As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Ações, recursos e chaves de condição para a Amazon RDS
A Amazon RDS (prefixo do serviço:rds) fornece os seguintes recursos, ações e chaves de contexto de condições específicos do serviço para uso em IAM políticas de permissão.
Referências:
-
Saiba como configurar este serviço.
-
Veja uma lista das APIoperações disponíveis para esse serviço.
-
Saiba como proteger esse serviço e seus recursos usando políticas de IAM permissão.
Tópicos
Ações definidas pela Amazon RDS
Você pode especificar as seguintes ações no Action elemento de uma declaração de IAM política. Use políticas para conceder permissões para realizar uma operação no AWS. Quando você usa uma ação em uma política, geralmente permite ou nega acesso à API operação ou ao CLI comando com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.
A coluna Tipos de recursos na tabela Ações indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") aos quais a política se aplica no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma declaração com essa ação. Se a ação tiver um ou mais recursos necessários, o chamador deverá ter permissão para usar a ação com esses recursos. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você limitar o acesso aos recursos com o Resource elemento em uma IAM política, deverá incluir um padrão ARN ou para cada tipo de recurso necessário. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um dos tipos de recurso opcionais.
A coluna Chaves de condição na tabela Ações inclui chaves que você pode especificar em um elemento Condition da declaração de política. Para obter mais informações sobre as chaves de condição associadas aos recursos do serviço, consulte a coluna Chaves de condição da tabela Tipos de recursos.
nota
As chaves de condição do recurso estão listadas na tabela Tipos de recursos. Você pode encontrar um link para o tipo de recurso que se aplica a uma ação na coluna Tipos de recursos (*obrigatório) da tabela Ações. O tipo de recurso na tabela Tipos de recursos inclui a coluna Chaves de condição, que são as chaves de condição do recurso que se aplicam a uma ação na tabela Ações.
Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.
| Ações | Descrição | Nível de acesso | Tipos de recursos (*necessários) | Chaves de condição | Ações dependentes |
|---|---|---|---|---|---|
| AddRoleToDBCluster | Concede permissão para associar uma função de Identity and Access Management (IAM) de um cluster de banco de dados Aurora | Escrever |
iam:PassRole |
||
| AddRoleToDBInstance | Concede permissão para associar um AWS Função Identity and Access Management (IAM) com uma instância de banco de dados | Escrever |
iam:PassRole |
||
| AddSourceIdentifierToSubscription | Concede permissão para adicionar um identificador de origem a uma assinatura existente de notificação de RDS eventos | Escrever | |||
| AddTagsToResource | Concede permissão para adicionar tags de metadados a um recurso da Amazon RDS | Tags | |||
| ApplyPendingMaintenanceAction | Concede permissão para aplicar uma ação de manutenção pendente a um recurso | Escrever | |||
| AuthorizeDBSecurityGroupIngress | Concede permissão para permitir a entrada em um DBSecurityGroup usando uma das duas formas de autorização | Gerenciamento de permissões | |||
| BacktrackDBCluster | Concede permissão para rastrear um cluster de banco de dados para um horário específico, sem criar um cluster de banco de dados | Write | |||
| CancelExportTask | Concede permissão para cancelar uma tarefa de exportação em andamento | Escrever | |||
| CopyCustomDBEngineVersion [somente permissão] | Concede permissão para copiar uma versão personalizada do mecanismo | Escrever | |||
| CopyDBClusterParameterGroup | Concede permissão para copiar o grupo de parâmetros do cluster de banco de dados especificado | Write |
rds:AddTagsToResource |
||
| CopyDBClusterSnapshot | Concede permissão para criar um snapshot de um cluster de banco de dados | Write |
rds:AddTagsToResource |
||
| CopyDBParameterGroup | Concede permissão para copiar o grupo de parâmetros de banco de dados especificado | Write |
rds:AddTagsToResource |
||
| CopyDBSnapshot | Concede permissão para copiar o snapshot de banco de dados especificado | Write |
rds:AddTagsToResource rds:CopyCustomDBEngineVersion |
||
| CopyOptionGroup | Concede permissão para copiar o grupo de opções especificado | Escrever |
rds:AddTagsToResource |
||
| CreateBlueGreenDeployment | Concede permissão para criar uma implantação azul/verde para um determinado cluster ou instância de origem | Escrever |
rds:AddTagsToResource rds:CreateDBCluster rds:CreateDBClusterEndpoint rds:CreateDBInstance rds:CreateDBInstanceReadReplica |
||
