メニュー
Amazon Relational Database Service
ユーザーガイド (API Version 2014-10-31)

Amazon RDS API のアクセス権限: アクション、リソース、条件リファレンス

アクセスコントロール をセットアップし、IAM アイデンティティにアタッチできるアクセス権限ポリシー (アイデンティティベースのポリシー) を作成するときは、以下をリファレンスとして使用できます。

以下に、各 Amazon RDS API オペレーションを示します。このリストには、アクションを実行する権限を付与できる対応アクション、権限を付与できる AWS リソース、およびきめ細かなアクセス制御を設定できる条件キーが含まれています。ポリシーの [Action] フィールドにアクションを、ポリシーの [Resource] フィールドにリソース値を、ポリシーの [Condition] フィールドに条件を指定します。条件の詳細については、詳細に設定されたアクセスコントロールのための IAM ポリシー条件の使用を参照してください。

Amazon RDS ポリシーで AWS 全体の条件キーを使用して、条件を表現することができます。AWS 全体を対象とするすべてのキーのリストについては、IAM ユーザーガイド の「利用可能なキー」を参照してください。

IAM Policy Simulator を使用して IAM; ポリシーをテストできます。Amazon RDS アクションを含め、各 AWS アクションに必要なリソースとパラメータのリストが自動的に提供されます。IAM Policy Simulator により、指定する各アクションに必要なアクセス許可が決定されます。IAM Policy Simulator の詳細については、IAM ユーザーガイドの「IAM Policy Simulator を使用した IAM ポリシーのテスト」を参照してください。

注記

アクションを指定するには、API オペレーション名 (rds:CreateDBInstance など) の前に rds: プレフィックスを使用します。

RDS API オペレーションと関連するアクション、リソース、および条件キーを以下に示します。

リソースレベルのアクセス許可をサポートする Amazon RDS アクション

リソースレベルのアクセス許可とは、ユーザーがアクションを実行可能なリソースを指定できることを意味します。Amazon RDS では、リソースレベルのアクセス許可が部分的にサポートしています。これは、特定の Amazon RDS アクションでは、満たす必要がある条件、またはユーザーが使用できる特定のリソースに基づいて、ユーザーがそれらのアクションをいつ使用できるかを制御できることを意味します。たとえば、特定の DB インスタンスのみ変更するアクセス許可をユーザーに付与できます。

