AWS verwaltete Richtlinien für Amazon RDS

Um Berechtigungen zu Berechtigungssätzen und Rollen hinzuzufügen, ist es einfacher, AWS verwaltete Richtlinien zu verwenden, als Richtlinien selbst zu schreiben. Es erfordert Zeit und Fachwissen, um von Kunden verwaltete IAM-Richtlinien zu erstellen, die Ihrem Team nur die benötigten Berechtigungen bieten. Um schnell loszulegen, können Sie unsere AWS verwalteten Richtlinien verwenden. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS-Konto verfügbar. Weitere Informationen zu AWS verwalteten Richtlinien finden Sie im IAM-Benutzerhandbuch unter AWS Verwaltete Richtlinien.

AWS services verwalten und aktualisieren Sie AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Dienste fügen einer AWS verwalteten Richtlinie gelegentlich zusätzliche Berechtigungen hinzu, um neue Funktionen zu unterstützen. Diese Art von Update betrifft alle Identitäten (Berechtigungssätze und Rollen), denen die Richtlinie angehängt ist. Es ist sehr wahrscheinlich, dass Dienste eine AWS verwaltete Richtlinie aktualisieren, wenn eine neue Funktion eingeführt wird oder wenn neue Operationen verfügbar werden. Dienste entfernen keine Berechtigungen aus einer AWS verwalteten Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.

AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die ReadOnlyAccess AWS verwaltete Richtlinie bietet beispielsweise nur Lesezugriff auf alle Ressourcen AWS services . Wenn ein Dienst eine neue Funktion startet, werden nur Leseberechtigungen für neue Operationen und Ressourcen AWS hinzugefügt. Eine Liste und Beschreibungen der Richtlinien für Auftragsfunktionen finden Sie in Verwaltete AWS -Richtlinien für Auftragsfunktionen im IAM-Leitfaden.

AWS verwaltete Richtlinie: AmazonRDS ReadOnlyAccess

Diese Richtlinie ermöglicht den schreibgeschützten Zugriff auf Amazon RDS über die. AWS Management Console

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

• rds – Ermöglicht es Prinzipalen, Amazon-RDS-Ressourcen zu beschreiben und die Tags für Amazon-RDS-Ressourcen aufzulisten.

• cloudwatch— Ermöglicht Prinzipalen das Abrufen von CloudWatch Amazon-Metrikstatistiken.

• ec2 – Ermöglicht es Prinzipalen, Availability Zones und Netzwerkressourcen zu beschreiben.

• logs— Ermöglicht Prinzipalen, Logs, CloudWatch Log-Streams von Log-Gruppen zu beschreiben und CloudWatch Log-Log-Ereignisse abzurufen.

• devops-guru— Ermöglicht Prinzipalen die Beschreibung von Ressourcen, die von Amazon DevOps Guru abgedeckt werden, was entweder durch CloudFormation Stacknamen oder Ressourcen-Tags spezifiziert wird.

Weitere Informationen zu dieser Richtlinie, einschließlich des JSON-Richtliniendokuments, finden Sie unter AmazonRDS ReadOnlyAccess im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: AmazonRDS FullAccess

Diese Richtlinie bietet vollen Zugriff auf Amazon RDS über die AWS Management Console.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

• rds – Ermöglicht Prinzipalen Vollzugriff auf alle Amazon RDS.

• application-autoscaling – Ermöglicht es Prinzipalen, Ziele und Richtlinien zur Skalierung der automatischen Anwendungsskalierung zu beschreiben und zu verwalten.

• cloudwatch— Ermöglicht es Schulleitern, CloudWatch metrische Statistiken abzurufen und Alarme zu verwalten CloudWatch .

• ec2 – Ermöglicht es Prinzipalen, Availability Zones und Netzwerkressourcen zu beschreiben.

• logs— Ermöglicht Prinzipalen die Beschreibung von Logs, CloudWatch Log-Streams von Log-Gruppen und das Abrufen von CloudWatch Log-Log-Ereignissen.

• outposts— Ermöglicht Prinzipalen das Abrufen von AWS Outposts Instanztypen.

• pi – Ermöglicht es Prinzipalen, Performance-Insights-Metriken abzurufen.

• sns – Ermöglicht es Prinzipalen, Amazon Simple Notification Service (Amazon SNS)-Abonnements und -Themen zu abonnieren und Amazon-SNS-Nachrichten zu veröffentlichen.

