数据库活动流的 IAM 策略示例
具有数据库活动流的相应 AWS Identity and Access Management(IAM)角色权限的任何用户均可以创建、启动、停止和修改数据库集群的活动流设置。这些操作包含在流的审核日志中。对于最佳合规性实践,我们建议您不要向 DBA 提供这些权限。
您可以使用 IAM 策略设置对数据库活动流的访问权限。有关 Aurora 身份验证的更多信息,请参阅Amazon Aurora 的 Identity and Access Management。有关创建 IAM 策略的更多信息,请参阅 创建和使用适用于 IAM 数据库访问的 IAM 策略。
例 允许配置数据库活动流的策略
要为用户提供精细访问权限以修改活动流,请在 IAM 策略中使用服务特定的操作上下文密钥 rds:StartActivityStream
和 rds:StopActivityStream
。以下 IAM 策略示例允许用户或角色配置活动流。
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"ConfigureActivityStreams",
"Effect":"Allow",
"Action": [
"rds:StartActivityStream",
"rds:StopActivityStream"
],
"Resource":"*",
}
]
}
例 允许启动数据库活动流的策略
以下 IAM 策略示例允许用户或角色启动活动流。
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AllowStartActivityStreams",
"Effect":"Allow",
"Action":"rds:StartActivityStream",
"Resource":"*"
}
]
}
例 允许停止数据库活动流的策略
以下 IAM 策略示例允许用户或角色停止活动流。
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AllowStopActivityStreams",
"Effect":"Allow",
"Action":"rds:StopActivityStream",
"Resource":"*"
}
]
}
例 拒绝启动数据库活动流的策略
以下 IAM 策略示例阻止用户或角色启动活动流。
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"DenyStartActivityStreams",
"Effect":"Deny",
"Action":"rds:StartActivityStream",
"Resource":"*"
}
]
}
例 拒绝停止数据库活动流的策略
以下 IAM 策略示例阻止用户或角色停止活动流。
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"DenyStopActivityStreams",
"Effect":"Deny",
"Action":"rds:StopActivityStream",
"Resource":"*"
}
]
}