiso para eliminar etiquetas de metadatos de un recurso de Amazon RDS	Etiquetado	cev
			cluster
			cluster-endpoint
			cluster-pg
			cluster-snapshot
			db
			deployment
			es
			integration
			og
			pg
			proxy
			proxy-endpoint
			ri
			secgrp
			shardgrp
			snapshot
			snapshot-tenant-database
			subgrp
			target-group
			tenant-database
				aws:RequestTag/${TagKey} aws:TagKeys rds:req-tag/${TagKey}
ResetDBClusterParameterGroup	Concede permiso para modificar los parámetros de un grupo de parámetros de clúster de base de datos al valor predeterminado	Write	cluster-pg*
ResetDBParameterGroup	Concede permiso para modificar los parámetros de un grupo de parámetros de base de datos al valor predeterminado del motor/sistema	Write	pg*
RestoreDBClusterFromS3	Concede permiso para crear un clúster de base de datos de Amazon Aurora a partir de datos almacenados en un bucket de Amazon S3	Write	cluster*		iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource secretsmanager:CreateSecret secretsmanager:TagResource
			cluster-pg*
			og*
			subgrp*
				aws:RequestTag/${TagKey} aws:TagKeys rds:req-tag/${TagKey} rds:DatabaseEngine rds:DatabaseName rds:StorageEncrypted rds:ManageMasterUserPassword
RestoreDBClusterFromSnapshot	Concede permiso para crear un nuevo clúster de base de datos a partir de una instantánea de clúster de base de datos	Write	cluster*		iam:PassRole rds:AddTagsToResource rds:CreateDBInstance
			cluster-pg*
			og*
			subgrp*
			cluster-snapshot
			snapshot
				aws:RequestTag/${TagKey} aws:TagKeys rds:req-tag/${TagKey} rds:DatabaseClass rds:StorageSize rds:Piops
RestoreDBClusterToPointInTime	Concede permiso para restaurar un clúster de base de datos a un punto en el tiempo arbitrario	Write	cluster*		iam:PassRole rds:AddTagsToResource rds:CreateDBInstance
			cluster-pg*
			og*
			subgrp*
			cluster-auto-backup
				aws:RequestTag/${TagKey} aws:TagKeys rds:req-tag/${TagKey} rds:DatabaseClass rds:StorageSize rds:Piops
RestoreDBInstanceFromDBSnapshot	Concede permiso para crear una nueva instancia de base de datos desde una instantánea de base de datos	Write	db*		iam:PassRole rds:AddTagsToResource rds:CreateTenantDatabase
			og*
			pg*
			subgrp*
			cluster-snapshot
			snapshot
				rds:BackupTarget aws:RequestTag/${TagKey} aws:TagKeys rds:req-tag/${TagKey}
RestoreDBInstanceFromS3	Concede permiso para crear una nueva instancia de base de datos a partir de un bucket de Amazon S3	Write	db*		iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource secretsmanager:CreateSecret secretsmanager:TagResource
			og*
			pg*
			subgrp*
			secgrp
				aws:RequestTag/${TagKey} aws:TagKeys rds:req-tag/${TagKey} rds:ManageMasterUserPassword
RestoreDBInstanceToPointInTime	Concede permiso para restaurar una instancia de base de datos a un punto en el tiempo arbitrario	Escritura	db*		iam:PassRole rds:AddTagsToResource rds:CreateTenantDatabase
			og*
			pg*
			subgrp*
			auto-backup
				rds:BackupTarget aws:RequestTag/${TagKey} aws:TagKeys rds:req-tag/${TagKey}
RevokeDBSecurityGroupIngress	Otorga permiso para revocar la entrada de un DBSecurity grupo para rangos de IP o grupos de seguridad de EC2 VPC previamente autorizados	Escritura	secgrp*
StartActivityStream	Concede permiso para iniciar una secuencia de actividades	Escritura	cluster
StartActivityStream	Concede permiso para iniciar una secuencia de actividades	Escritura	db
StartDBCluster	Concede permiso para comenzar el clúster de base de datos	Escritura	cluster*
StartDBInstance	Concede permiso para iniciar la instancia de base de datos	Escritura	db*
StartDBInstanceAutomatedBackupsReplication	Otorga permiso para iniciar la replicación de las copias de seguridad automatizadas en otro Región de AWS	Escritura	auto-backup*
StartDBInstanceAutomatedBackupsReplication		Escritura	db*
StartExportTask	Concede permiso para iniciar una nueva tarea de exportación para una instantánea de base de datos	Write	cluster		iam:PassRole
			cluster-snapshot
			snapshot
StopActivityStream	Concede permiso para detener una secuencia de actividad	Write	cluster
StopActivityStream	Concede permiso para detener una secuencia de actividad	Write	db
StopDBCluster	Concede permiso para detener el clúster de base de datos	Write	cluster*
StopDBInstance	Concede permiso para detener la instancia de base de datos	Write	db*		rds:AddTagsToResource rds:CreateDBSnapshot
StopDBInstance	Concede permiso para detener la instancia de base de datos	Write	snapshot
StopDBInstanceAutomatedBackupsReplication	Concede permiso para detener la replicación de copia de seguridad automatizada para una instancia de base de datos	Escritura	db*
SwitchoverBlueGreenDeployment	Concede permiso para cambiar una implementación azul/verde la instancia o clúster de origen al de destino	Escritura	deployment*		rds:ModifyDBCluster rds:ModifyDBInstance rds:PromoteReadReplica rds:PromoteReadReplicaDBCluster
SwitchoverBlueGreenDeployment		Escritura		aws:ResourceTag/${TagKey}
SwitchoverGlobalCluster	Concede permiso para realizar la transición de un clúster global	Escritura	cluster*
SwitchoverGlobalCluster		Escritura	global-cluster*
SwitchoverReadReplica	Concede permiso para cambiar una réplica de lectura, convirtiéndola en la nueva base de datos principal	Escritura	db*