| CreateCustomDBEngineVersion | Concede permissão para criar uma versão de mecanismo personalizado | Escrever |
iam:CreateServiceLinkedRole mediaimport:CreateDatabaseBinarySnapshot rds:AddTagsToResource |
||
| CreateDBCluster | Concede permissão para criar um novo cluster de banco de dados | Escrever |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateDBInstance secretsmanager:CreateSecret secretsmanager:TagResource |
||
| CreateDBClusterEndpoint | Concede permissão para criar um novo endpoint personalizado e o associa a um cluster de banco de dados Amazon Aurora ou a um cluster Amazon DocumentDB | Escrever |
rds:AddTagsToResource |
||
| CreateDBClusterParameterGroup | Concede permissão para criar um grupo de parâmetros do cluster de banco de dados | Write |
rds:AddTagsToResource |
||
| CreateDBClusterSnapshot | Concede permissão para criar um snapshot de um cluster de banco de dados | Write |
rds:AddTagsToResource |
||
| CreateDBInstance | Concede permissão para criar uma instância de banco de dados | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateTenantDatabase secretsmanager:CreateSecret secretsmanager:TagResource |
||
| CreateDBInstanceReadReplica | Concede permissão para criar uma instância de banco de dados que atua como réplica de leitura de uma instância de banco de dados de origem | Write |
iam:PassRole rds:AddTagsToResource |
||
| CreateDBParameterGroup | Concede permissão para criar um grupo de parâmetros de banco de dados | Write |
rds:AddTagsToResource |
||
| CreateDBProxy | Concede permissão para criar um proxy de banco de dados | Write |
iam:PassRole |
||
| CreateDBProxyEndpoint | Concede permissão para criar um endpoint de proxy de banco de dados | Write | |||
| CreateDBSecurityGroup | Concede permissão para criar um grupo de segurança de banco de dados Os security groups controlam o acesso a uma instância de banco de dados | Escrever |
rds:AddTagsToResource |
||
| CreateDBShardGroup | Concede permissão para criar um novo grupo de fragmentos de banco de dados do Aurora Limitless Database | Escrever | |||
| CreateDBSnapshot | Concede permissão para criar um DBSnapshot | Escrever |
rds:AddTagsToResource |
||
| CreateDBSubnetGroup | Concede permissão para criar um grupo de sub-redes de banco de dados | Escrever |
rds:AddTagsToResource |
||
| CreateEventSubscription | Concede permissão para criar uma assinatura de notificação de RDS eventos | Escrever |
rds:AddTagsToResource |
||
| CreateGlobalCluster | Concede permissão para criar um banco de dados global Aurora ou um banco de dados global DocumentDB espalhado por várias regiões | Escrever | |||
| CreateIntegration | Concede permissão para criar uma ETL integração zero do Aurora com o Redshift | Escrever |
kms:CreateGrant kms:DescribeKey rds:AddTagsToResource |
||
| CreateOptionGroup | Concede permissão para criar um grupo de opções | Escrever |
rds:AddTagsToResource |
||
| CreateTenantDatabase | Concede permissão para criar um novo banco de dados de locatários | Escrever |
rds:AddTagsToResource |
||
| CrossRegionCommunication [somente permissão] | Concede permissão para acessar um recurso na região remota ao executar operações entre regiões, como cópia de snapshot entre regiões ou criação de réplicas de leitura entre regiões | Escrever | |||
| DeleteBlueGreenDeployment | Concede permissão para excluir implantações azul/verde | Escrever |
rds:DeleteDBCluster rds:DeleteDBClusterEndpoint rds:DeleteDBInstance rds:PromoteReadReplica rds:PromoteReadReplicaDBCluster |
||
| DeleteCustomDBEngineVersion | Concede permissão para excluir uma versão de mecanismo personalizado existente | Escrever | |||
| DeleteDBCluster | Concede permissão para excluir um cluster de banco de dados provisionado anteriormente | Escrever |
rds:AddTagsToResource rds:CreateDBClusterSnapshot rds:DeleteDBInstance |
||
| DeleteDBClusterAutomatedBackup | Concede permissão para excluir backups automatizados do cluster com base no DbClusterResourceId valor do cluster de origem ou no ID do recurso do cluster restaurável | Escrever | |||
| DeleteDBClusterEndpoint | Concede permissão para excluir um endpoint personalizado e o remove de um cluster de banco de dados Amazon Aurora ou cluster Amazon DocumentDB | Escrever | |||
| DeleteDBClusterParameterGroup | Concede permissão para excluir um grupo de parâmetros do cluster de banco de dados especificado | Write | |||
| DeleteDBClusterSnapshot | Concede permissão para excluir um snapshot do cluster de banco de dados | Write | |||
| DeleteDBInstance | Concede permissão para excluir uma instância de banco de dados provisionada anteriormente | Escrever |
rds:AddTagsToResource rds:CreateDBSnapshot rds:DeleteTenantDatabase |
||
