Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour Amazon RDS
Amazon RDS (préfixe de service :rds) fournit les ressources, actions et clés de contexte de condition spécifiques aux services suivantes à utiliser dans IAM les politiques d'autorisation.
Références :
-
Découvrez comment configurer ce service.
-
Consultez la liste des APIopérations disponibles pour ce service.
-
Découvrez comment sécuriser ce service et ses ressources à l'aide de politiques IAM d'autorisation.
Rubriques
Actions définies par Amazon RDS
Vous pouvez spécifier les actions suivantes dans l'Actionélément d'une déclaration de IAM politique. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'APIopération ou à la CLI commande portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez spécifier un type ARN de ressource de ce type dans une instruction comportant cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément d'une IAM politique, vous devez inclure un modèle ARN ou pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
| Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
|---|---|---|---|---|---|
| AddRoleToDBCluster | Accorde l'autorisation d'associer un rôle Identity and Access Management (IAM) à partir d'un cluster de base de données Aurora | Écrire |
iam:PassRole |
||
| AddRoleToDBInstance | Accorde l'autorisation d'associer un rôle AWS Identity and Access Management (IAM) à une instance de base de données | Écrire |
iam:PassRole |
||
| AddSourceIdentifierToSubscription | Accorde l'autorisation d'ajouter un identifiant de source à un abonnement de notification d'RDSévénement existant | Écrire | |||
| AddTagsToResource | Accorde l'autorisation d'ajouter des balises de métadonnées à une RDS ressource Amazon | Identification | |||
| ApplyPendingMaintenanceAction | Accorde l'autorisation d'appliquer une action de maintenance en attente à une ressource | Écrire | |||
| AuthorizeDBSecurityGroupIngress | Accorde l'autorisation d'autoriser l'accès à un DBSecurityGroup en utilisant l'une des deux formes d'autorisation | Gestion des autorisations | |||
| BacktrackDBCluster | Accorde l'autorisation de faire le suivi d'un cluster de base de données à une heure spécifique, sans créer d'autre cluster de base de données | Écriture | |||
| CancelExportTask | Accorde l'autorisation d'annuler une tâche d'exportation en cours | Écrire | |||
| CopyCustomDBEngineVersion [autorisation uniquement] | Accorde l'autorisation de copier une version personnalisée du moteur | Écrire | |||
| CopyDBClusterParameterGroup | Accorde l'autorisation de copier le groupe de paramètres de cluster de base de données spécifié | Écriture |
rds:AddTagsToResource |
||
| CopyDBClusterSnapshot | Accorde l'autorisation de créer un instantané de cluster de base de données | Écriture |
rds:AddTagsToResource |
||
| CopyDBParameterGroup | Accorde l'autorisation de copier le groupe de paramètres de base de données spécifié | Écriture |
rds:AddTagsToResource |
||
| CopyDBSnapshot | Accorde l'autorisation de copier l'instantané de base de données spécifié | Écriture |
rds:AddTagsToResource rds:CopyCustomDBEngineVersion |
||
| CopyOptionGroup | Accorde l'autorisation de copier le groupe d'options spécifié | Écrire |
rds:AddTagsToResource |
||
| CreateBlueGreenDeployment | Accorde l'autorisation de créer un déploiement bleu/vert pour un cluster ou une instance source donné | Écrire |
rds:AddTagsToResource rds:CreateDBCluster rds:CreateDBClusterEndpoint rds:CreateDBInstance rds:CreateDBInstanceReadReplica |
||
| CreateCustomDBEngineVersion | Accorde l'autorisation de créer une version de moteur personnalisée | Écrire |
iam:CreateServiceLinkedRole mediaimport:CreateDatabaseBinarySnapshot rds:AddTagsToResource |
||
| CreateDBCluster | Accorde l'autorisation de créer un nouveau cluster de bases de données | Écrire |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateDBInstance secretsmanager:CreateSecret secretsmanager:TagResource |
||
| CreateDBClusterEndpoint | Accorde l'autorisation de créer un nouveau point de terminaison personnalisé et l'associe à un cluster de base de données Amazon Aurora ou à un cluster Amazon DocumentDB | Écrire |
rds:AddTagsToResource |
||
| CreateDBClusterParameterGroup | Accorde l'autorisation de créer un groupe de paramètres de cluster de base de données | Écriture |
rds:AddTagsToResource |
||