Tipos de recurso definidos por Amazon RDS

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso	ARN	Claves de condición
cluster	`arn:${Partition}:rds:${Region}:${Account}:cluster:${DbClusterInstanceName}`	aws:ResourceTag/${TagKey} rds:cluster-tag/${TagKey}
shardgrp	`arn:${Partition}:rds:${Region}:${Account}:shard-group:${DbShardGroupResourceId}`	aws:ResourceTag/${TagKey}
cluster-auto-backup	`arn:${Partition}:rds:${Region}:${Account}:cluster-auto-backup:${DbClusterAutomatedBackupId}`
auto-backup	`arn:${Partition}:rds:${Region}:${Account}:auto-backup:${DbInstanceAutomatedBackupId}`
cluster-endpoint	`arn:${Partition}:rds:${Region}:${Account}:cluster-endpoint:${DbClusterEndpoint}`	aws:ResourceTag/${TagKey}
cluster-pg	`arn:${Partition}:rds:${Region}:${Account}:cluster-pg:${ClusterParameterGroupName}`	aws:ResourceTag/${TagKey} rds:cluster-pg-tag/${TagKey}
cluster-snapshot	`arn:${Partition}:rds:${Region}:${Account}:cluster-snapshot:${ClusterSnapshotName}`	aws:ResourceTag/${TagKey} rds:cluster-snapshot-tag/${TagKey}
db	`arn:${Partition}:rds:${Region}:${Account}:db:${DbInstanceName}`	aws:ResourceTag/${TagKey} rds:DatabaseClass rds:DatabaseEngine rds:DatabaseName rds:MultiAz rds:Piops rds:StorageEncrypted rds:StorageSize rds:Vpc rds:db-tag/${TagKey}
es	`arn:${Partition}:rds:${Region}:${Account}:es:${SubscriptionName}`	aws:ResourceTag/${TagKey} rds:es-tag/${TagKey}
global-cluster	`arn:${Partition}:rds::${Account}:global-cluster:${GlobalCluster}`
og	`arn:${Partition}:rds:${Region}:${Account}:og:${OptionGroupName}`	aws:ResourceTag/${TagKey} rds:og-tag/${TagKey}
pg	`arn:${Partition}:rds:${Region}:${Account}:pg:${ParameterGroupName}`	aws:ResourceTag/${TagKey} rds:pg-tag/${TagKey}
proxy	`arn:${Partition}:rds:${Region}:${Account}:db-proxy:${DbProxyId}`	aws:ResourceTag/${TagKey}
proxy-endpoint	`arn:${Partition}:rds:${Region}:${Account}:db-proxy-endpoint:${DbProxyEndpointId}`	aws:ResourceTag/${TagKey}
ri	`arn:${Partition}:rds:${Region}:${Account}:ri:${ReservedDbInstanceName}`	aws:ResourceTag/${TagKey} rds:ri-tag/${TagKey}
secgrp	`arn:${Partition}:rds:${Region}:${Account}:secgrp:${SecurityGroupName}`	aws:ResourceTag/${TagKey} rds:secgrp-tag/${TagKey}
snapshot	`arn:${Partition}:rds:${Region}:${Account}:snapshot:${SnapshotName}`	aws:ResourceTag/${TagKey} rds:snapshot-tag/${TagKey}
subgrp	`arn:${Partition}:rds:${Region}:${Account}:subgrp:${SubnetGroupName}`	aws:ResourceTag/${TagKey} rds:subgrp-tag/${TagKey}
target-group	`arn:${Partition}:rds:${Region}:${Account}:target-group:${TargetGroupId}`	aws:ResourceTag/${TagKey}
cev	`arn:${Partition}:rds:${Region}:${Account}:cev:${Engine}/${EngineVersion}/${CustomDbEngineVersionId}`	aws:ResourceTag/${TagKey}
deployment	`arn:${Partition}:rds:${Region}:${Account}:deployment:${BlueGreenDeploymentIdentifier}`	aws:ResourceTag/${TagKey}
integration	`arn:${Partition}:rds:${Region}:${Account}:integration:${IntegrationIdentifier}`	aws:ResourceTag/${TagKey}
snapshot-tenant-database	`arn:${Partition}:rds:${Region}:${Account}:snapshot-tenant-database:${SnapshotName}:${TenantResourceId}`	aws:ResourceTag/${TagKey}
tenant-database	`arn:${Partition}:rds:${Region}:${Account}:tenant-database:${TenantResourceId}`	aws:ResourceTag/${TagKey}

