数据库活动流的 IAM 策略示例 - Amazon Aurora

数据库活动流的 IAM 策略示例

具有数据库活动流的相应 AWS Identity and Access Management(IAM)角色权限的任何用户均可以创建、启动、停止和修改数据库集群的活动流设置。这些操作包含在流的审核日志中。对于最佳合规性实践,我们建议您不要向 DBA 提供这些权限。

您可以使用 IAM 策略设置对数据库活动流的访问权限。有关 Aurora 身份验证的更多信息,请参阅Amazon Aurora 的 Identity and Access Management。有关创建 IAM 策略的更多信息,请参阅 创建和使用适用于 IAM 数据库访问的 IAM 策略

例 允许配置数据库活动流的策略

要为用户提供精细访问权限以修改活动流,请在 IAM 策略中使用服务特定的操作上下文密钥 rds:StartActivityStreamrds:StopActivityStream。以下 IAM 策略示例允许用户或角色配置活动流。

{
   "Version":"2012-10-17",
   "Statement":[
        {
            "Sid":"ConfigureActivityStreams",
            "Effect":"Allow",
            "Action": [
                "rds:StartActivityStream",
                "rds:StopActivityStream"
            ],
            "Resource":"*",
          }
     ]
}
例 允许启动数据库活动流的策略

以下 IAM 策略示例允许用户或角色启动活动流。

{
    "Version":"2012-10-17",
    "Statement":[
        {
            "Sid":"AllowStartActivityStreams",
            "Effect":"Allow",
            "Action":"rds:StartActivityStream",
            "Resource":"*"
        }
    ]
}
例 允许停止数据库活动流的策略

以下 IAM 策略示例允许用户或角色停止活动流。

{
    "Version":"2012-10-17",
    "Statement":[
        {
            "Sid":"AllowStopActivityStreams",
            "Effect":"Allow",
            "Action":"rds:StopActivityStream",
            "Resource":"*"
        }
     ]
}
例 拒绝启动数据库活动流的策略

以下 IAM 策略示例阻止用户或角色启动活动流。

{
    "Version":"2012-10-17",
    "Statement":[
        {
            "Sid":"DenyStartActivityStreams",
            "Effect":"Deny",
            "Action":"rds:StartActivityStream",
            "Resource":"*"
        }
     ]
}
例 拒绝停止数据库活动流的策略

以下 IAM 策略示例阻止用户或角色停止活动流。

{
    "Version":"2012-10-17",
    "Statement":[
        {
            "Sid":"DenyStopActivityStreams",
            "Effect":"Deny",
            "Action":"rds:StopActivityStream",
            "Resource":"*"
        }
    ]
}