| DeleteDBInstanceAutomatedBackup | Concede permissão para excluir backups automatizados com base no DbiResourceId valor da instância de origem ou no ID do recurso da instância restaurável | Escrever | |||
| DeleteDBParameterGroup | Concede permissão para excluir um determinado DBParameterGroup | Escrever | |||
| DeleteDBProxy | Concede permissão para excluir um proxy de banco de dados | Write | |||
| DeleteDBProxyEndpoint | Concede permissão para excluir um endpoint de proxy de banco de dados | Write | |||
| DeleteDBSecurityGroup | Concede permissão para excluir um grupo de segurança de banco de dados | Escrever | |||
| DeleteDBShardGroup | Concede permissão para excluir um grupo de fragmentos de banco de dados do Aurora Limitless Database | Escrever | |||
| DeleteDBSnapshot | Concede permissão para excluir um DBSnapshot | Escrever | |||
| DeleteDBSubnetGroup | Concede permissão para excluir um grupo de sub-redes de banco de dados | Escrever | |||
| DeleteEventSubscription | Concede permissão para excluir uma assinatura de notificação de RDS eventos | Escrever | |||
| DeleteGlobalCluster | Concede permissão para excluir um cluster de banco de dados global | Escrever | |||
| DeleteIntegration | Concede permissão para excluir uma ETL integração zero do Aurora com o Redshift | Escrever | |||
| DeleteOptionGroup | Concede permissão para excluir um grupo de opções existente | Escrever | |||
| DeleteTenantDatabase | Concede permissão para excluir um banco de dados de locatários | Escrever |
rds:AddTagsToResource rds:CreateDBSnapshot |
||
| DeregisterDBProxyTargets | Concede permissão para remover destinos de um grupo de destino de proxy de banco de dados | Write | |||
| DescribeAccountAttributes | Concede permissão para listar todos os atributos de uma conta de cliente | Listar | |||
| DescribeBlueGreenDeployments | Concede permissão para descrever implantações azul/verde | Listar | |||
| DescribeCertificates | Concede permissão para listar o conjunto de certificados CA fornecidos pela Amazon RDS para isso Conta da AWS | Listar | |||
| DescribeDBClusterAutomatedBackups | Concede permissão para retornar uma lista de backups automatizados de cluster para clusters atuais e excluídos | Listar | |||
| DescribeDBClusterBacktracks | Concede permissão para retornar informações sobre retrocessos de um cluster de banco de dados | List | |||
| DescribeDBClusterEndpoints | Concede permissão para retornar informações sobre endpoints de um cluster de banco de dados do Amazon Aurora | Listar | |||
| DescribeDBClusterParameterGroups | Concede permissão para retornar uma lista de DBClusterParameterGroup descrições | Listar | |||
| DescribeDBClusterParameters | Concede permissão para retornar a lista de parâmetros detalhada de um grupo de parâmetros do cluster de banco de dados específico | List | |||
| DescribeDBClusterSnapshotAttributes | Concede permissão para retornar uma lista de nomes e valores de atributos de snapshot do cluster de banco de dados de um snapshot manual do cluster de banco de dados | List | |||
| DescribeDBClusterSnapshots | Concede permissão para retornar informações sobre snapshots de cluster de banco de dados | Listar | |||
| DescribeDBClusters | Concede permissão para retornar informações sobre clusters de banco de dados Aurora provisionados ou clusters DocumentDB | Listar | |||
| DescribeDBEngineVersions | Concede permissão para retornar uma lista dos mecanismos de banco de dados disponíveis | List | |||
| DescribeDBInstanceAutomatedBackups | Concede permissão para retornar uma lista de backups automatizados para instâncias atuais e excluídas | Listar | |||
| DescribeDBInstances | Concede permissão para retornar informações sobre instâncias provisionadas RDS | Listar | |||
| DescribeDBLogFiles | Concede permissão para retornar uma lista de arquivos de log de banco de dados para a instância de banco de dados | Listar | |||
| DescribeDBParameterGroups | Concede permissão para retornar uma lista de DBParameterGroup descrições | Listar | |||
| DescribeDBParameters | Concede permissão para retornar a lista de parâmetros detalhada de um grupo de parâmetros de banco de dados específico | List | |||
| DescribeDBProxies | Concede permissão para visualizar proxies | List | |||
| DescribeDBProxyEndpoints | Concede permissão para exibir endpoints de proxy | List | |||
| DescribeDBProxyTargetGroups | Concede permissão para visualizar detalhes do grupo de destino de proxy de banco de dados | List | |||
| DescribeDBProxyTargets | Concede permissão para visualizar detalhes do destino do proxy de banco de dados | Listar | |||
| DescribeDBRecommendations | Concede permissão para listar detalhes de recomendações | Listar | |||
| DescribeDBSecurityGroups | Concede permissão para retornar uma lista de DBSecurityGroup descrições | Listar | |||