RDS API オペレーションと関連するアクション、リソース、および条件キーを以下に示します。

RDS API オペレーションとアクション リソース 条件キー

AddRoleToDBCluster

rds:AddRoleToDBCluster

DB クラスター

arn:aws:rds:region:account-id:cluster:db-cluster-name

rds:cluster-tag

IAM ロール

arn:aws:iam::account-id:role/role-name

該当なし

AddSourceIdentifierToSubscription

rds:AddSourceIdentifierToSubscription

イベントサブスクリプション

arn:aws:rds:region:account-id:es:subscription-name

rds:es-tag

AddTagsToResource

rds:AddTagsToResource

DB インスタンス

arn:aws:rds:region:account-id:db:db-instance-name

rds:db-tag

DB オプショングループ

arn:aws:rds:region:account-id:og:option-group-name

rds:og-tag

DB パラメータグループ

arn:aws:rds:region:account-id:pg:parameter-group-name

rds:pg-tag

DB セキュリティグループ

arn:aws:rds:region:account-id:secgrp:security-group-name

rds:secgrp-tag

DB サブネットグループ

arn:aws:rds:region:account-id:subgrp:subnet-group-name

rds:subgrp-tag

DB スナップショット

arn:aws:rds:region:account-id:snapshot:snapshot-name

rds:snapshot-tag

イベントサブスクリプション

arn:aws:rds:region:account-id:es:subscription-name

rds:es-tag

リザーブド DB インスタンス

arn:aws:rds:region:account-id:ri:reserved-db-instance-name

rds:ri-tag

ApplyPendingMaintenanceAction

rds:ApplyPendingMaintenanceAction

DB インスタンス

arn:aws:rds:region:account-id:db:db-instance-name

rds:db-tag

AuthorizeDBSecurityGroupIngress

rds:AuthorizeDBSecurityGroupIngress

DB セキュリティグループ

arn:aws:rds:region:account-id:secgrp:security-group-name

rds:secgrp-tag

CopyDBClusterSnapshot

rds:CopyDBClusterSnapshot

DB クラスタースナップショット

arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name

rds:cluster-snapshot-tag

CopyDBParameterGroup

rds:CopyDBParameterGroup

DB パラメータグループ

arn:aws:rds:region:account-id:pg:parameter-group-name

rds:pg-tag

CopyDBSnapshot

rds:CopyDBSnapshot

DB スナップショット

arn:aws:rds:region:account-id:snapshot:snapshot-name

rds:snapshot-tag

CopyOptionGroup

rds:CopyOptionGroup

DB オプショングループ

arn:aws:rds:region:account-id:og:option-group-name

rds:og-tag

CreateDBCluster

rds:CreateDBCluster

DB クラスター

arn:aws:rds:region:account-id:cluster:db-cluster-name

rds:DatabaseEngine

rds:DatabaseName

rds:cluster-tag

DB オプショングループ

arn:aws:rds:region:account-id:og:option-group-name

rds:og-tag

DB クラスターのパラメータグループ

arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name

rds:cluster-pg-tag

DB サブネットグループ

arn:aws:rds:region:account-id:subgrp:subnet-group-name

rds:subgrp-tag

CreateDBClusterParameterGroup

rds:CreateDBClusterParameterGroup

DB クラスターのパラメータグループ

arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name

rds:cluster-pg-tag

CreateDBClusterSnapshot

rds:CreateDBClusterSnapshot

DB クラスター

arn:aws:rds:region:account-id:cluster:db-cluster-name

rds:cluster-tag

DB クラスタースナップショット

arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name

rds:cluster-snapshot-tag

CreateDBInstance

rds:CreateDBInstance

DB インスタンス

arn:aws:rds:region:account-id:db:db-instance-name

rds:DatabaseClass

rds:DatabaseEngine

rds:DatabaseName

rds:MultiAz

rds:Piops

rds:StorageSize

rds:Vpc

rds:db-tag

DB オプショングループ

arn:aws:rds:region:account-id:og:option-group-name

rds:og-tag

DB パラメータグループ

arn:aws:rds:region:account-id:pg:parameter-group-name

rds:pg-tag

DB セキュリティグループ

arn:aws:rds:region:account-id:secgrp:security-group-name

rds:secgrp-tag

DB サブネットグループ