| CreateDBClusterSnapshot | Accorde l'autorisation de créer un instantané de cluster de base de données | Écriture |
rds:AddTagsToResource |
||
| CreateDBInstance | Accorde l'autorisation de créer une instance de base de données | Écriture |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateTenantDatabase secretsmanager:CreateSecret secretsmanager:TagResource |
||
| CreateDBInstanceReadReplica | Accorde l'autorisation de créer une instance de base de données qui agit comme un réplica en lecture d'une instance de base de données source | Écriture |
iam:PassRole rds:AddTagsToResource |
||
| CreateDBParameterGroup | Accorde l'autorisation de créer un groupe de paramètres de base de données | Écriture |
rds:AddTagsToResource |
||
| CreateDBProxy | Accorde l'autorisation de créer un proxy de base de données. | Écriture |
iam:PassRole |
||
| CreateDBProxyEndpoint | Accorde l'autorisation de créer un point de terminaison proxy de base de données | Écriture | |||
| CreateDBSecurityGroup | Accorde l'autorisation de créer un groupe de sécurité de base de données. Les groupes de sécurité de base de données contrôlent l'accès à une instance de base de données | Écrire |
rds:AddTagsToResource |
||
| CreateDBShardGroup | Autorise la création d'un nouveau groupe de partitions de base de données Aurora Limitless | Écrire |
rds:AddTagsToResource |
||
| CreateDBSnapshot | Accorde l'autorisation de créer un DBSnapshot | Écrire |
rds:AddTagsToResource |
||
| CreateDBSubnetGroup | Accorde l'autorisation de créer un nouveau groupe de sous-réseaux de base de données | Écrire |
rds:AddTagsToResource |
||
| CreateEventSubscription | Accorde l'autorisation de créer un abonnement aux notifications d'RDSévénements | Écrire |
rds:AddTagsToResource |
||
| CreateGlobalCluster | Autorise la création d'une base de données globale Aurora ou d'une base de données globale DocumentDB répartie sur plusieurs régions | Écrire | |||
| CreateIntegration | Autorise la création d'une ETL intégration zéro d'Aurora avec Redshift | Écrire |
kms:CreateGrant kms:DescribeKey rds:AddTagsToResource |
||
| CreateOptionGroup | Accorde l'autorisation de créer un groupe d'options | Écrire |
rds:AddTagsToResource |
||
| CreateTenantDatabase | Accorde l'autorisation de créer une base de données locataire | Écrire |
rds:AddTagsToResource |
||
| CrossRegionCommunication [autorisation uniquement] | Accorde l'autorisation d'accéder à une ressource dans la région distante lors de l'exécution d'opérations entre régions, telles que la copie d'instantanés entre régions ou la création d'un réplica de lecture entre régions. | Écrire | |||
| DeleteBlueGreenDeployment | Accorde l'autorisation de supprimer un déploiement bleu/vert | Écrire |
rds:DeleteDBCluster rds:DeleteDBClusterEndpoint rds:DeleteDBInstance rds:PromoteReadReplica rds:PromoteReadReplicaDBCluster |
||
| DeleteCustomDBEngineVersion | Accorde l'autorisation de supprimer une version de moteur personnalisée existante | Écrire | |||
| DeleteDBCluster | Accorde l'autorisation de supprimer un cluster de base de données précédemment alloué | Écrire |
rds:AddTagsToResource rds:CreateDBClusterSnapshot rds:DeleteDBInstance |
||
| DeleteDBClusterAutomatedBackup | Accorde l'autorisation de supprimer les sauvegardes automatisées du cluster en fonction de la DbClusterResourceId valeur du cluster source ou de l'ID de ressource du cluster restaurable | Écrire | |||
| DeleteDBClusterEndpoint | Accorde l'autorisation de supprimer un point de terminaison personnalisé et le supprime d'un cluster de base de données Amazon Aurora ou d'un cluster Amazon DocumentDB | Écrire | |||
| DeleteDBClusterParameterGroup | Accorde l'autorisation de supprimer un groupe de paramètres de cluster de base de données spécifié | Écriture | |||
| DeleteDBClusterSnapshot | Accorde l'autorisation de supprimer un instantané de cluster de base de données | Écriture | |||
| DeleteDBInstance | Accorde l'autorisation de supprimer une instance de base de données précédemment allouée | Écrire |
rds:AddTagsToResource rds:CreateDBSnapshot rds:DeleteTenantDatabase |
||
| DeleteDBInstanceAutomatedBackup | Accorde l'autorisation de supprimer les sauvegardes automatisées en fonction de la DbiResourceId valeur de l'instance source ou de l'ID de ressource de l'instance restaurable | Écrire | |||
| DeleteDBParameterGroup | Accorde l'autorisation de supprimer un élément spécifié DBParameterGroup | Écrire | |||