| DescribeDBShardGroups | Concede permissão para retornar informações sobre todos os grupos de fragmentos de banco de dados do Aurora Limitless Database para essa conta. Você pode filtrar por grupo (s) de fragmentos | Listar | |||
| DescribeDBSnapshotAttributes | Concede permissão para retornar uma lista de nomes e valores de atributo de um snapshot de banco de dados manual | Listar | |||
| DescribeDBSnapshotTenantDatabases | Concede permissão para retornar informações sobre bancos de dados de locatários em snapshots de banco de dados. É possível filtrar por região ou snapshot | Listar | |||
| DescribeDBSnapshots | Concede permissão para retornar informações sobre snapshots de banco de dados | Listar | |||
| DescribeDBSubnetGroups | Concede permissão para retornar uma lista de DBSubnetGroup descrições | Listar | |||
| DescribeEngineDefaultClusterParameters | Concede permissão para retornar as informações sobre o mecanismo padrão e os parâmetros do sistema do mecanismo de banco de dados do cluster | List | |||
| DescribeEngineDefaultParameters | Concede permissão para retornar as informações sobre o mecanismo padrão e parâmetros do sistema do mecanismo de banco de dados especificado | List | |||
| DescribeEventCategories | Concede permissão para exibir uma lista de categorias de todos os tipos de origem de eventos ou, se especificado, de determinado tipo de origem | List | |||
| DescribeEventSubscriptions | Concede permissão para listar todas as descrições de assinatura de uma conta de cliente | List | |||
| DescribeEvents | Concede permissão para retornar os eventos relacionados a instâncias de bancos de dados, grupos de segurança de banco de dados, snapshots de banco de dados e grupos de parâmetros de banco de dados dos últimos 14 dias | List | |||
| DescribeExportTasks | Concede permissão para retornar informações sobre as tarefas exportadas | Listar | |||
| DescribeGlobalClusters | Concede permissão para retornar informações sobre clusters de banco de dados globais Aurora ou clusters de banco de dados globais DocumentDB | Listar | |||
| DescribeIntegrations | Concede permissão para descrever uma ETL integração zero do Aurora com o Redshift | Listar | |||
| DescribeOptionGroupOptions | Concede permissão para descrever todas as opções disponíveis | List | |||
| DescribeOptionGroups | Concede permissão para descrever os grupos de opções disponíveis | List | |||
| DescribeOrderableDBInstanceOptions | Concede permissão para retornar uma lista de opções de instância de banco de dados que podem ser solicitadas para o mecanismo especificado | List | |||
| DescribePendingMaintenanceActions | Concede permissão para retornar uma lista de recursos (por exemplo, instâncias de banco de dados) que têm pelo menos uma ação de manutenção pendente | Listar | |||
| DescribeRecommendationGroups [somente permissão] | Concede permissão para retornar informações sobre grupos de recomendações | Leitura | |||
| DescribeRecommendations [somente permissão] | Concede permissão para retornar informações sobre recomendações | Leitura | |||
| DescribeReservedDBInstances | Concede permissão para retornar informações sobre instâncias de banco de dados reservadas para esta conta ou sobre uma instância de banco de dados reservada especificada | List | |||
| DescribeReservedDBInstancesOfferings | Concede permissão para listar ofertas disponíveis de instância de banco de dados | Listar | |||
| DescribeSourceRegions | Concede permissão para retornar uma lista da fonte Regiões da AWS onde a corrente Região da AWS pode criar uma réplica de leitura ou copiar um DB snapshot do | Listar | |||
| DescribeTenantDatabases | Concede permissão para retornar informações sobre bancos de dados de locatários provisionados. É possível filtrar por região ou snapshot | Listar | |||
| DescribeValidDBInstanceModifications | Concede permissão para listar modificações disponíveis que podem ser feitas na instância de banco de dados | Listar | |||
| DisableHttpEndpoint | Concede permissão para desabilitar o endpoint http para um cluster de banco de dados | Escrever | |||
| DownloadCompleteDBLogFile | Concede permissão para baixar o arquivo de log especificado | Leitura | |||
| DownloadDBLogFilePortion | Concede permissão para fazer download de todo o arquivo de log especificado ou de parte dele, até 1 MB de tamanho | Leitura | |||
| EnableHttpEndpoint | Concede permissão para habilitar o endpoint http para um cluster de banco de dados | Escrever | |||
| FailoverDBCluster | Concede permissão para forçar um failover para um cluster de banco de dados | Write | |||
| FailoverGlobalCluster | Concede permissão para failover de um cluster global | Escrever | |||
