Ações, recursos e chaves de condição do Amazon RDS
O Amazon RDS (prefixo do serviço: rds) fornece os seguintes recursos, ações e chaves de contexto de condição específicos ao serviço para uso em políticas de permissão do IAM.
Referências:
-
Saiba como configurar este serviço.
-
Visualize uma lista das operações de API disponíveis para este serviço.
-
Saiba como proteger esse serviço e seus recursos usando políticas de permissão do IAM.
Tópicos
Ações definidas pelo Amazon RDS
Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.
A coluna Tipos de recursos na tabela Ações indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") aos quais a política se aplica no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma instrução com essa ação. Se a ação tiver um ou mais recursos necessários, o chamador deverá ter permissão para usar a ação com esses recursos. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você limitar o acesso aos recursos com o elemento Resource em uma política do IAM, deverá incluir um ARN ou padrão para cada tipo de recurso necessário. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um dos tipos de recurso opcionais.
A coluna Chaves de condição na tabela Ações inclui chaves que você pode especificar em um elemento Condition da declaração de política. Para obter mais informações sobre as chaves de condição associadas aos recursos do serviço, consulte a coluna Chaves de condição da tabela Tipos de recursos.
nota
As chaves de condição do recurso estão listadas na tabela Tipos de recursos. Você pode encontrar um link para o tipo de recurso que se aplica a uma ação na coluna Tipos de recursos (*obrigatório) da tabela Ações. O tipo de recurso na tabela Tipos de recursos inclui a coluna Chaves de condição, que são as chaves de condição do recurso que se aplicam a uma ação na tabela Ações.
Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.
| Ações | Descrição | Nível de acesso | Tipos de recursos (*necessários) | Chaves de condição | Ações dependentes |
|---|---|---|---|---|---|
| AddRoleToDBCluster | Concede permissão para associar uma função do Identity and Access Management (IAM) de um cluster de banco de dados do Aurora | Write |
iam:PassRole |
||
| AddRoleToDBInstance | Concede permissão para associar uma função do AWS Identity and Access Management (IAM) a uma instância de banco de dados | Write |
iam:PassRole |
||
| AddSourceIdentifierToSubscription | Concede permissão para adicionar um identificador de origem a uma assinatura de notificação de evento do RDS existente | Write | |||
| AddTagsToResource | Concede permissão para adicionar etiquetas de metadados a um recurso do Amazon RDS | Marcação | |||
| ApplyPendingMaintenanceAction | Concede permissão para aplicar uma ação de manutenção pendente a um recurso | Write | |||
| AuthorizeDBSecurityGroupIngress | Concede permissão para habilitar a entrada em um DBSecurityGroup usando uma das duas formas de autorização | Permissions management | |||
| BacktrackDBCluster | Concede permissão para rastrear um cluster de banco de dados para um horário específico, sem criar um cluster de banco de dados | Write | |||
| CancelExportTask | Concede permissão para cancelar uma tarefa de exportação em andamento | Escrever | |||
| CopyCustomDBEngineVersion [somente permissão] | Concede permissão para copiar uma versão de mecanismo personalizado | Escrever | |||
| CopyDBClusterParameterGroup | Concede permissão para copiar o grupo de parâmetros do cluster de banco de dados especificado | Write |
rds:AddTagsToResource |
||
| CopyDBClusterSnapshot | Concede permissão para criar um snapshot de um cluster de banco de dados | Write |
rds:AddTagsToResource |
||
| CopyDBParameterGroup | Concede permissão para copiar o grupo de parâmetros de banco de dados especificado | Write |
rds:AddTagsToResource |
||
| CopyDBSnapshot | Concede permissão para copiar o snapshot de banco de dados especificado | Write |
rds:AddTagsToResource rds:CopyCustomDBEngineVersion |
||
| CopyOptionGroup | Concede permissão para copiar o grupo de opções especificado | Escrever |
rds:AddTagsToResource |
||
| CreateBlueGreenDeployment | Concede permissão para criar uma implantação azul/verde para um determinado cluster ou instância de origem | Escrever |
rds:AddTagsToResource rds:CreateDBCluster rds:CreateDBClusterEndpoint rds:CreateDBInstance rds:CreateDBInstanceReadReplica |
||
| CreateCustomDBEngineVersion | Concede permissão para criar uma versão de mecanismo personalizado | Escrever |
iam:CreateServiceLinkedRole mediaimport:CreateDatabaseBinarySnapshot rds:AddTagsToResource |
||