| DeleteDBProxy | Accorde l'autorisation de supprimer un proxy de base de données. | Écriture | |||
| DeleteDBProxyEndpoint | Accorde l'autorisation de supprimer un point de terminaison proxy de base de données | Écriture | |||
| DeleteDBSecurityGroup | Accorde l'autorisation de supprimer un groupe de sécurité de base de données. | Écrire | |||
| DeleteDBShardGroup | Autorise la suppression d'un groupe de partitions de base de données Aurora Limitless | Écrire | |||
| DeleteDBSnapshot | Accorde l'autorisation de supprimer un DBSnapshot | Écrire | |||
| DeleteDBSubnetGroup | Accorde l'autorisation de supprimer un groupe de sous-réseaux de base de données | Écrire | |||
| DeleteEventSubscription | Autorise la suppression d'un abonnement aux notifications d'RDSévénements | Écrire | |||
| DeleteGlobalCluster | Accorde l'autorisation de supprimer un cluster de bases de données global | Écrire | |||
| DeleteIntegration | Autorise la suppression d'une ETL intégration Aurora zero avec Redshift | Écrire | |||
| DeleteOptionGroup | Accorde l'autorisation de supprimer un groupe d'options existant | Écrire | |||
| DeleteTenantDatabase | Accorde l'autorisation de supprimer une base de données locataire | Écrire |
rds:AddTagsToResource rds:CreateDBSnapshot |
||
| DeregisterDBProxyTargets | Accorde l'autorisation de supprimer des cibles d'un groupe cible de proxy de base de données | Écriture | |||
| DescribeAccountAttributes | Accorde l'autorisation de répertorier tous les attributs d'un compte client | Liste | |||
| DescribeBlueGreenDeployments | Accorde l'autorisation de décrire un déploiement bleu/vert | Liste | |||
| DescribeCertificates | Accorde l'autorisation de répertorier l'ensemble de certificats CA fournis par Amazon RDS à cet effet Compte AWS | Liste | |||
| DescribeDBClusterAutomatedBackups | Octroie l'autorisation de renvoyer une liste de sauvegardes automatisées de cluster pour les clusters en cours et supprimés. | Liste | |||
| DescribeDBClusterBacktracks | Accorde l'autorisation de renvoyer des informations sur les retours sur trace pour un cluster de base de données | Liste | |||
| DescribeDBClusterEndpoints | Accorde l'autorisation de renvoyer des informations sur les points de terminaison pour un cluster de base de données Amazon Aurora | Liste | |||
| DescribeDBClusterParameterGroups | Autorise le renvoi d'une liste de DBClusterParameterGroup descriptions | Liste | |||
| DescribeDBClusterParameters | Accorde l'autorisation de renvoyer la liste détaillée des paramètres pour un groupe de paramètres de cluster de base de données particulier | Liste | |||
| DescribeDBClusterSnapshotAttributes | Accorde l'autorisation de renvoyer une liste de noms et de valeurs d'attributs pour un instantané de cluster de bases de données manuel | Liste | |||
| DescribeDBClusterSnapshots | Accorde l'autorisation de renvoyer des informations sur les instantanés de cluster de base de données | Liste | |||
| DescribeDBClusters | Accorde l'autorisation de renvoyer des informations sur les clusters de base de données Aurora ou DocumentDB provisionnés | Liste | |||
| DescribeDBEngineVersions | Accorde l'autorisation de renvoyer une liste des moteurs de base de données disponibles | Liste | |||
| DescribeDBInstanceAutomatedBackups | Accorde l'autorisation de renvoyer une liste de sauvegardes automatisées pour les instances en cours et supprimées | Liste | |||
| DescribeDBInstances | Accorde l'autorisation de renvoyer des informations sur les instances provisionnées RDS | Liste | |||
| DescribeDBLogFiles | Accorde l'autorisation de renvoyer une liste de fichiers journaux de base de données pour l'instance de base de données | Liste | |||
| DescribeDBParameterGroups | Autorise le renvoi d'une liste de DBParameterGroup descriptions | Liste | |||
| DescribeDBParameters | Accorde l'autorisation de renvoyer la liste détaillée des paramètres pour un groupe de paramètres de base de données particulier | Liste | |||
| DescribeDBProxies | Accorde l'autorisation d'afficher les proxys | Liste | |||
| DescribeDBProxyEndpoints | Accorde l'autorisation d'afficher les points de terminaison proxy | Liste | |||
| DescribeDBProxyTargetGroups | Accorde l'autorisation d'afficher les détails du groupe cible de proxy de base de données | Liste | |||