| ListTagsForResource | Concede permissão para listar todas as tags em um RDS recurso da Amazon | Leitura | |||
| ModifyActivityStream | Concede permissão para modificar um fluxo de atividades do banco de dados | Escrever | |||
| ModifyCertificates | Concede permissão para modificar o TLS certificado Secure Sockets Layer/Transport Layer Security SSL (/) padrão do sistema para a Amazon para novas instâncias de banco de dados RDS | Escrever | |||
| ModifyCurrentDBClusterCapacity | Concede permissão para modificar a capacidade atual do cluster de um cluster de banco de dados Amazon Aurora Serverless | Escrever | |||
| ModifyCustomDBEngineVersion | Concede permissão para modificar uma versão de mecanismo personalizado existente | Escrever | |||
| ModifyDBCluster | Concede permissão para modificar uma configuração para um cluster de banco de dados Amazon Aurora ou cluster Amazon DocumentDB | Escrever |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:ModifyDBInstance secretsmanager:CreateSecret secretsmanager:RotateSecret secretsmanager:TagResource |
||
| ModifyDBClusterEndpoint | Concede permissão para modificar as propriedades de um endpoint em um cluster de banco de dados Amazon Aurora ou cluster Amazon DocumentDB | Escrever | |||
| ModifyDBClusterParameterGroup | Concede permissão para modificar os parâmetros de um grupo de parâmetros do cluster de banco de dados | Write | |||
| ModifyDBClusterSnapshotAttribute | Concede permissão para adicionar um atributo e valores a um snapshot do cluster de banco de dados manual ou para remover um atributo e valores dele | Write | |||
| ModifyDBInstance | Concede permissão para modificar configurações de uma instância de banco de dados | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateTenantDatabase secretsmanager:CreateSecret secretsmanager:RotateSecret secretsmanager:TagResource |
||
| ModifyDBParameterGroup | Concede permissão para modificar os parâmetros de um grupo de parâmetros de banco de dados | Write | |||
| ModifyDBProxy | Concede permissão para modificar o proxy de banco de dados | Write |
iam:PassRole |
||
| ModifyDBProxyEndpoint | Concede permissão para modificar o endpoint do proxy do banco de dados | Write | |||
| ModifyDBProxyTargetGroup | Concede permissão para modificar o grupo de destino de um proxy de banco de dados | Escrever | |||
| ModifyDBRecommendation | Concede permissão para modificar recomendação | Escrever | |||
| ModifyDBShardGroup | Concede permissão para modificar propriedades de um grupo de fragmentos de banco de dados do Aurora Limitless Database | Escrever | |||
| ModifyDBSnapshot | Concede permissão para atualizar um snapshot de banco de dados manual, que pode estar criptografado ou não criptografado, com uma nova versão do mecanismo | Write | |||
| ModifyDBSnapshotAttribute | Concede permissão para adicionar um atributo e valores a um snapshot de banco de dados manual ou para remover um atributo e valores dele | Write | |||
| ModifyDBSubnetGroup | Concede permissão para modificar um grupo de sub-redes de banco de dados existente | Escrever | |||
| ModifyEventSubscription | Concede permissão para modificar uma assinatura existente de notificação de RDS eventos | Escrever | |||
| ModifyGlobalCluster | Concede permissão para modificar uma configuração para um cluster global Amazon Aurora ou um cluster global Amazon DocumentDB | Escrever | |||
| ModifyIntegration | Concede permissão para modificar uma ETL integração zero do Aurora com o Redshift | Escrever | |||
| ModifyOptionGroup | Concede permissão para modificar um grupo de opções existente | Escrever |
iam:PassRole |
||
| ModifyRecommendation [somente permissão] | Concede permissão para modificar recomendação | Escrever | |||
| ModifyTenantDatabase | Concede permissão para modificar um banco de dados de locatários | Escrever | |||
| PromoteReadReplica | Concede permissão para promover uma instância de banco de dados de réplica de leitura para uma instância de banco de dados autônoma | Write | |||
| PromoteReadReplicaDBCluster | Concede permissão para promover um cluster de banco de dados de réplica de leitura para um cluster de banco de dados autônomo | Write | |||
| PurchaseReservedDBInstancesOffering | Concede permissão para comprar uma oferta de instância de banco de dados reservada | Escrever | |||
| RebootDBCluster | Concede permissão para reiniciar um cluster de banco de dados provisionado anteriormente | Escrever |
rds:RebootDBInstance |
||
| RebootDBInstance | Concede permissão para reiniciar o serviço do mecanismo de banco de dados | Escrever | |||
| RebootDBShardGroup | Concede permissão para reinicializar um grupo de fragmentos de banco de dados do Aurora Limitless Database | Escrever | |||