| CreateDBCluster | Concede permissão para criar um cluster de banco de dados | Escrever |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateDBInstance secretsmanager:CreateSecret secretsmanager:TagResource |
||
| CreateDBClusterEndpoint | Concede permissão para criar um endpoint personalizado e associá-lo a um cluster de banco de dados do Amazon Aurora ou cluster do Amazon DocumentDB | Escrever |
rds:AddTagsToResource |
||
| CreateDBClusterParameterGroup | Concede permissão para criar um grupo de parâmetros do cluster de banco de dados | Write |
rds:AddTagsToResource |
||
| CreateDBClusterSnapshot | Concede permissão para criar um snapshot de um cluster de banco de dados | Write |
rds:AddTagsToResource |
||
| CreateDBInstance | Concede permissão para criar uma instância de banco de dados | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateTenantDatabase secretsmanager:CreateSecret secretsmanager:TagResource |
||
| CreateDBInstanceReadReplica | Concede permissão para criar uma instância de banco de dados que atua como réplica de leitura de uma instância de banco de dados de origem | Write |
iam:PassRole rds:AddTagsToResource |
||
| CreateDBParameterGroup | Concede permissão para criar um grupo de parâmetros de banco de dados | Write |
rds:AddTagsToResource |
||
| CreateDBProxy | Concede permissão para criar um proxy de banco de dados | Write |
iam:PassRole |
||
| CreateDBProxyEndpoint | Concede permissão para criar um endpoint de proxy de banco de dados | Write | |||
| CreateDBSecurityGroup | Concede permissão para criar um grupo de segurança de banco de dados Os security groups controlam o acesso a uma instância de banco de dados | Escrever |
rds:AddTagsToResource |
||
| CreateDBShardGroup | Concede permissão para criar um grupo de fragmentos de banco de dados do Aurora Limitless Database | Escrever | |||
| CreateDBSnapshot | Concede permissão para criar um DBSnapshot | Write |
rds:AddTagsToResource |
||
| CreateDBSubnetGroup | Concede permissão para criar um grupo de sub-redes de banco de dados | Write |
rds:AddTagsToResource |
||
| CreateEventSubscription | Concede permissão para criar uma assinatura de notificação de evento do RDS | Escrever |
rds:AddTagsToResource |
||
| CreateGlobalCluster | Concede permissão para criar um banco de dados global do Aurora ou do DocumentDB distribuído por várias regiões | Escrever | |||
| CreateIntegration | Concede permissão para criar uma integração ETL zero do Aurora com o Redshift | Escrever |
kms:CreateGrant kms:DescribeKey rds:AddTagsToResource |
||
| CreateOptionGroup | Concede permissão para criar um grupo de opções | Escrever |
rds:AddTagsToResource |
||
| CreateTenantDatabase | Concede permissão para criar um novo banco de dados de locatários | Escrever |
rds:AddTagsToResource |
||
| CrossRegionCommunication [somente permissão] | Concede permissão para acessar um recurso na região remota ao executar operações entre regiões, como cópia de snapshot entre regiões ou criação de réplicas de leitura entre regiões | Escrever | |||
| DeleteBlueGreenDeployment | Concede permissão para excluir implantações azul/verde | Escrever |
rds:DeleteDBCluster rds:DeleteDBClusterEndpoint rds:DeleteDBInstance rds:PromoteReadReplica rds:PromoteReadReplicaDBCluster |
||
| DeleteCustomDBEngineVersion | Concede permissão para excluir uma versão de mecanismo personalizado existente | Escrever | |||
| DeleteDBCluster | Concede permissão para excluir um cluster de banco de dados provisionado anteriormente | Escrever |
rds:AddTagsToResource rds:CreateDBClusterSnapshot rds:DeleteDBInstance |
||
| DeleteDBClusterAutomatedBackup | Concede permissão para excluir backups automatizados do cluster com base no valor DbClusterResourceId do cluster de origem ou no ID do recurso do cluster restaurável | Escrever | |||
| DeleteDBClusterEndpoint | Concede permissão para excluir um endpoint personalizado e removê-lo de um cluster de banco de dados do Amazon Aurora ou um cluster do Amazon DocumentDB | Escrever | |||
| DeleteDBClusterParameterGroup | Concede permissão para excluir um grupo de parâmetros do cluster de banco de dados especificado | Write | |||
| DeleteDBClusterSnapshot | Concede permissão para excluir um snapshot do cluster de banco de dados | Write | |||
| DeleteDBInstance | Concede permissão para excluir uma instância de banco de dados provisionada anteriormente | Escrever |
rds:AddTagsToResource rds:CreateDBSnapshot rds:DeleteTenantDatabase |
||
| DeleteDBInstanceAutomatedBackup | Concede permissão para excluir os backups automatizados com base no valor de DbiResourceId da instância de origem ou no ID de recurso da instância restaurável | Escrever | |||