arn:aws:rds:region:account-id:subgrp:subnet-group-name

rds:subgrp-tag

DB クラスター

arn:aws:rds:region:account-id:cluster:db-cluster-name

rds:cluster-tag

CreateDBInstanceReadReplica

rds:CreateDBInstanceReadReplica

DB インスタンス

arn:aws:rds:region:account-id:db:db-instance-name

rds:DatabaseClass

rds:Piops

rds:db-tag

DB オプショングループ

arn:aws:rds:region:account-id:og:option-group-name

rds:og-tag

DB サブネットグループ

arn:aws:rds:region:account-id:subgrp:subnet-group-name

rds:subgrp-tag

CreateDBParameterGroup

rds:CreateDBParameterGroup

DB パラメータグループ

arn:aws:rds:region:account-id:pg:parameter-group-name

rds:pg-tag

CreateDBSecurityGroup

rds:CreateDBSecurityGroup

DB セキュリティグループ

arn:aws:rds:region:account-id:secgrp:security-group-name

rds:secgrp-tag

CreateDBSnapshot

rds:CreateDBSnapshot

DB インスタンス

arn:aws:rds:region:account-id:db:db-instance-name

rds:db-tag

DB スナップショット

arn:aws:rds:region:account-id:snapshot:snapshot-name

rds:snapshot-tag

CreateDBSubnetGroup

rds:CreateDBSubnetGroup

DB サブネットグループ

arn:aws:rds:region:account-id:subgrp:subnet-group-name

rds:subgrp-tag

CreateEventSubscription

rds:CreateEventSubscription

イベントサブスクリプション

arn:aws:rds:region:account-id:es:subscription-name

rds:es-tag

CreateOptionGroup

rds:CreateOptionGroup

DB オプショングループ

arn:aws:rds:region:account-id:og:option-group-name

rds:og-tag

DeleteDBCluster

rds:DeleteDBCluster

DB クラスター

arn:aws:rds:region:account-id:cluster:db-cluster-name

rds:cluster-tag

DB クラスタースナップショット

arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name

rds:cluster-snapshot-tag

DeleteDBClusterParameterGroup

rds:DeleteDBClusterParameterGroup

DB クラスターのパラメータグループ

arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name

rds:cluster-pg-tag

DeleteDBClusterSnapshot

rds:DeleteDBClusterSnapshot

DB クラスタースナップショット

arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name

rds:cluster-snapshot-tag

DeleteDBInstance

rds:DeleteDBInstance

DB インスタンス

arn:aws:rds:region:account-id:db:db-instance-name

rds:db-tag

DeleteDBParameterGroup

rds:DeleteDBParameterGroup

DB パラメータグループ

arn:aws:rds:region:account-id:pg:parameter-group-name

rds:pg-tag

DeleteDBSecurityGroup

rds:DeleteDBSecurityGroup

DB セキュリティグループ

arn:aws:rds:region:account-id:secgrp:security-group-name

rds:secgrp-tag

DeleteDBSnapshot

rds:DeleteDBSnapshot

DB スナップショット

arn:aws:rds:region:account-id:snapshot:snapshot-name

rds:snapshot-tag

DeleteDBSubnetGroup

rds:DeleteDBSubnetGroup

DB サブネットグループ

arn:aws:rds:region:account-id:subgrp:subnet-group-name

rds:subgrp-tag

DeleteEventSubscription

rds:DeleteEventSubscription

イベントサブスクリプション

arn:aws:rds:region:account-id:es:subscription-name

rds:es-tag

DeleteOptionGroup

rds:DeleteOptionGroup

DB オプショングループ

arn:aws:rds:region:account-id:og:option-group-name

rds:og-tag

DescribeDBClusterParameterGroups

rds:DescribeDBClusterParameterGroups

DB クラスターのパラメータグループ

arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name

rds:cluster-pg-tag

DescribeDBClusterParameters

rds:DescribeDBClusterParameters

DB クラスターのパラメータグループ

arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name

rds:cluster-pg-tag

DescribeDBClusters

rds:DescribeDBClusters

DB クラスター

arn:aws:rds:region:account-id:cluster:db-cluster-instance-name

rds:cluster-tag