| DescribeDBProxyTargets | Accorde l'autorisation d'afficher les détails de la cible du proxy de base de données | Liste | |||
| DescribeDBRecommendations | Accorde l'autorisation de répertorier les détails de recommandation | Liste | |||
| DescribeDBSecurityGroups | Autorise le renvoi d'une liste de DBSecurityGroup descriptions | Liste | |||
| DescribeDBShardGroups | Accorde l'autorisation de renvoyer des informations sur tous les groupes de partitions de base de données Aurora Limitless pour ce compte. Vous pouvez filtrer par groupe (s) de partitions | Liste | |||
| DescribeDBSnapshotAttributes | Accorde l'autorisation de renvoyer une liste de noms et de valeurs d'attribut pour un instantané de base de données manuel | Liste | |||
| DescribeDBSnapshotTenantDatabases | Accorde l'autorisation de renvoyer des informations sur les bases de données locataire dans des instantanés de base de données. Vous pouvez filtrer par région ou par instantané | Liste | |||
| DescribeDBSnapshots | Accorde l'autorisation de renvoyer des informations sur des instantanés de base de données | Liste | |||
| DescribeDBSubnetGroups | Autorise le renvoi d'une liste de DBSubnetGroup descriptions | Liste | |||
| DescribeEngineDefaultClusterParameters | Accorde l'autorisation de renvoyer les informations sur les paramètres de moteur et de système par défaut du moteur de base de données du cluster | Liste | |||
| DescribeEngineDefaultParameters | Accorde l'autorisation de renvoyer les informations sur les paramètres de moteur et système par défaut du moteur de base de données spécifié | Liste | |||
| DescribeEventCategories | Accorde l'autorisation d'afficher une liste des catégories de tous les types de sources d'événement ou, si la valeur est spécifiée, d'un type de source donné | Liste | |||
| DescribeEventSubscriptions | Accorde l'autorisation de répertorier toutes les descriptions d'abonnement d'un compte client | Liste | |||
| DescribeEvents | Accorde l'autorisation de renvoyer les événements associés aux instances de base de données, aux groupes de sécurité de base de données, aux instantanés de base de données et aux groupes de paramètres de base de données des 14 derniers jours | Liste | |||
| DescribeExportTasks | Accorde l'autorisation de renvoyer des informations sur les tâches d'exportation | Liste | |||
| DescribeGlobalClusters | Accorde l'autorisation de renvoyer des informations sur les clusters de bases de données globaux Aurora ou les clusters de bases de données globaux DocumentDB | Liste | |||
| DescribeIntegrations | Autorise à décrire une ETL intégration zéro d'Aurora avec Redshift | Liste | |||
| DescribeOptionGroupOptions | Accorde l'autorisation de décrire toutes les options disponibles | Liste | |||
| DescribeOptionGroups | Accorde l'autorisation de décrire les groupes d'options disponibles | Liste | |||
| DescribeOrderableDBInstanceOptions | Accorde l'autorisation de renvoyer une liste d'options d'instance de base de données organisables pour le moteur spécifié | Liste | |||
| DescribePendingMaintenanceActions | Accorde l'autorisation de renvoyer une liste des ressources (par exemple, des instances de base de données) ayant au moins une action de maintenance en attente | Liste | |||
| DescribeRecommendationGroups [autorisation uniquement] | Accorde l'autorisation de renvoyer des informations sur des groupes de recommandations | Lecture | |||
| DescribeRecommendations [autorisation uniquement] | Accorde l'autorisation de renvoyer des informations sur des recommandations | Lecture | |||
| DescribeReservedDBInstances | Accorde l'autorisation de renvoyer des informations sur les instances de base de données réservées pour ce compte ou sur une instance de base de données réservée spécifiée | Liste | |||
| DescribeReservedDBInstancesOfferings | Accorde l'autorisation de répertorier les offres d'instances de base de données réservées disponibles | Liste | |||
| DescribeSourceRegions | Accorde l'autorisation de renvoyer une liste de la source à partir de Régions AWS laquelle le courant Région AWS peut créer une réplique en lecture ou copier un instantané de base de données | Liste | |||
| DescribeTenantDatabases | Accorde l'autorisation de renvoyer des informations sur les bases de données locataire provisionnées. Vous pouvez filtrer par région ou par instantané | Liste | |||