| DeleteDBParameterGroup | Concede permissão para excluir um DBParameterGroup especificado | Write | |||
| DeleteDBProxy | Concede permissão para excluir um proxy de banco de dados | Write | |||
| DeleteDBProxyEndpoint | Concede permissão para excluir um endpoint de proxy de banco de dados | Write | |||
| DeleteDBSecurityGroup | Concede permissão para excluir um grupo de segurança de banco de dados | Escrever | |||
| DeleteDBShardGroup | Concede permissão para excluir um grupo de fragmentos de banco de dados do Aurora Limitless Database | Escrever | |||
| DeleteDBSnapshot | Concede permissão para excluir um DBSnapshot | Write | |||
| DeleteDBSubnetGroup | Concede permissão para excluir um grupo de sub-redes de banco de dados | Write | |||
| DeleteEventSubscription | Concede permissão para excluir uma assinatura de notificação de evento do RDS | Write | |||
| DeleteGlobalCluster | Concede permissão para excluir um cluster de banco de dados global | Escrever | |||
| DeleteIntegration | Concede permissão para excluir uma integração ETL zero do Aurora com o Redshift | Escrever | |||
| DeleteOptionGroup | Concede permissão para excluir um grupo de opções existente | Escrever | |||
| DeleteTenantDatabase | Concede permissão para excluir um banco de dados de locatários | Escrever |
rds:AddTagsToResource rds:CreateDBSnapshot |
||
| DeregisterDBProxyTargets | Concede permissão para remover destinos de um grupo de destino de proxy de banco de dados | Write | |||
| DescribeAccountAttributes | Concede permissão para listar todos os atributos de uma conta de cliente | Listar | |||
| DescribeBlueGreenDeployments | Concede permissão para descrever implantações azul/verde | Listar | |||
| DescribeCertificates | Concede permissão para listar o conjunto de Certificados CA fornecidos pelo Amazon RDS para esta Conta da AWS | Listar | |||
| DescribeDBClusterAutomatedBackups | Concede permissão para retornar uma lista de backups automatizados de cluster para clusters atuais e excluídos | Listar | |||
| DescribeDBClusterBacktracks | Concede permissão para retornar informações sobre retrocessos de um cluster de banco de dados | List | |||
| DescribeDBClusterEndpoints | Concede permissão para retornar informações sobre endpoints de um cluster de banco de dados do Amazon Aurora | List | |||
| DescribeDBClusterParameterGroups | Concede permissão para retornar uma lista de descrições de DBClusterParameterGroup | List | |||
| DescribeDBClusterParameters | Concede permissão para retornar a lista de parâmetros detalhada de um grupo de parâmetros do cluster de banco de dados específico | List | |||
| DescribeDBClusterSnapshotAttributes | Concede permissão para retornar uma lista de nomes e valores de atributos de snapshot do cluster de banco de dados de um snapshot manual do cluster de banco de dados | List | |||
| DescribeDBClusterSnapshots | Concede permissão para retornar informações sobre snapshots de cluster de banco de dados | Listar | |||
| DescribeDBClusters | Concede permissão para retornar informações sobre clusters de banco de dados do Aurora ou clusters do DocumentDB provisionados | Listar | |||
| DescribeDBEngineVersions | Concede permissão para retornar uma lista dos mecanismos de banco de dados disponíveis | List | |||
| DescribeDBInstanceAutomatedBackups | Concede permissão para retornar uma lista de backups automatizados para instâncias atuais e excluídas | List | |||
| DescribeDBInstances | Concede permissão para retornar informações sobre instâncias do RDS provisionadas | List | |||
| DescribeDBLogFiles | Concede permissão para retornar uma lista de arquivos de log de banco de dados para a instância de banco de dados | List | |||
| DescribeDBParameterGroups | Concede permissão para retornar uma lista de descrições de DBParameterGroup | List | |||
| DescribeDBParameters | Concede permissão para retornar a lista de parâmetros detalhada de um grupo de parâmetros de banco de dados específico | List | |||
| DescribeDBProxies | Concede permissão para visualizar proxies | List | |||
| DescribeDBProxyEndpoints | Concede permissão para exibir endpoints de proxy | List | |||
| DescribeDBProxyTargetGroups | Concede permissão para visualizar detalhes do grupo de destino de proxy de banco de dados | List | |||
| DescribeDBProxyTargets | Concede permissão para visualizar detalhes do destino do proxy de banco de dados | Listar | |||
| DescribeDBRecommendations | Concede permissão para listar detalhes de recomendações | Listar | |||
| DescribeDBSecurityGroups | Concede permissão para retornar uma lista de descrições de DBSecurityGroup | Listar | |||