| RegisterDBProxyTargets | Concede permissão para adicionar destinos a um grupo de destino de proxy de banco de dados | Escrever | |||
| RemoveFromGlobalCluster | Concede permissão para separar um cluster secundário do Aurora de um cluster de banco de dados global do Aurora ou do cluster global DocumentDB | Escrever | |||
| RemoveRoleFromDBCluster | Concede permissão para desassociar um AWS Função Identity and Access Management (IAM) de um cluster de banco de dados Amazon Aurora | Escrever |
iam:PassRole |
||
| RemoveRoleFromDBInstance | Concede permissão para desassociar um AWS Função Identity and Access Management (IAM) de uma instância de banco de dados | Escrever |
iam:PassRole |
||
| RemoveSourceIdentifierFromSubscription | Concede permissão para remover um identificador de origem de uma assinatura existente de notificação de RDS eventos | Escrever | |||
| RemoveTagsFromResource | Concede permissão para remover tags de metadados de um recurso da Amazon RDS | Tags | |||
| ResetDBClusterParameterGroup | Concede permissão para modificar os parâmetros de um grupo de parâmetros do cluster de banco de dados para o valor padrão | Write | |||
| ResetDBParameterGroup | Concede permissão para modificar os parâmetros de um grupo de parâmetros de banco de dados para o valor padrão do mecanismo/sistema | Write | |||
| RestoreDBClusterFromS3 | Concede permissão para criar um cluster de banco de dados do Amazon Aurora a partir de dados armazenados em um bucket do Amazon S3 | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource secretsmanager:CreateSecret secretsmanager:TagResource |
||
| RestoreDBClusterFromSnapshot | Concede permissão para criar um cluster de banco de dados a partir de um snapshot do cluster de banco de dados | Write |
iam:PassRole rds:AddTagsToResource rds:CreateDBInstance |
||
| RestoreDBClusterToPointInTime | Concede permissão para restaurar um cluster de banco de dados para um momento arbitrário | Write |
iam:PassRole rds:AddTagsToResource rds:CreateDBInstance |
||
| RestoreDBInstanceFromDBSnapshot | Concede permissão para criar uma instância de banco de dados a partir de um snapshot de banco de dados | Write |
iam:PassRole rds:AddTagsToResource rds:CreateTenantDatabase |
||
| RestoreDBInstanceFromS3 | Concede permissão para criar uma instância de banco de dados a partir de um bucket do Amazon S3 | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource secretsmanager:CreateSecret secretsmanager:TagResource |
||
| RestoreDBInstanceToPointInTime | Concede permissão para restaurar uma instância de banco de dados para um momento arbitrário | Escrever |
iam:PassRole rds:AddTagsToResource rds:CreateTenantDatabase |
||
| RevokeDBSecurityGroupIngress | Concede permissão para revogar a entrada de um DBSecurityGroup para intervalos de IP previamente autorizados EC2 ou VPC grupos de segurança | Escrever | |||
| StartActivityStream | Concede permissão para iniciar o streaming de atividades | Escrever | |||
| StartDBCluster | Concede permissão para iniciar o cluster de banco de dados | Escrever | |||
| StartDBInstance | Concede permissão para iniciar a instância de banco de dados | Escrever | |||
| StartDBInstanceAutomatedBackupsReplication | Concede permissão para iniciar a replicação de backups automatizados em outro Região da AWS | Escrever | |||
| StartExportTask | Concede permissão para iniciar uma nova tarefa de exportação para um snapshot de banco de dados | Write |
iam:PassRole |
||
| StopActivityStream | Concede permissão para interromper o streaming de atividades | Write | |||
| StopDBCluster | Concede permissão para interromper o cluster de banco de dados | Write | |||
| StopDBInstance | Concede permissão para interromper a instância de banco de dados | Write |
rds:AddTagsToResource rds:CreateDBSnapshot |
||
| StopDBInstanceAutomatedBackupsReplication | Concede permissão para interromper a replicação automatizada de backup para uma instância de banco de dados | Escrever | |||
| SwitchoverBlueGreenDeployment | Concede permissão para alternar uma implantação azul/verde de uma instância ou cluster de origem para destino | Escrever |
rds:ModifyDBCluster rds:ModifyDBInstance rds:PromoteReadReplica rds:PromoteReadReplicaDBCluster |
||
| SwitchoverGlobalCluster | Concede permissão para fazer transição de um cluster global | Escrever | |||
| SwitchoverReadReplica | Concede permissão para alternar entre uma réplica de leitura, que passa a ser o novo banco de dados principal | Escrever |
Tipos de recursos definidos pela Amazon RDS
Os tipos de recursos a seguir são definidos por esse serviço e podem ser usados no Resource elemento das declarações de política de IAM permissão. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.