| DescribeValidDBInstanceModifications | Accorde l'autorisation de répertorier les modifications disponibles que vous pouvez apporter à votre instance de base de données | Liste | |||
| DisableHttpEndpoint | Accorde l'autorisation de désactiver le point de terminaison HTTP pour un cluster de base de données | Écrire | |||
| DownloadCompleteDBLogFile | Accorde l'autorisation de télécharger le fichier journal spécifié | Lecture | |||
| DownloadDBLogFilePortion | Accorde l'autorisation de télécharger tout ou partie du fichier journal spécifié, jusqu'à 1 Mo | Lecture | |||
| EnableHttpEndpoint | Accorde l'autorisation d'activer le point de terminaison HTTP pour un cluster de base de données | Écrire | |||
| FailoverDBCluster | Accorde l'autorisation de forcer un basculement pour un cluster de base de données | Écriture | |||
| FailoverGlobalCluster | Accorde l'autorisation de basculer un cluster global | Écrire | |||
| ListTagsForResource | Accorde l'autorisation de répertorier tous les tags d'une RDS ressource Amazon | Lecture | |||
| ModifyActivityStream | Accorde l'autorisation de modifier un flux d'activité de base de données | Écrire | |||
| ModifyCertificates | Accorde l'autorisation de modifier le certificat Layer/Transport Layer Security (SSL/TLS (Secure Sockets) par défaut du système RDS pour Amazon pour les nouvelles instances de base de données | Écrire | |||
| ModifyCurrentDBClusterCapacity | Accorde l'autorisation de modifier la capacité de cluster actuelle pour un cluster de base de données Amazon Aurora Serverless | Écrire | |||
| ModifyCustomDBEngineVersion | Accorde l'autorisation de modifier une version de moteur personnalisée existante | Écrire | |||
| ModifyDBCluster | Accorde l'autorisation de modifier un paramètre pour un cluster de base de données Amazon Aurora ou un cluster Amazon DocumentDB | Écrire |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:ModifyDBInstance secretsmanager:CreateSecret secretsmanager:RotateSecret secretsmanager:TagResource |
||
| ModifyDBClusterEndpoint | Accorde l'autorisation de modifier les propriétés d'un point de terminaison dans un cluster de base de données Amazon Aurora ou un cluster Amazon DocumentDB | Écrire | |||
| ModifyDBClusterParameterGroup | Accorde l'autorisation de modifier les paramètres d'un groupe de paramètres de cluster de base de données | Écriture | |||
| ModifyDBClusterSnapshotAttribute | Accorde l'autorisation d'ajouter un attribut et des valeurs à un instantané de cluster de bases de données manuel, ou à en supprimer | Écriture | |||
| ModifyDBInstance | Accorde l'autorisation de modifier les paramètres d'une instance de base de données | Écriture |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateTenantDatabase secretsmanager:CreateSecret secretsmanager:RotateSecret secretsmanager:TagResource |
||
| ModifyDBParameterGroup | Accorde l'autorisation de modifier les paramètres d'un groupe de paramètres de base de données | Écriture | |||
| ModifyDBProxy | Accorde l'autorisation de modifier le proxy de base de données | Écriture |
iam:PassRole |
||
| ModifyDBProxyEndpoint | Accorde l'autorisation de modifier le point de terminaison proxy de base de données | Écriture | |||
| ModifyDBProxyTargetGroup | Accorde l'autorisation de modifier le groupe cible d'un proxy de base de données | Écrire | |||
| ModifyDBRecommendation | Accorde l'autorisation de modifier la recommandation | Écrire | |||
| ModifyDBShardGroup | Accorde l'autorisation de modifier les propriétés d'un groupe de partitions de base de données Aurora Limitless | Écrire | |||
| ModifyDBSnapshot | Accorde l'autorisation de mettre à jour un instantané de base de données manuel, qui peut être chiffré ou non, avec une nouvelle version du moteur de base de données | Écriture | |||
| ModifyDBSnapshotAttribute | Accorde l'autorisation d'ajouter ou de supprimer un attribut et des valeurs dans un instantané de base de données manuel | Écriture | |||
| ModifyDBSubnetGroup | Accorde l'autorisation de modifier un groupe de sous-réseaux de base de données existant | Écrire | |||
| ModifyEventSubscription | Accorde l'autorisation de modifier un abonnement existant aux notifications d'RDSévénements | Écrire | |||
| ModifyGlobalCluster | Accorde l'autorisation de modifier un paramètre pour un cluster global Amazon Aurora ou un cluster global Amazon DocumentDB | Écrire | |||