| DescribeDBShardGroups | Concede permissão para retornar informações sobre todos os grupos de fragmentos de banco de dados do Aurora Limitless Database para essa conta. Você pode filtrar por grupos de fragmentos | Listar | |||
| DescribeDBSnapshotAttributes | Concede permissão para retornar uma lista de nomes e valores de atributo de um snapshot de banco de dados manual | Listar | |||
| DescribeDBSnapshotTenantDatabases | Concede permissão para retornar informações sobre bancos de dados de locatários em snapshots de banco de dados. É possível filtrar por região ou snapshot | Listar | |||
| DescribeDBSnapshots | Concede permissão para retornar informações sobre snapshots de banco de dados | List | |||
| DescribeDBSubnetGroups | Concede permissão para retornar uma lista de descrições de DBSubnetGroup | List | |||
| DescribeEngineDefaultClusterParameters | Concede permissão para retornar as informações sobre o mecanismo padrão e os parâmetros do sistema do mecanismo de banco de dados do cluster | List | |||
| DescribeEngineDefaultParameters | Concede permissão para retornar as informações sobre o mecanismo padrão e parâmetros do sistema do mecanismo de banco de dados especificado | List | |||
| DescribeEventCategories | Concede permissão para exibir uma lista de categorias de todos os tipos de origem de eventos ou, se especificado, de determinado tipo de origem | List | |||
| DescribeEventSubscriptions | Concede permissão para listar todas as descrições de assinatura de uma conta de cliente | List | |||
| DescribeEvents | Concede permissão para retornar os eventos relacionados a instâncias de bancos de dados, grupos de segurança de banco de dados, snapshots de banco de dados e grupos de parâmetros de banco de dados dos últimos 14 dias | List | |||
| DescribeExportTasks | Concede permissão para retornar informações sobre as tarefas exportadas | Listar | |||
| DescribeGlobalClusters | Concede permissão para retornar informações sobre clusters de bancos de dados globais do Aurora ou do DocumentDB | Listar | |||
| DescribeIntegrations | Concede permissão para descrever uma integração ETL zero do Aurora com o Redshift | Listar | |||
| DescribeOptionGroupOptions | Concede permissão para descrever todas as opções disponíveis | List | |||
| DescribeOptionGroups | Concede permissão para descrever os grupos de opções disponíveis | List | |||
| DescribeOrderableDBInstanceOptions | Concede permissão para retornar uma lista de opções de instância de banco de dados que podem ser solicitadas para o mecanismo especificado | List | |||
| DescribePendingMaintenanceActions | Concede permissão para retornar uma lista de recursos (por exemplo, instâncias de banco de dados) que têm pelo menos uma ação de manutenção pendente | Listar | |||
| DescribeRecommendationGroups [somente permissão] | Concede permissão para retornar informações sobre grupos de recomendações | Leitura | |||
| DescribeRecommendations [somente permissão] | Concede permissão para retornar informações sobre recomendações | Leitura | |||
| DescribeReservedDBInstances | Concede permissão para retornar informações sobre instâncias de banco de dados reservadas para esta conta ou sobre uma instância de banco de dados reservada especificada | List | |||
| DescribeReservedDBInstancesOfferings | Concede permissão para listar ofertas disponíveis de instância de banco de dados | List | |||
| DescribeSourceRegions | Concede permissão para retornar uma lista das Regiões da AWS de origem onde a Região da AWS atual pode criar uma réplica de leitura ou de onde pode copiar um snapshot do banco de dados | Listar | |||
| DescribeTenantDatabases | Concede permissão para retornar informações sobre bancos de dados de locatários provisionados. É possível filtrar por região ou snapshot | Listar | |||
| DescribeValidDBInstanceModifications | Concede permissão para listar modificações disponíveis que podem ser feitas na instância de banco de dados | Listar | |||
| DisableHttpEndpoint | Concede permissão para desabilitar o endpoint http para um cluster de banco de dados | Escrever | |||
| DownloadCompleteDBLogFile | Concede permissão para baixar o arquivo de log especificado | Leitura | |||
| DownloadDBLogFilePortion | Concede permissão para fazer download de todo o arquivo de log especificado ou de parte dele, até 1 MB de tamanho | Leitura | |||
| EnableHttpEndpoint | Concede permissão para habilitar o endpoint http para um cluster de banco de dados | Escrever | |||
| FailoverDBCluster | Concede permissão para forçar um failover para um cluster de banco de dados | Write | |||
| FailoverGlobalCluster | Concede permissão para failover de um cluster global | Escrever | |||
| ListTagsForResource | Concede permissão para listar todas as etiquetas em um recurso do Amazon RDS | Leitura | |||