DescribeDBClusterSnapshotAttributes

rds:DescribeDBClusterSnapshotAttributes

DB クラスタースナップショット

arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name

rds:cluster-snapshot-tag

DescribeDBEngineVersions

rds:DescribeDBEngineVersions

DB パラメータグループ

arn:aws:rds:region:account-id:pg:parameter-group-name

rds:pg-tag

DescribeDBLogFiles

rds:DescribeDBLogFiles

DB インスタンス

arn:aws:rds:region:account-id:db:db-instance-name

rds:db-tag

DescribeDBParameterGroups

rds:DescribeDBParameterGroups

DB パラメータグループ

arn:aws:rds:region:account-id:pg:parameter-group-name

rds:pg-tag

DescribeDBParameters

rds:DescribeDBParameters

DB パラメータグループ

arn:aws:rds:region:account-id:pg:parameter-group-name

rds:pg-tag

DescribeDBSecurityGroups

rds:DescribeDBSecurityGroups

DB セキュリティグループ

arn:aws:rds:region:account-id:secgrp:security-group-name

rds:secgrp-tag

DescribeDBSnapshotAttributes

rds:DescribeDBSnapshotAttributes

DB スナップショット

arn:aws:rds:region:account-id:snapshot:snapshot-name

rds:snapshot-tag

DescribeDBSnapshots

rds:DescribeDBSnapshots

DB インスタンス

arn:aws:rds:region:account-id:db:db-instance-name

rds:db-tag

DB スナップショット

arn:aws:rds:region:account-id:snapshot:snapshot-name

rds:snapshot-tag

DescribeDBSubnetGroups

rds:DescribeDBSubnetGroups

DB サブネットグループ

arn:aws:rds:region:account-id:subgrp:subnet-group-name

rds:subgrp-tag

DescribeEvents

rds:DescribeEvents

イベントサブスクリプション

arn:aws:rds:region:account-id:es:subscription-name

rds:es-tag

DescribeEventSubscriptions

rds:DescribeEventSubscriptions

イベントサブスクリプション

arn:aws:rds:region:account-id:es:subscription-name

rds:es-tag

DescribeOptionGroupOptions

rds:DescribeOptionGroupOptions

DB オプショングループ

arn:aws:rds:region:account-id:og:option-group-name

rds:og-tag

DescribeOptionGroups

rds:DescribeOptionGroups

DB オプショングループ

arn:aws:rds:region:account-id:og:option-group-name

rds:og-tag

DescribePendingMaintenanceActions

rds:DescribePendingMaintenanceActions

DB インスタンス

arn:aws:rds:region:account-id:db:db-instance-name

rds:DatabaseClass

rds:DatabaseEngine

rds:DatabaseName

rds:MultiAz

rds:Piops

rds:StorageSize

rds:Vpc

rds:db-tag

DescribeReservedDBInstances

rds:DescribeReservedDBInstances

リザーブド DB インスタンス

arn:aws:rds:region:account-id:ri:reserved-db-instance-name

rds:DatabaseClass

rds:MultiAz

rds:ri-tag

DescribeReservedDBInstancesOfferings

rds:DescribeReservedDBInstancesOfferings

DB インスタンス

arn:aws:rds:region:account-id:db:db-instance-name

rds:DatabaseClass

rds:MultiAz

DownloadDBLogFilePortion

rds:DownloadDBLogFilePortion

DB インスタンス

arn:aws:rds:region:account-id:db:db-instance-name

rds:db-tag

FailoverDBCluster

rds:FailoverDBCluster

DB クラスター

arn:aws:rds:region:account-id:cluster:db-cluster-instance-name

rds:cluster-tag

ListTagsForResource

rds:ListTagsForResource

DB インスタンス

arn:aws:rds:region:account-id:db:db-instance-name

rds:db-tag

DB オプショングループ

arn:aws:rds:region:account-id:og:option-group-name

rds:og-tag

DB パラメータグループ

arn:aws:rds:region:account-id:pg:parameter-group-name

rds:pg-tag

DB セキュリティグループ

arn:aws:rds:region:account-id:secgrp:security-group-name

rds:secgrp-tag

DB サブネットグループ

arn:aws:rds:region:account-id:subgrp:subnet-group-name

rds:subgrp-tag

DB スナップショット

arn:aws:rds:region:account-id:snapshot:snapshot-name