| Tipos de recursos | ARN | Chaves de condição |
|---|---|---|
| cluster |
arn:${Partition}:rds:${Region}:${Account}:cluster:${DbClusterInstanceName}
|
|
| shardgrp |
arn:${Partition}:rds:${Region}:${Account}:shard-group:${DbShardGroupResourceId}
|
|
| cluster-auto-backup |
arn:${Partition}:rds:${Region}:${Account}:cluster-auto-backup:${DbClusterAutomatedBackupId}
|
|
| auto-backup |
arn:${Partition}:rds:${Region}:${Account}:auto-backup:${DbInstanceAutomatedBackupId}
|
|
| cluster-endpoint |
arn:${Partition}:rds:${Region}:${Account}:cluster-endpoint:${DbClusterEndpoint}
|
|
| cluster-pg |
arn:${Partition}:rds:${Region}:${Account}:cluster-pg:${ClusterParameterGroupName}
|
|
| cluster-snapshot |
arn:${Partition}:rds:${Region}:${Account}:cluster-snapshot:${ClusterSnapshotName}
|
|
| db |
arn:${Partition}:rds:${Region}:${Account}:db:${DbInstanceName}
|
|
| es |
arn:${Partition}:rds:${Region}:${Account}:es:${SubscriptionName}
|
|
| global-cluster |
arn:${Partition}:rds::${Account}:global-cluster:${GlobalCluster}
|
|
| og |
arn:${Partition}:rds:${Region}:${Account}:og:${OptionGroupName}
|
|
| pg |
arn:${Partition}:rds:${Region}:${Account}:pg:${ParameterGroupName}
|
|
| proxy |
arn:${Partition}:rds:${Region}:${Account}:db-proxy:${DbProxyId}
|
|
| proxy-endpoint |
arn:${Partition}:rds:${Region}:${Account}:db-proxy-endpoint:${DbProxyEndpointId}
|
|
| ri |
arn:${Partition}:rds:${Region}:${Account}:ri:${ReservedDbInstanceName}
|
|
| secgrp |
arn:${Partition}:rds:${Region}:${Account}:secgrp:${SecurityGroupName}
|
|
| snapshot |
arn:${Partition}:rds:${Region}:${Account}:snapshot:${SnapshotName}
|
|
| subgrp |
arn:${Partition}:rds:${Region}:${Account}:subgrp:${SubnetGroupName}
|
|
| target-group |
arn:${Partition}:rds:${Region}:${Account}:target-group:${TargetGroupId}
|
|
| cev |
arn:${Partition}:rds:${Region}:${Account}:cev:${Engine}/${EngineVersion}/${CustomDbEngineVersionId}
|
|
| deployment |
arn:${Partition}:rds:${Region}:${Account}:deployment:${BlueGreenDeploymentIdentifier}
|
|
| integration |
arn:${Partition}:rds:${Region}:${Account}:integration:${IntegrationIdentifier}
|
|
| snapshot-tenant-database |
arn:${Partition}:rds:${Region}:${Account}:snapshot-tenant-database:${SnapshotName}:${TenantResourceId}
|
|
| tenant-database |
arn:${Partition}:rds:${Region}:${Account}:tenant-database:${TenantResourceId}
|
Chaves de condição para Amazon RDS
A Amazon RDS define as seguintes chaves de condição que podem ser usadas no Condition elemento de uma IAM política. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.