| ModifyActivityStream | Concede permissão para modificar um fluxo de atividades do banco de dados | Escrever | |||
| ModifyCertificates | Concede permissão para modificar o certificado SSL/TLS (Secure Sockets Layer/Transport Layer Security) padrão do sistema para o Amazon RDS para novas instâncias de banco de dados | Escrever | |||
| ModifyCurrentDBClusterCapacity | Concede permissão para modificar a capacidade atual do cluster de um cluster de banco de dados do Amazon Aurora Sem Servidor | Escrever | |||
| ModifyCustomDBEngineVersion | Concede permissão para modificar uma versão de mecanismo personalizado existente | Escrever | |||
| ModifyDBCluster | Concede permissão para modificar uma configuração de um cluster de banco de dados do Amazon Aurora ou do Amazon DocumentDB | Escrever |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:ModifyDBInstance secretsmanager:CreateSecret secretsmanager:RotateSecret secretsmanager:TagResource |
||
| ModifyDBClusterEndpoint | Concede permissão para modificar as propriedades de um endpoint em um cluster de banco de dados do Amazon Aurora ou cluster do Amazon DocumentDB | Escrever | |||
| ModifyDBClusterParameterGroup | Concede permissão para modificar os parâmetros de um grupo de parâmetros do cluster de banco de dados | Write | |||
| ModifyDBClusterSnapshotAttribute | Concede permissão para adicionar um atributo e valores a um snapshot do cluster de banco de dados manual ou para remover um atributo e valores dele | Write | |||
| ModifyDBInstance | Concede permissão para modificar configurações de uma instância de banco de dados | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateTenantDatabase secretsmanager:CreateSecret secretsmanager:RotateSecret secretsmanager:TagResource |
||
| ModifyDBParameterGroup | Concede permissão para modificar os parâmetros de um grupo de parâmetros de banco de dados | Write | |||
| ModifyDBProxy | Concede permissão para modificar o proxy de banco de dados | Write |
iam:PassRole |
||
| ModifyDBProxyEndpoint | Concede permissão para modificar o endpoint do proxy do banco de dados | Write | |||
| ModifyDBProxyTargetGroup | Concede permissão para modificar o grupo de destino de um proxy de banco de dados | Escrever | |||
| ModifyDBRecommendation | Concede permissão para modificar recomendação | Escrever | |||
| ModifyDBShardGroup | Concede permissão para modificar propriedades de um grupo de fragmentos de banco de dados do Aurora Limitless Database | Escrever | |||
| ModifyDBSnapshot | Concede permissão para atualizar um snapshot de banco de dados manual, que pode estar criptografado ou não criptografado, com uma nova versão do mecanismo | Write | |||
| ModifyDBSnapshotAttribute | Concede permissão para adicionar um atributo e valores a um snapshot de banco de dados manual ou para remover um atributo e valores dele | Write | |||
| ModifyDBSubnetGroup | Concede permissão para modificar um grupo de sub-redes de banco de dados existente | Write | |||
| ModifyEventSubscription | Concede permissão para modificar uma assinatura de notificação de evento existente do RDS | Escrever | |||
| ModifyGlobalCluster | Concede permissão para modificar uma configuração de um cluster global do Amazon Aurora ou do Amazon DocumentDB | Escrever | |||
| ModifyIntegration | Concede permissão para modificar uma integração ETL zero do Aurora com o Redshift | Escrever | |||
| ModifyOptionGroup | Concede permissão para modificar um grupo de opções existente | Escrever |
iam:PassRole |
||
| ModifyRecommendation [somente permissão] | Concede permissão para modificar recomendação | Escrever | |||
| ModifyTenantDatabase | Concede permissão para modificar um banco de dados de locatários | Escrever | |||
| PromoteReadReplica | Concede permissão para promover uma instância de banco de dados de réplica de leitura para uma instância de banco de dados autônoma | Write | |||
| PromoteReadReplicaDBCluster | Concede permissão para promover um cluster de banco de dados de réplica de leitura para um cluster de banco de dados autônomo | Write | |||
| PurchaseReservedDBInstancesOffering | Concede permissão para comprar uma oferta de instância de banco de dados reservada | Escrever | |||
| RebootDBCluster | Concede permissão para reiniciar um cluster de banco de dados provisionado anteriormente | Escrever |
rds:RebootDBInstance |
||
| RebootDBInstance | Concede permissão para reiniciar o serviço do mecanismo de banco de dados | Escrever | |||
| RebootDBShardGroup | Concede permissão para reinicializar um grupo de fragmentos de banco de dados do Aurora Limitless Database | Escrever | |||