rds:snapshot-tag

イベントサブスクリプション

arn:aws:rds:region:account-id:es:subscription-name

rds:es-tag

リザーブド DB インスタンス

arn:aws:rds:region:account-id:ri:reserved-db-instance-name

rds:ri-tag

ModifyDBCluster

rds:ModifyDBCluster

DB クラスター

arn:aws:rds:region:account-id:cluster:db-cluster-name

rds:cluster-tag

DB オプショングループ

arn:aws:rds:region:account-id:og:option-group-name

rds:og-tag

DB クラスターのパラメータグループ

arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name

rds:cluster-pg-tag

ModifyDBClusterParameterGroup

rds:ModifyDBClusterParameterGroup

DB クラスターのパラメータグループ

arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name

rds:cluster-pg-tag

ModifyDBClusterSnapshotAttribute

rds:ModifyDBClusterSnapshotAttribute

DB クラスタースナップショット

arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name

rds:cluster-snapshot-tag

ModifyDBInstance

rds:ModifyDBInstance

DB インスタンス

arn:aws:rds:region:account-id:db:db-instance-name

rds:DatabaseClass

rds:MultiAz

rds:Piops

rds:StorageSize

rds:Vpc

rds:db-tag

DB オプショングループ

arn:aws:rds:region:account-id:og:option-group-name

rds:og-tag

DB パラメータグループ

arn:aws:rds:region:account-id:pg:parameter-group-name

rds:pg-tag

DB セキュリティグループ

arn:aws:rds:region:account-id:secgrp:security-group-name

rds:secgrp-tag

ModifyDBParameterGroup

rds:ModifyDBParameterGroup

DB パラメータグループ

arn:aws:rds:region:account-id:pg:parameter-group-name

rds:pg-tag

ModifyDBSnapshotAttribute

rds:ModifyDBSnapshotAttribute

DB スナップショット

arn:aws:rds:region:account-id:snapshot:snapshot-name

rds:snapshot-tag

ModifyDBSubnetGroup

rds:ModifyDBSubnetGroup

DB サブネットグループ

arn:aws:rds:region:account-id:subgrp:subnet-group-name

rds:subgrp-tag

ModifyEventSubscription

rds:ModifyEventSubscription

イベントサブスクリプション

arn:aws:rds:region:account-id:es:subscription-name

rds:es-tag

ModifyOptionGroup

rds:ModifyOptionGroup

DB オプショングループ

arn:aws:rds:region:account-id:og:option-group-name

rds:og-tag

PromoteReadReplica

rds:PromoteReadReplica

DB インスタンス

arn:aws:rds:region:account-id:db:db-instance-name

rds:db-tag

PromoteReadReplicaDBCluster

rds:PromoteReadReplicaDBCluster

DB クラスター

arn:aws:rds:region:account-id:cluster:db-cluster-name

RebootDBInstance

rds:RebootDBInstance

DB インスタンス

arn:aws:rds:region:account-id:db:db-instance-name

rds:db-tag

RemoveSourceIdentifierFromSubscription

rds:RemoveSourceIdentifierFromSubscription

イベントサブスクリプション

arn:aws:rds:region:account-id:es:subscription-name

rds:es-tag

RemoveTagsFromResource

rds:RemoveTagsFromResource

DB インスタンス

arn:aws:rds:region:account-id:db:db-instance-name

rds:db-tag

DB オプショングループ

arn:aws:rds:region:account-id:og:option-group-name

rds:og-tag

DB パラメータグループ

arn:aws:rds:region:account-id:pg:parameter-group-name

rds:pg-tag

DB セキュリティグループ

arn:aws:rds:region:account-id:secgrp:security-group-name

rds:secgrp-tag

DB サブネットグループ

arn:aws:rds:region:account-id:subgrp:subnet-group-name

rds:subgrp-tag

DB スナップショット

arn:aws:rds:region:account-id:snapshot:snapshot-name

rds:snapshot-tag

イベントサブスクリプション

arn:aws:rds:region:account-id:es:subscription-name

rds:es-tag

リザーブド DB インスタンス

arn:aws:rds:region:account-id:ri:reserved-db-instance-name

rds:ri-tag

ResetDBClusterParameterGroup

rds:ResetDBClusterParameterGroup

DB クラスターのパラメータグループ

arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name

rds:cluster-pg-tag

ResetDBParameterGroup

rds:ResetDBParameterGroup

DB パラメータグループ

arn:aws:rds:region:account-id:pg:parameter-group-name

rds:pg-tag

RestoreDBClusterFromS3

rds:RestoreDBClusterFromS3

DB クラスター

arn:aws:rds:region:account-id:cluster:db-cluster-instance-name

rds:DatabaseEngine

rds:DatabaseName

rds:cluster-tag

DB クラスターのパラメータグループ

arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name

rds:cluster-pg-tag

DB オプショングループ

arn:aws:rds:region:account-id:og:option-group-name

rds:og-tag

DB サブネットグループ

arn:aws:rds:region:account-id:subgrp:subnet-group-name

rds:subgrp-tag

RestoreDBClusterFromSnapshot

rds:RestoreDBClusterFromSnapshot

DB クラスター

arn:aws:rds:region:account-id:cluster:db-cluster-instance-name

rds:DatabaseEngine

rds:DatabaseName

rds:cluster-tag

DB オプショングループ

arn:aws:rds:region:account-id:og:option-group-name

rds:og-tag

DB クラスタースナップショット

arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name

rds:cluster-snapshot-tag

RestoreDBClusterToPointInTime

rds:RestoreDBClusterToPointInTime

DB クラスター

arn:aws:rds:region:account-id:cluster:db-cluster-instance-name

rds:cluster-tag

DB オプショングループ

arn:aws:rds:region:account-id:og:option-group-name

rds:og-tag

DB サブネットグループ

arn:aws:rds:region:account-id:subgrp:subnet-group-name

rds:subgrp-tag

RestoreDBInstanceFromDBSnapshot

rds:RestoreDBInstanceFromDBSnapshot

DB インスタンス

arn:aws:rds:region:account-id:db:db-instance-name

rds:DatabaseClass

rds:DatabaseEngine

rds:DatabaseName

rds:MultiAz

rds:Piops

rds:Vpc

rds:db-tag

DB オプショングループ

arn:aws:rds:region:account-id:og:option-group-name

rds:og-tag

DB スナップショット

arn:aws:rds:region:account-id:snapshot:snapshot-name

rds:snapshot-tag

DB サブネットグループ

arn:aws:rds:region:account-id:subgrp:subnet-group-name

rds:subgrp-tag

RestoreDBInstanceToPointInTime

rds:RestoreDBInstanceToPointInTime

DB インスタンス

arn:aws:rds:region:account-id:db:db-instance-name

rds:DatabaseClass

rds:DatabaseEngine

rds:DatabaseName

rds:MultiAz

rds:Piops

rds:Vpc

rds:db-tag

DB オプショングループ

arn:aws:rds:region:account-id:og:option-group-name

rds:og-tag

DB スナップショット

arn:aws:rds:region:account-id:snapshot:snapshot-name

rds:snapshot-tag

DB サブネットグループ

arn:aws:rds:region:account-id:subgrp:subnet-group-name

rds:subgrp-tag

RevokeDBSecurityGroupIngress

rds:RevokeDBSecurityGroupIngress

DB セキュリティグループ

arn:aws:rds:region:account-id:secgrp:security-group-name

rds:secgrp-tag

StartDBInstance

rds:StartDBInstance

DB インスタンス

arn:aws:rds:region:account-id:db:db-instance-name

rds:DatabaseClass

rds:DatabaseEngine

rds:DatabaseName

rds:MultiAz

rds:Piops

rds:Vpc

rds:db-tag

StopDBInstance

rds:StopDBInstance

DB インスタンス

arn:aws:rds:region:account-id:db:db-instance-name

rds:DatabaseClass

rds:DatabaseEngine

rds:DatabaseName

rds:MultiAz

rds:Piops

rds:Vpc

rds:db-tag

リソースレベルのアクセス許可をサポートしない Amazon RDS アクション

IAM ポリシーのすべての Amazon RDS アクションを使用して、そのアクションを使用するアクセス許可をユーザーに付与または拒否できます。ただし、すべての Amazon RDS アクションが、アクションを実行することができるリソースを指定できる、リソースレベルのアクセス許可をサポートしているわけではありません。現在、次の Amazon RDS API アクションは、リソースレベルのアクセス許可をサポートしていません。したがって、IAM ポリシーでこれらのアクションを使用するには、ステートメントで Resource 要素に * ワイルドカードを使って、アクションに対してすべてのリソースを使用するアクセス許可をユーザーに付与する必要があります。

関連トピック