| ModifyIntegration | Accorde l'autorisation de modifier une ETL intégration Aurora zero avec Redshift | Écrire | |||
| ModifyOptionGroup | Accorde l'autorisation de modifier un groupe d'options existant | Écrire |
iam:PassRole |
||
| ModifyRecommendation [autorisation uniquement] | Accorde l'autorisation de modifier la recommandation | Écrire | |||
| ModifyTenantDatabase | Accorde l'autorisation de modifier une base de données locataire | Écrire | |||
| PromoteReadReplica | Accorde l'autorisation de promouvoir une instance de base de données de réplica en lecture au statut d'instance de base de données autonome | Écriture | |||
| PromoteReadReplicaDBCluster | Accorde l'autorisation de promouvoir un cluster de base de données de réplica en lecture vers un cluster de base de données autonome | Écriture | |||
| PurchaseReservedDBInstancesOffering | Accorde l'autorisation d'acheter une offre d'instance de base de données réservée | Écrire | |||
| RebootDBCluster | Accorde l'autorisation de redémarrer un cluster de base de données précédemment alloué | Écrire |
rds:RebootDBInstance |
||
| RebootDBInstance | Accorde l'autorisation de redémarrer le service du moteur de base de données | Écrire | |||
| RebootDBShardGroup | Autorise le redémarrage d'un groupe de partitions de base de données Aurora Limitless | Écrire | |||
| RegisterDBProxyTargets | Accorde l'autorisation d'ajouter des cibles à un groupe cible de proxy de base de données | Écrire | |||
| RemoveFromGlobalCluster | Autorise le détachement d'un cluster secondaire Aurora d'un cluster de base de données global Aurora ou d'un cluster global DocumentDB | Écrire | |||
| RemoveRoleFromDBCluster | Accorde l'autorisation de dissocier un rôle AWS Identity and Access Management (IAM) d'un cluster de bases de données Amazon Aurora | Écrire |
iam:PassRole |
||
| RemoveRoleFromDBInstance | Accorde l'autorisation de dissocier un rôle AWS Identity and Access Management (IAM) d'une instance de base de données | Écrire |
iam:PassRole |
||
| RemoveSourceIdentifierFromSubscription | Accorde l'autorisation de supprimer un identifiant de source d'un abonnement de notification d'RDSévénement existant | Écrire | |||
| RemoveTagsFromResource | Accorde l'autorisation de supprimer les balises de métadonnées d'une RDS ressource Amazon | Identification | |||
| ResetDBClusterParameterGroup | Accorde l'autorisation de modifier les paramètres d'un groupe de paramètres de cluster de base de données par la valeur par défaut | Écriture | |||
| ResetDBParameterGroup | Accorde l'autorisation de modifier les paramètres d'un groupe de paramètres de base de données par la valeur par défaut du moteur/système | Écriture | |||
| RestoreDBClusterFromS3 | Accorde l'autorisation de créer un cluster de base de données Amazon Aurora à partir de données stockées dans un compartiment Amazon S3 | Écriture |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource secretsmanager:CreateSecret secretsmanager:TagResource |
||
| RestoreDBClusterFromSnapshot | Accorde l'autorisation de créer un cluster de base de données à partir d'un instantané de cluster de base de données | Écriture |
iam:PassRole rds:AddTagsToResource rds:CreateDBInstance |
||
| RestoreDBClusterToPointInTime | Accorde l'autorisation de restaurer un cluster de base de données sur un point arbitraire dans le temps | Écriture |
iam:PassRole rds:AddTagsToResource rds:CreateDBInstance |
||
| RestoreDBInstanceFromDBSnapshot | Accorde l'autorisation de créer une instance de base de données à partir d'un instantané de base de données | Écriture |
iam:PassRole rds:AddTagsToResource rds:CreateTenantDatabase |
||
| RestoreDBInstanceFromS3 | Accorde l'autorisation de créer une instance de base de données à partir d'un compartiment Amazon S3 | Écriture |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource secretsmanager:CreateSecret secretsmanager:TagResource |
||
| RestoreDBInstanceToPointInTime | Accorde l'autorisation de restaurer une instance de base de données sur un point arbitraire dans le temps | Écrire |
iam:PassRole rds:AddTagsToResource rds:CreateTenantDatabase |
||
| RevokeDBSecurityGroupIngress | Accorde l'autorisation de révoquer l'accès à partir de plages DBSecurityGroup d'adresses IP EC2 ou VPC de groupes de sécurité précédemment autorisés | Écrire | |||
| StartActivityStream | Accorde l'autorisation de démarrer le flux d'activités | Écrire | |||