• devops-guru— Ermöglicht Prinzipalen die Beschreibung von Ressourcen, die von Amazon DevOps Guru abgedeckt werden, was entweder durch CloudFormation Stacknamen oder Ressourcen-Tags spezifiziert wird.

Weitere Informationen zu dieser Richtlinie, einschließlich des JSON-Richtliniendokuments, finden Sie unter AmazonRDS FullAccess im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: AmazonRDS DataFullAccess

Diese Richtlinie ermöglicht den vollen Zugriff auf die Nutzung der Daten-API und des Abfrage-Editors für Aurora Serverless Cluster in einem bestimmten AWS-Konto Bereich. Diese Richtlinie ermöglicht es AWS-Konto , den Wert eines Geheimnisses von abzurufen AWS Secrets Manager.

Sie können die AmazonRDSDataFullAccess-Richtlinie an Ihre IAM-Identitäten anfügen.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

• dbqms – Ermöglicht es Prinzipalen, auf Abfragen zuzugreifen, Abfragen zu erstellen, zu löschen, zu beschreiben und zu aktualisieren. Der Database Query Metadata Service (dbqms) ist ein reiner Dienst für interne Daten. Es stellt Ihre letzten und gespeicherten Abfragen für den Abfrage-Editor auf dem AWS Management Console für mehrere AWS services, einschließlich Amazon RDS, bereit.

• rds-data – Ermöglicht es Prinzipalen, SQL-Anweisungen in Aurora Serverless-Datenbanken auszuführen.

• secretsmanager— Ermöglicht es Prinzipalen, den Wert eines Geheimnisses von AWS Secrets Manager abzurufen.

Weitere Informationen zu dieser Richtlinie, einschließlich des JSON-Richtliniendokuments, finden Sie unter AmazonRDS DataFullAccess im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: AmazonRDS EnhancedMonitoringRole

Diese Richtlinie bietet Zugriff auf Amazon CloudWatch Logs for Amazon RDS Enhanced Monitoring.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

• logs— Ermöglicht es Prinzipalen, CloudWatch Protokollgruppen und Aufbewahrungsrichtlinien zu erstellen und Log-Log-Streams von CloudWatch Protokollgruppen zu erstellen und zu beschreiben. Es ermöglicht Prinzipalen auch, Logs und CloudWatch Log-Ereignisse zu speichern und abzurufen.

Weitere Informationen zu dieser Richtlinie, einschließlich des JSON-Richtliniendokuments, finden Sie unter AmazonRDS EnhancedMonitoringRole im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: AmazonRDS PerformanceInsightsReadOnly

Diese Richtlinie bietet schreibgeschützten Zugriff auf Amazon RDS Performance Insights für Amazon-RDS-DB-Instances und Amazon-Aurora-DB-Cluster.

Die Richtlinie enthält jetzt Sid (Anweisungs-ID) als Bezeichner für die Richtlinienanweisung.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

• rds – Ermöglicht es Prinzipalen, Amazon-RDS-DB-Instances und Amazon-Aurora-DB-Cluster zu beschreiben.

• pi – Ermöglicht es Prinzipalen, Aufrufe an die Amazon-RDS-Performance-Insights-API zu tätigen und auf Performance-Insights-Metriken zuzugreifen

Weitere Informationen zu dieser Richtlinie, einschließlich des JSON-Richtliniendokuments, finden Sie unter AmazonRDS PerformanceInsightsReadOnly im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: AmazonRDS PerformanceInsightsFullAccess

Diese Richtlinie bietet Vollzugriff auf Erkenntnisse zur Amazon-RDS-Leistung für DB-Instances von Amazon RDS und DB-Clustern von Amazon Aurora.

Die Richtlinie enthält jetzt Sid (Anweisungs-ID) als Bezeichner für die Richtlinienanweisung.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

• rds – Ermöglicht es Prinzipalen, Amazon-RDS-DB-Instances und Amazon-Aurora-DB-Cluster zu beschreiben.

• pi – Ermöglicht es Prinzipalen, die API von Erkenntnissen zur Amazon-RDS-Leistung aufzurufen und Leistungsanalyseberichte zu erstellen, anzusehen und zu löschen.

• cloudwatch— Ermöglicht Prinzipalen, alle CloudWatch Amazon-Metriken aufzulisten und Metrikdaten und Statistiken abzurufen.