| RegisterDBProxyTargets | Concede permissão para adicionar destinos a um grupo de destino de proxy de banco de dados | Escrever | |||
| RemoveFromGlobalCluster | Concede permissão para desanexar um cluster secundário do Aurora de um cluster de banco de dados global do Aurora ou cluster global do DocumentDB | Escrever | |||
| RemoveRoleFromDBCluster | Concede permissão para desassociar uma função do AWS Identity and Access Management (IAM) de um cluster de banco de dados do Amazon Aurora | Write |
iam:PassRole |
||
| RemoveRoleFromDBInstance | Concede permissão para desassociar uma função do AWS Identity and Access Management (IAM) de uma instância de banco de dados | Write |
iam:PassRole |
||
| RemoveSourceIdentifierFromSubscription | Concede permissão para remover um identificador de origem de uma assinatura de notificação de evento do RDS existente | Write | |||
| RemoveTagsFromResource | Concede permissão para remover etiquetas de metadados de um recurso do Amazon RDS | Marcação | |||
| ResetDBClusterParameterGroup | Concede permissão para modificar os parâmetros de um grupo de parâmetros do cluster de banco de dados para o valor padrão | Write | |||
| ResetDBParameterGroup | Concede permissão para modificar os parâmetros de um grupo de parâmetros de banco de dados para o valor padrão do mecanismo/sistema | Write | |||
| RestoreDBClusterFromS3 | Concede permissão para criar um cluster de banco de dados do Amazon Aurora a partir de dados armazenados em um bucket do Amazon S3 | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource secretsmanager:CreateSecret secretsmanager:TagResource |
||
| RestoreDBClusterFromSnapshot | Concede permissão para criar um cluster de banco de dados a partir de um snapshot do cluster de banco de dados | Write |
iam:PassRole rds:AddTagsToResource rds:CreateDBInstance |
||
| RestoreDBClusterToPointInTime | Concede permissão para restaurar um cluster de banco de dados para um momento arbitrário | Write |
iam:PassRole rds:AddTagsToResource rds:CreateDBInstance |
||
| RestoreDBInstanceFromDBSnapshot | Concede permissão para criar uma instância de banco de dados a partir de um snapshot de banco de dados | Write |
iam:PassRole rds:AddTagsToResource rds:CreateTenantDatabase |
||
| RestoreDBInstanceFromS3 | Concede permissão para criar uma instância de banco de dados a partir de um bucket do Amazon S3 | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource secretsmanager:CreateSecret secretsmanager:TagResource |
||
| RestoreDBInstanceToPointInTime | Concede permissão para restaurar uma instância de banco de dados para um momento arbitrário | Write |
iam:PassRole rds:AddTagsToResource rds:CreateTenantDatabase |
||
| RevokeDBSecurityGroupIngress | Concede permissão para revogar o ingresso de um DBSecurityGroup para intervalos de IP autorizados anteriormente ou para o EC2 ou os grupos de segurança da VPC | Write | |||
| StartActivityStream | Concede permissão para iniciar o streaming de atividades | Escrever | |||
| StartDBCluster | Concede permissão para iniciar o cluster de banco de dados | Escrever | |||
| StartDBInstance | Concede permissão para iniciar a instância de banco de dados | Write | |||
| StartDBInstanceAutomatedBackupsReplication | Concede permissão para iniciar a replicação de backups automatizados para outra Região da AWS | Write | |||
| StartExportTask | Concede permissão para iniciar uma nova tarefa de exportação para um snapshot de banco de dados | Write |
iam:PassRole |
||
| StopActivityStream | Concede permissão para interromper o streaming de atividades | Write | |||
| StopDBCluster | Concede permissão para interromper o cluster de banco de dados | Write | |||
| StopDBInstance | Concede permissão para interromper a instância de banco de dados | Write |
rds:AddTagsToResource rds:CreateDBSnapshot |
||
| StopDBInstanceAutomatedBackupsReplication | Concede permissão para interromper a replicação automatizada de backup para uma instância de banco de dados | Escrever | |||
| SwitchoverBlueGreenDeployment | Concede permissão para alternar uma implantação azul/verde de uma instância ou cluster de origem para destino | Escrever |
rds:ModifyDBCluster rds:ModifyDBInstance rds:PromoteReadReplica rds:PromoteReadReplicaDBCluster |
||
| SwitchoverGlobalCluster | Concede permissão para fazer transição de um cluster global | Escrever | |||
| SwitchoverReadReplica | Concede permissão para alternar entre uma réplica de leitura, que passa a ser o novo banco de dados principal | Escrever |
Tipos de recursos definidos pelo Amazon RDS
Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela Tipos de recursos. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.