Para ver as chaves de condição globais que estão disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.
| Chaves de condição | Descrição | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra o acesso pelo conjunto de pares de chave-valor da etiqueta na solicitação | String |
| aws:ResourceTag/${TagKey} | Filtra o acesso pelo conjunto de pares chave-valor da etiqueta anexados ao recurso | String |
| aws:TagKeys | Filtra o acesso pelo conjunto de chaves da etiqueta na solicitação | ArrayOfString |
| rds:BackupTarget | Filtra o acesso pelo tipo de destino de backup. Um dos seguintes: região, postos avançados | String |
| rds:CopyOptionGroup | Filtra o acesso pelo valor que especifica se a opyDBSnapshot ação C requer a cópia do grupo de opções do banco de dados | Bool |
| rds:DatabaseClass | Filtra o acesso pelo tipo de classe da instância de banco de dados | String |
| rds:DatabaseEngine | Filtra o acesso pelo mecanismo do banco de dados Para valores possíveis, consulte o parâmetro do motor em C reateDBInstance API | String |
| rds:DatabaseName | Filtra o acesso pelo nome definido pelo usuário do banco de dados na instância de banco de dados | String |
| rds:EndpointType | Filtra o acesso pelo tipo de endpoint Um dos:READER,WRITER, CUSTOM | String |
| rds:ManageMasterUserPassword | Filtra o acesso pelo valor que especifica se RDS gerencia a senha do usuário mestre no AWS Secrets Manager para a instância de banco de dados ou cluster | Bool |
| rds:MultiAz | Filtra o acesso pelo valor que especifica se a instância de banco de dados é executada em várias zonas de disponibilidade. Para indicar que a instância de banco de dados está usando Multi-AZ, especifique true (verdadeiro). | Bool |
| rds:Piops | Filtra o acesso pelo valor que contém o número de Provisioned IOPS (PIOPS) compatível com a instância. Para indicar uma instância de banco de dados que não está PIOPS habilitada, especifique 0 | Numérico |
| rds:StorageEncrypted | Filtra o acesso pelo valor que especifica se o armazenamento de instâncias de banco de dados deve ser criptografado. Para aplicar a criptografia do armazenamento, especifique true (verdadeiro). | Bool |
| rds:StorageSize | Filtra o acesso pelo tamanho do volume de armazenamento (em GB) | Numérico |
| rds:TenantDatabaseName | Filtra o acesso pelo nome do banco de dados do inquilino em CreateTenantDatabase e pelo novo nome do banco de dados do inquilino em ModifyTenantDatabase | String |
| rds:Vpc | Filtra o acesso pelo valor que especifica se a instância de banco de dados é executada em uma Amazon Virtual Private Cloud (AmazonVPC). Para indicar que a instância de banco de dados é executada em uma AmazonVPC, especifique true | Bool |
| rds:cluster-pg-tag/${TagKey} | Filtra o acesso pela etiqueta anexada a um grupo de parâmetros do cluster de banco de dados | String |
| rds:cluster-snapshot-tag/${TagKey} | Filtra o acesso pela etiqueta anexada a um snapshot do cluster de banco de dados | String |
| rds:cluster-tag/${TagKey} | Filtra o acesso pela etiqueta anexada a um cluster de banco de dados | String |
| rds:db-tag/${TagKey} | Filtra o acesso pela etiqueta anexada a uma instância de banco de dados | String |
| rds:es-tag/${TagKey} | Filtra o acesso pela etiqueta anexada a uma assinatura de evento | String |
| rds:og-tag/${TagKey} | Filtra o acesso pela etiqueta anexada a um grupo de opções de banco de dados | String |
| rds:pg-tag/${TagKey} | Filtra o acesso pela etiqueta anexada a um grupo de parâmetros de banco de dados | String |
| rds:req-tag/${TagKey} | Filtra o acesso pelo conjunto de chaves da etiqueta e valores que podem ser usados para marcar um recurso | String |
| rds:ri-tag/${TagKey} | Filtra o acesso pela etiqueta anexada a uma instância de banco de dados reservada | String |
| rds:secgrp-tag/${TagKey} | Filtra o acesso pela etiqueta anexada a um grupo de segurança de banco de dados | String |
| rds:snapshot-tag/${TagKey} | Filtra o acesso pela etiqueta anexada a um snapshot de banco de dados | String |
| rds:subgrp-tag/${TagKey} | Filtra o acesso pela etiqueta anexada a um grupo de sub-redes de banco de dados | String |