Weitere Informationen zu dieser Richtlinie, einschließlich des JSON-Richtliniendokuments, finden Sie unter AmazonRDS PerformanceInsightsFullAccess im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: AmazonRDS DirectoryServiceAccess

Diese Richtlinie ermöglicht es Amazon RDS, Aufrufe an AWS Directory Service zu tätigen.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgende Berechtigung:

• ds— Ermöglicht es Prinzipalen, Verzeichnisse zu beschreiben und die Autorisierung von AWS Directory Service Verzeichnissen zu AWS Directory Service kontrollieren.

Weitere Informationen zu dieser Richtlinie, einschließlich des JSON-Richtliniendokuments, finden Sie unter AmazonRDS DirectoryServiceAccess im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: AmazonRDS ServiceRolePolicy

Sie können die AmazonRDSServiceRolePolicy-Richtlinie Ihren IAM-Entitäten nicht anfügen. Diese Richtlinie ist mit einer servicegebundenen Rolle verknüpft, die es Amazon RDS ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter Berechtigungen von serviceverknüpften Rollen für Amazon RDS.

AWS verwaltete Richtlinie: AmazonRDS CustomServiceRolePolicy

Sie können die AmazonRDSCustomServiceRolePolicy-Richtlinie Ihren IAM-Entitäten nicht anfügen. Diese Richtlinie ist mit einer servicegebundenen Rolle verknüpft, die es Amazon RDS ermöglicht, Aktionen in Ihrem Namen durchzuführen.

Diese Richtlinie umfasst die folgenden Berechtigungen:

• ec2‐ Ermöglicht RDS Custom die Durchführung von Backup-Vorgängen auf der DB-Instance, die point-in-time Wiederherstellungsfunktionen bietet.

• secretsmanager‐ Ermöglicht RDS Custom die Verwaltung von DB-Instance-spezifischen Geheimnissen, die von RDS Custom erstellt wurden.

• cloudwatch‐ Ermöglicht RDS Custom das Hochladen von Metriken und Protokollen der DB-Instance CloudWatch über den CloudWatch Agenten.

• events, sqs ‐ Ermöglicht RDS Custom das Senden und Empfangen von Statusinformationen über die DB-Instance.

Weitere Informationen finden Sie unter Serviceverknüpfte Rollenberechtigungen für Amazon RDS Custom.

AWSverwaltete Richtlinie: AmazonRDSCustom Instance ProfileRolePolicy

Sie sollten AmazonRDSCustomInstanceProfileRolePolicy nicht an Ihre IAM-Entitäten anhängen. Es sollte nur an eine Instance-Profilrolle angehängt werden, die verwendet wird, um Ihrer Amazon RDS Custom DB-Instance Berechtigungen zur Ausführung verschiedener Automatisierungsaktionen und Datenbankverwaltungsaufgaben zu erteilen. Übergeben Sie das Instance-Profil während der Erstellung der benutzerdefinierten RDS-Instance als custom-iam-instance-profile Parameter, und RDS Custom ordnet dieses Instance-Profil Ihrer DB-Instance zu.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

• ssm,ssmmessages, ec2messages ‐ Ermöglicht RDS Custom die Kommunikation, Ausführung der Automatisierung und Wartung von Agenten auf der DB-Instance über Systems Manager.

• ec2, s3 ‐ Ermöglicht RDS Custom die Durchführung von Backup-Vorgängen auf der DB-Instance, die point-in-time Wiederherstellungsfunktionen bietet.

• secretsmanager‐ Ermöglicht RDS Custom die Verwaltung von DB-Instance-spezifischen Geheimnissen, die von RDS Custom erstellt wurden.

• cloudwatch, logs ‐ Ermöglicht RDS Custom das Hochladen von DB-Instance-Metriken und Protokollen CloudWatch über den CloudWatch Agenten.

• events, sqs ‐ Ermöglicht RDS Custom das Senden und Empfangen von Statusinformationen über die DB-Instance.

• kms‐ Ermöglicht RDS Custom die Verwendung eines instanzspezifischen KMS-Schlüssels zur Verschlüsselung von Geheimnissen und S3-Objekten, die von RDS Custom verwaltet werden.

Weitere Informationen zu dieser Richtlinie, einschließlich des JSON-Richtliniendokuments, finden Sie unter AmazonRDSCustom Instance ProfileRolePolicy im Managed Policy Reference Guide.AWS