| Tipos de recursos | ARN | Chaves de condição |
|---|---|---|
| cluster |
arn:${Partition}:rds:${Region}:${Account}:cluster:${DbClusterInstanceName}
|
|
| shardgrp |
arn:${Partition}:rds:${Region}:${Account}:shard-group:${DbShardGroupResourceId}
|
|
| cluster-auto-backup |
arn:${Partition}:rds:${Region}:${Account}:cluster-auto-backup:${DbClusterAutomatedBackupId}
|
|
| auto-backup |
arn:${Partition}:rds:${Region}:${Account}:auto-backup:${DbInstanceAutomatedBackupId}
|
|
| cluster-endpoint |
arn:${Partition}:rds:${Region}:${Account}:cluster-endpoint:${DbClusterEndpoint}
|
|
| cluster-pg |
arn:${Partition}:rds:${Region}:${Account}:cluster-pg:${ClusterParameterGroupName}
|
|
| cluster-snapshot |
arn:${Partition}:rds:${Region}:${Account}:cluster-snapshot:${ClusterSnapshotName}
|
|
| db |
arn:${Partition}:rds:${Region}:${Account}:db:${DbInstanceName}
|
|
| es |
arn:${Partition}:rds:${Region}:${Account}:es:${SubscriptionName}
|
|
| global-cluster |
arn:${Partition}:rds::${Account}:global-cluster:${GlobalCluster}
|
|
| og |
arn:${Partition}:rds:${Region}:${Account}:og:${OptionGroupName}
|
|
| pg |
arn:${Partition}:rds:${Region}:${Account}:pg:${ParameterGroupName}
|
|
| proxy |
arn:${Partition}:rds:${Region}:${Account}:db-proxy:${DbProxyId}
|
|
| proxy-endpoint |
arn:${Partition}:rds:${Region}:${Account}:db-proxy-endpoint:${DbProxyEndpointId}
|
|
| ri |
arn:${Partition}:rds:${Region}:${Account}:ri:${ReservedDbInstanceName}
|
|
| secgrp |
arn:${Partition}:rds:${Region}:${Account}:secgrp:${SecurityGroupName}
|
|
| snapshot |
arn:${Partition}:rds:${Region}:${Account}:snapshot:${SnapshotName}
|
|
| subgrp |
arn:${Partition}:rds:${Region}:${Account}:subgrp:${SubnetGroupName}
|
|
| target-group |
arn:${Partition}:rds:${Region}:${Account}:target-group:${TargetGroupId}
|
|
| cev |
arn:${Partition}:rds:${Region}:${Account}:cev:${Engine}/${EngineVersion}/${CustomDbEngineVersionId}
|
|
| deployment |
arn:${Partition}:rds:${Region}:${Account}:deployment:${BlueGreenDeploymentIdentifier}
|
|
| integration |
arn:${Partition}:rds:${Region}:${Account}:integration:${IntegrationIdentifier}
|
|
| snapshot-tenant-database |
arn:${Partition}:rds:${Region}:${Account}:snapshot-tenant-database:${SnapshotName}:${TenantResourceId}
|
|
| tenant-database |
arn:${Partition}:rds:${Region}:${Account}:tenant-database:${TenantResourceId}
|
Chaves de condição do Amazon RDS
O Amazon RDS define as seguintes chaves de condição que podem ser usadas no elemento Condition de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.