Claves de condición de Amazon RDS

Amazon RDS define las siguientes claves de condición que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición	Descripción	Tipo
aws:RequestTag/${TagKey}	Filtra el acceso mediante los pares clave-valor de la etiqueta en la solicitud.	Cadena
aws:ResourceTag/${TagKey}	Filtra el acceso mediante los pares clave-valor de etiqueta adjuntados al recurso.	Cadena
aws:TagKeys	Filtra el acceso mediante el conjunto de claves de etiqueta en la solicitud.	ArrayOfString
rds:BackupTarget	Filtra el acceso mediante el tipo de destino de copia de seguridad. Uno de estos: región, outposts	Cadena
rds:CopyOptionGroup	Filtra el acceso por el valor que especifica si la DBSnapshot acción de copiar requiere copiar el grupo de opciones de base de datos	Bool
rds:DatabaseClass	Filtra el acceso por el tipo de clase de instancia de base de datos	Cadena
rds:DatabaseEngine	Filtra el acceso por el motor de la base de datos. Para ver los valores posibles, consulte el parámetro del motor en Create DBInstance API	Cadena
rds:DatabaseName	Filtra el acceso por el nombre definido por el usuario de la base de datos en la instancia de base de datos	Cadena
rds:EndpointType	Filtra el acceso según el tipo de punto de enlace Puede ser: READER, WRITER, CUSTOM (lectura, escritura, personalizado)	Cadena
rds:ManageMasterUserPassword	Filtra el acceso por el valor que especifica si RDS administra la contraseña del usuario maestro en AWS Secrets Manager para la instancia de base de datos o el clúster	Bool
rds:MultiAz	Filtra el acceso por un valor que especifica si la instancia de base de datos se ejecuta en varias zonas de disponibilidad Para indicar que la instancia de base de datos está utilizando Multi-AZ, especifique true	Bool
rds:Piops	Filtra el acceso por un valor que contiene el número de IOPS provisionadas (PIOPS) compatible con la instancia Para indicar una instancia de base de datos que no tenga PIOPS habilitado, especifique 0	Numérico
rds:StorageEncrypted	Filtra el acceso por un valor que especifica si el almacenamiento de la instancia de base de datos debe cifrarse Para aplicar el cifrado de almacenamiento, especifique true	Bool
rds:StorageSize	Filtra el acceso según el tamaño del volumen de almacenamiento (en GB)	Numérico
rds:TenantDatabaseName	Filtra el acceso por el nombre de la base de datos arrendataria CreateTenantDatabase y por el nombre de la nueva base de datos arrendataria en ModifyTenantDatabase	Cadena
rds:Vpc	Filtra el acceso por un valor que especifica si la instancia de base de datos se ejecuta en una Amazon Virtual Private Cloud (Amazon VPC) Para indicar que la instancia de base de datos se ejecuta en una Amazon VPC; especifique true	Bool
rds:cluster-pg-tag/${TagKey}	Filtra el acceso por la etiqueta asociada a un grupo de parámetros de clúster de base de datos	Cadena
rds:cluster-snapshot-tag/${TagKey}	Filtra el acceso por la etiqueta adjunta a una instantánea de clúster de base de datos	Cadena
rds:cluster-tag/${TagKey}	Filtra el acceso por la etiqueta adjunta a un clúster de base de datos	Cadena
rds:db-tag/${TagKey}	Filtra el acceso por la etiqueta adjunta a una instancia de base de datos	Cadena
rds:es-tag/${TagKey}	Filtra el acceso por la etiqueta adjunta a una suscripción de evento	Cadena
rds:og-tag/${TagKey}	Filtra el acceso por la etiqueta adjunta a un grupo de opciones de base de datos	Cadena
rds:pg-tag/${TagKey}	Filtra el acceso por la etiqueta adjunta a un grupo de parámetros de base de datos	Cadena
rds:req-tag/${TagKey}	Filtra el acceso por el conjunto de claves y valores de etiquetas que se pueden usar para etiquetar un recurso	Cadena
rds:ri-tag/${TagKey}	Filtra el acceso por la etiqueta adjunta a una instancia de base de datos reservada	Cadena
rds:secgrp-tag/${TagKey}	Filtra el acceso por la etiqueta adjunta a un grupo de seguridad de base de datos	Cadena
rds:snapshot-tag/${TagKey}	Filtra el acceso por la etiqueta adjunta a una instantánea de base de datos	Cadena
rds:subgrp-tag/${TagKey}	Filtra el acceso por la etiqueta adjunta a un grupo de subred de base de datos	Cadena

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Amazon QuickSight

API de datos de Amazon RDS