| StartDBCluster | Accorde l'autorisation de démarrer le cluster de base de données | Écrire | |||
| StartDBInstance | Accorde l'autorisation de démarrer l'instance de base de données | Écrire | |||
| StartDBInstanceAutomatedBackupsReplication | Autorise le lancement de la réplication des sauvegardes automatisées vers un autre Région AWS | Écrire | |||
| StartExportTask | Accorde l'autorisation de démarrer une nouvelle tâche d'exportation pour un instantané de base de données | Écriture |
iam:PassRole |
||
| StopActivityStream | Accorde l'autorisation d'arrêter le flux d'activité | Écriture | |||
| StopDBCluster | Accorde l'autorisation d'arrêter le cluster de base de données | Écriture | |||
| StopDBInstance | Accorde l'autorisation d'arrêter l'instance de base de données | Écriture |
rds:AddTagsToResource rds:CreateDBSnapshot |
||
| StopDBInstanceAutomatedBackupsReplication | Accorde l'autorisation d'arrêter la réplication des sauvegardes automatisées pour une instance de base de données | Écrire | |||
| SwitchoverBlueGreenDeployment | Accorde l'autorisation de faire passer un déploiement bleu/vert de l'instance ou du cluster source à la cible | Écrire |
rds:ModifyDBCluster rds:ModifyDBInstance rds:PromoteReadReplica rds:PromoteReadReplicaDBCluster |
||
| SwitchoverGlobalCluster | Accorde l'autorisation de basculer un cluster global | Écrire | |||
| SwitchoverReadReplica | Accorde l'autorisation de basculer vers un réplica en lecture pour en faire la nouvelle base de données principale | Écrire |
Types de ressources définis par Amazon RDS
Les types de ressources suivants sont définis par ce service et peuvent être utilisés dans l'Resourceélément des déclarations de politique d'IAMautorisation. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
| Types de ressources | ARN | Clés de condition |
|---|---|---|
| cluster |
arn:${Partition}:rds:${Region}:${Account}:cluster:${DbClusterInstanceName}
|
|
| shardgrp |
arn:${Partition}:rds:${Region}:${Account}:shard-group:${DbShardGroupResourceId}
|
|
| cluster-auto-backup |
arn:${Partition}:rds:${Region}:${Account}:cluster-auto-backup:${DbClusterAutomatedBackupId}
|
|
| auto-backup |
arn:${Partition}:rds:${Region}:${Account}:auto-backup:${DbInstanceAutomatedBackupId}
|
|
| cluster-endpoint |
arn:${Partition}:rds:${Region}:${Account}:cluster-endpoint:${DbClusterEndpoint}
|
|
| cluster-pg |
arn:${Partition}:rds:${Region}:${Account}:cluster-pg:${ClusterParameterGroupName}
|
|
| cluster-snapshot |
arn:${Partition}:rds:${Region}:${Account}:cluster-snapshot:${ClusterSnapshotName}
|
|
| db |
arn:${Partition}:rds:${Region}:${Account}:db:${DbInstanceName}
|
|
| es |
arn:${Partition}:rds:${Region}:${Account}:es:${SubscriptionName}
|
|
| global-cluster |
arn:${Partition}:rds::${Account}:global-cluster:${GlobalCluster}
|
|
| og |
arn:${Partition}:rds:${Region}:${Account}:og:${OptionGroupName}
|
|
| pg |
arn:${Partition}:rds:${Region}:${Account}:pg:${ParameterGroupName}
|
|
| proxy |
arn:${Partition}:rds:${Region}:${Account}:db-proxy:${DbProxyId}
|
|
| proxy-endpoint |
arn:${Partition}:rds:${Region}:${Account}:db-proxy-endpoint:${DbProxyEndpointId}
|
|
| ri |
arn:${Partition}:rds:${Region}:${Account}:ri:${ReservedDbInstanceName}
|
|
| secgrp |
arn:${Partition}:rds:${Region}:${Account}:secgrp:${SecurityGroupName}
|
|
| snapshot |
arn:${Partition}:rds:${Region}:${Account}:snapshot:${SnapshotName}
|
|
| subgrp |
arn:${Partition}:rds:${Region}:${Account}:subgrp:${SubnetGroupName}
|
|
| target-group |
arn:${Partition}:rds:${Region}:${Account}:target-group:${TargetGroupId}
|
|
| cev |
arn:${Partition}:rds:${Region}:${Account}:cev:${Engine}/${EngineVersion}/${CustomDbEngineVersionId}
|
|
| deployment |
arn:${Partition}:rds:${Region}:${Account}:deployment:${BlueGreenDeploymentIdentifier}
|
|
| integration |
arn:${Partition}:rds:${Region}:${Account}:integration:${IntegrationIdentifier}
|
|
| snapshot-tenant-database |
arn:${Partition}:rds:${Region}:${Account}:snapshot-tenant-database:${SnapshotName}:${TenantResourceId}
|
|
| tenant-database |
arn:${Partition}:rds:${Region}:${Account}:tenant-database:${TenantResourceId}
|
Clés de condition pour Amazon RDS
Amazon RDS définit les clés de condition suivantes qui peuvent être utilisées dans l'Conditionélément d'une IAM politique. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.