Para exibir as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.
| Chaves de condição | Descrição | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra o acesso pelo conjunto de pares de chave-valor da etiqueta na solicitação | String |
| aws:ResourceTag/${TagKey} | Filtra o acesso pelo conjunto de pares chave-valor da etiqueta anexados ao recurso | String |
| aws:TagKeys | Filtra o acesso pelo conjunto de chaves da etiqueta na solicitação | ArrayOfString |
| rds:BackupTarget | Filtra o acesso pelo tipo de destino de backup. Um de: região, outposts | String |
| rds:CopyOptionGroup | Filtra o acesso pelo valor que especifica se a ação CopyDBSnapshot exige a cópia do grupo de opções de banco de dados | Bool |
| rds:DatabaseClass | Filtra o acesso pelo tipo de classe da instância de banco de dados | String |
| rds:DatabaseEngine | Filtra o acesso pelo mecanismo do banco de dados Para valores possíveis, consulte o parâmetro do mecanismo na API CreateDBInstance | String |
| rds:DatabaseName | Filtra o acesso pelo nome definido pelo usuário do banco de dados na instância de banco de dados | String |
| rds:EndpointType | Filtra o acesso pelo tipo de endpoint Um dos seguintes: READER, WRITER, CUSTOM | String |
| rds:ManageMasterUserPassword | Filtra o acesso pelo valor que especifica se o RDS gerencia a senha de usuário principal no AWS Secrets Manager para o cluster ou instância de banco de dados | Bool |
| rds:MultiAz | Filtra o acesso pelo valor que especifica se a instância de banco de dados é executada em várias zonas de disponibilidade. Para indicar que a instância de banco de dados está usando Multi-AZ, especifique true (verdadeiro). | Bool |
| rds:Piops | Filtra pelo valor que contém o número de IOPS provisionadas (PIOPS) compatível com a instância. Para indicar uma instância de banco de dados sem PIOPS habilitadas, especifique 0 | Numeric |
| rds:StorageEncrypted | Filtra o acesso pelo valor que especifica se o armazenamento de instâncias de banco de dados deve ser criptografado. Para aplicar a criptografia do armazenamento, especifique true (verdadeiro). | Bool |
| rds:StorageSize | Filtra o acesso pelo tamanho do volume de armazenamento (em GB) | Numérico |
| rds:TenantDatabaseName | Filtra o acesso pelo nome do banco de dados do locatário em CreateTenantDatabase e pelo novo nome do banco de dados do locatário em ModifyTenantDatabase | String |
| rds:Vpc | Filtra o acesso pelo valor que especifica se a instância de banco de dados é executada em uma Amazon Virtual Private Cloud (Amazon VPC). Para indicar que a instância de banco de dados é executada em uma Amazon VPC, especifique true (verdadeiro). | Bool |
| rds:cluster-pg-tag/${TagKey} | Filtra o acesso pela etiqueta anexada a um grupo de parâmetros do cluster de banco de dados | String |
| rds:cluster-snapshot-tag/${TagKey} | Filtra o acesso pela etiqueta anexada a um snapshot do cluster de banco de dados | String |
| rds:cluster-tag/${TagKey} | Filtra o acesso pela etiqueta anexada a um cluster de banco de dados | String |
| rds:db-tag/${TagKey} | Filtra o acesso pela etiqueta anexada a uma instância de banco de dados | String |
| rds:es-tag/${TagKey} | Filtra o acesso pela etiqueta anexada a uma assinatura de evento | String |
| rds:og-tag/${TagKey} | Filtra o acesso pela etiqueta anexada a um grupo de opções de banco de dados | String |
| rds:pg-tag/${TagKey} | Filtra o acesso pela etiqueta anexada a um grupo de parâmetros de banco de dados | String |
| rds:req-tag/${TagKey} | Filtra o acesso pelo conjunto de chaves da etiqueta e valores que podem ser usados para marcar um recurso | String |
| rds:ri-tag/${TagKey} | Filtra o acesso pela etiqueta anexada a uma instância de banco de dados reservada | String |
| rds:secgrp-tag/${TagKey} | Filtra o acesso pela etiqueta anexada a um grupo de segurança de banco de dados | String |
| rds:snapshot-tag/${TagKey} | Filtra o acesso pela etiqueta anexada a um snapshot de banco de dados | String |
| rds:subgrp-tag/${TagKey} | Filtra o acesso pela etiqueta anexada a um grupo de sub-redes de banco de dados | String |