| Clés de condition | Description | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtre l'accès en fonction de l'ensemble de paires clé-valeur de la balise dans la demande | Chaîne |
| aws:ResourceTag/${TagKey} | Filtre l'accès en fonction de l'ensemble de paires clé-valeur de balise attachées à la ressource | Chaîne |
| aws:TagKeys | Filtre l'accès en fonction de l'ensemble des clés de balise dans la demande | ArrayOfString |
| rds:BackupTarget | Filtre l'accès en fonction du type de cible de sauvegarde L'un des suivants : région, avant-postes | Chaîne |
| rds:CopyOptionGroup | Filtre l'accès en fonction de la valeur qui indique si l'opyDBSnapshot action C nécessite de copier le groupe d'options de base de données | Booléen |
| rds:DatabaseClass | Filtre l'accès en fonction du type de classe d'instance de base de données | Chaîne |
| rds:DatabaseEngine | Filtre l'accès en fonction du moteur de base de données. Pour les valeurs possibles, reportez-vous au paramètre du moteur en C. reateDBInstance API | Chaîne |
| rds:DatabaseName | Filtre l'accès en fonction du nom défini par l'utilisateur de la base de données sur l'instance de base de données | Chaîne |
| rds:EndpointType | Filtre l'accès en fonction du type du point de terminaison. L'un des :READER,WRITER, CUSTOM | Chaîne |
| rds:ManageMasterUserPassword | Filtre l'accès en fonction de la valeur qui indique s'il RDS gère le mot de passe de l'utilisateur principal dans AWS Secrets Manager pour l'instance de base de données ou le cluster | Booléen |
| rds:MultiAz | Filtre l'accès en fonction de la valeur qui spécifie si l'instance de base de données s'exécute dans plusieurs zones de disponibilité. Pour indiquer que l'instance de base de données utilise Multi-AZ, spécifiez « true » (vrai) | Booléen |
| rds:Piops | Filtre l'accès en fonction de la valeur qui contient le nombre de Provisioned IOPS (PIOPS) pris en charge par l'instance. Pour indiquer une instance de base de données qui n'PIOPSest pas activée, spécifiez 0 | Numérique |
| rds:StorageEncrypted | Filtre l'accès en fonction de la valeur qui spécifie si le stockage d'instance de base de données doit être chiffré. Pour appliquer le chiffrement du stockage, spécifiez « true » (vrai) | Booléen |
| rds:StorageSize | Filtre l'accès en fonction de la taille du volume de stockage (en Go) | Numérique |
| rds:TenantDatabaseName | Filtre l'accès en fonction du nom de la base de données du locataire dans CreateTenantDatabase et du nouveau nom de la base de données du locataire dans ModifyTenantDatabase | Chaîne |
| rds:Vpc | Filtre l'accès en fonction de la valeur qui indique si l'instance de base de données s'exécute dans un Amazon Virtual Private Cloud (AmazonVPC). Pour indiquer que l'instance de base de données s'exécute dans un AmazonVPC, spécifiez true | Booléen |
| rds:cluster-pg-tag/${TagKey} | Filtre l'accès en fonction de la balise attachée à un groupe de paramètres de cluster de base de données | Chaîne |
| rds:cluster-snapshot-tag/${TagKey} | Filtre l'accès en fonction de la balise attachée à un instantané de cluster de base de données | Chaîne |
| rds:cluster-tag/${TagKey} | Filtre l'accès en fonction de la balise attachée à un cluster de base de données | Chaîne |
| rds:db-tag/${TagKey} | Filtre l'accès en fonction de la balise attachée à une instance de base de données | Chaîne |
| rds:es-tag/${TagKey} | Filtre l'accès en fonction de la balise attachée à un abonnement à un événement | Chaîne |
| rds:og-tag/${TagKey} | Filtre l'accès en fonction de la balise attachée à un groupe d'options de base de données | Chaîne |
| rds:pg-tag/${TagKey} | Filtre l'accès en fonction de la balise attachée à un groupe de paramètres de base de données | Chaîne |
| rds:req-tag/${TagKey} | Filtre l'accès en fonction de l'ensemble de clés et de valeurs de balise pouvant être utilisées pour baliser une ressource | Chaîne |
| rds:ri-tag/${TagKey} | Filtre l'accès en fonction de la balise attachée à une instance de base de données réservée | Chaîne |
| rds:secgrp-tag/${TagKey} | Filtre l'accès en fonction de la balise attachée à un groupe de sécurité de base de données | Chaîne |
| rds:snapshot-tag/${TagKey} | Filtre l'accès en fonction de la balise attachée à un instantané de base de données | Chaîne |
| rds:subgrp-tag/${TagKey} | Filtre l'accès en fonction de la balise attachée à un groupe de sous-réseaux de base de données | Chaîne |
