Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aktionen, Ressourcen und Bedingungsschlüssel für Amazon RDS
Amazon RDS (Servicepräfix: rds) stellt die folgenden servicespezifischen Ressourcen, Aktionen und Bedingungskontextschlüssel für die Verwendung in IAM-Berechtigungsrichtlinien bereit.
Referenzen:
-
Erfahren Sie, wie Sie diesen Service konfigurieren.
-
Zeigen Sie eine Liste der API-Vorgänge an, die für diesen Service verfügbar sind.
-
Erfahren Sie, wie Sie diesen Service und seine Ressourcen mithilfe von IAM-Berechtigungsrichtlinien schützen.
Themen
Von Amazon RDS definierte Aktionen
Sie können die folgenden Aktionen im Element Action einer IAM-Richtlinienanweisung angeben. Verwenden Sie Richtlinien, um Berechtigungen zum Ausführen einer Operation in AWS zu erteilen. Wenn Sie eine Aktion in einer Richtlinie verwenden, erlauben oder verweigern Sie in der Regel den Zugriff auf die API-Operation oder den CLI-Befehl mit demselben Namen. Dabei kann es mitunter vorkommen, dass eine einzige Aktion den Zugriff auf mehr als eine Operation steuert. Alternativ erfordern einige Vorgänge mehrere verschiedene Aktionen.
Die Spalte Resource types (Ressourcentypen) der Aktionstabelle gibt an, ob die Aktion Berechtigungen auf Ressourcenebene unterstützt. Wenn es keinen Wert für diese Spalte gibt, müssen Sie alle Ressourcen ("*") im Element Resource Ihrer Richtlinienanweisung angeben. Wenn die Spalte einen Ressourcentyp enthält, können Sie einen ARN dieses Typs in einer Anweisung mit dieser Aktion angeben. Wenn für die Aktion eine oder mehrere Ressourcen erforderlich sind, muss der Aufrufer die Erlaubnis haben, die Aktion mit diesen Ressourcen zu verwenden. Erforderliche Ressourcen sind in der Tabelle mit einem Sternchen (*) gekennzeichnet. Wenn Sie den Ressourcenzugriff mit dem Element Resource in einer IAM-Richtlinie einschränken, müssen Sie für jeden erforderlichen Ressourcentyp einen ARN oder ein Muster angeben. Einige Aktionen unterstützen mehrere Ressourcentypen. Wenn der Ressourcentyp optional ist (nicht als erforderlich angegeben), können Sie sich für einen der optionalen Ressourcentypen entscheiden.
Die Spalte Bedingungsschlüssel der Tabelle der Aktionen enthält Schlüssel, die Sie im Element Condition einer Richtlinienanweisung angeben können. Weitere Informationen zu den Bedingungsschlüsseln, die den Ressourcen für den Service zugeordnet sind, finden Sie in der Spalte Bedingungsschlüssel der Tabelle der Ressourcentypen.
Anmerkung
Die Ressourcenbedingungsschlüssel sind in der Tabelle Ressourcentypen enthalten. Sie finden einen Link zu dem Ressourcentyp, der für eine Aktion gilt, in der Spalte Ressourcentypen (*erforderlich) der Tabelle „Aktionen“. Der Ressourcentyp in der Tabelle „Ressourcentypen“ enthält die Spalte Bedingungsschlüssel. Das sind die Ressourcenbedingungsschlüssel, die für eine Aktion in der Tabelle „Aktionen“ gelten.
Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Aktionen
| Aktionen | Beschreibung | Zugriffsebene | Ressourcentypen (*erforderlich) | Bedingungsschlüssel | Abhängige Aktionen |
|---|---|---|---|---|---|
| AddRoleToDBCluster | Gewährt die Berechtigung zum Zuordnen einer Identity and Access Management (IAM)-Rolle von einem Aurora DB-Cluster | Schreiben |
iam:PassRole |
||
| AddRoleToDBInstance | Erteilt die Berechtigung, einer DB-Instance eine AWS Identity and Access Management (IAM) -Rolle zuzuordnen | Schreiben |
iam:PassRole |
||
| AddSourceIdentifierToSubscription | Gewährt die Berechtigung zum Hinzufügen einer Quellkennung zu einem vorhandenen RDS-Ereignisbenachrichtigungsabonnement | Write | |||
| AddTagsToResource | Gewährt die Berechtigung zum Hinzufügen von Metadaten-Tags zu einer Amazon RDS-Ressource | Markieren | |||
| ApplyPendingMaintenanceAction | Gewährt die Berechtigung zum Anwenden einer ausstehenden Wartungsaktion auf eine Ressource | Schreiben | |||
| AuthorizeDBSecurityGroupIngress | Erteilt die Berechtigung, den Zugriff auf eine Datenbank SecurityGroup mithilfe einer von zwei Autorisierungsformen zu ermöglichen | Berechtigungsverwaltung | |||
| BacktrackDBCluster | Gewährt die Berechtigung, einen DB-Cluster bis zu einem bestimmten Zeitpunkt zurückzuverfolgen, ohne einen neuen DB-Cluster zu erstellen | Write | |||
| CancelExportTask | Gewährt die Berechtigung zum Abbrechen einer laufenden Exportaufgabe | Write | |||
| CopyDBClusterParameterGroup | Gewährt die Berechtigung zum Kopieren der angegebenen DB-Cluster-Parametergruppe | Write |
rds:AddTagsToResource |
||
| CopyDBClusterSnapshot | Gewährt die Berechtigung zum Erstellen eines Snapshots eines DB-Clusters | Write |
rds:AddTagsToResource |
||
| CopyDBParameterGroup | Gewährt die Berechtigung zum Kopieren der angegebenen DB-Parametergruppe | Write |
rds:AddTagsToResource |
||
| CopyDBSnapshot | Gewährt die Berechtigung zum Kopieren des angegebenen DB-Snapshots | Write |
rds:AddTagsToResource |
||
| CopyOptionGroup | Gewährt die Berechtigung zum Kopieren der angegebenen Optionsgruppe | Schreiben |
rds:AddTagsToResource |
||
| CreateBlueGreenDeployment | Gewährt die Berechtigung zum Erstellen einer Blau/Grün-Bereitstellung für einen bestimmten Quellcluster oder eine Instance | Schreiben |
rds:AddTagsToResource rds:CreateDBCluster rds:CreateDBClusterEndpoint rds:CreateDBInstance rds:CreateDBInstanceReadReplica |
||
| CreateCustomDBEngineVersion | Gewährt die Berechtigung zum Erstellen einer benutzerdefinierten Engine-Version | Schreiben |
iam:CreateServiceLinkedRole mediaimport:CreateDatabaseBinarySnapshot rds:AddTagsToResource |
||
| CreateDBCluster | Erteilt die Erlaubnis, einen neuen DB-Cluster zu erstellen | Schreiben |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateDBInstance secretsmanager:CreateSecret secretsmanager:TagResource |
||
| CreateDBClusterEndpoint | Erteilt die Erlaubnis, einen neuen benutzerdefinierten Endpunkt zu erstellen und ordnet ihn einem Amazon Aurora Aurora-DB-Cluster oder Amazon DocumentDB-Cluster zu | Schreiben |
rds:AddTagsToResource |
||
| CreateDBClusterParameterGroup | Gewährt die Berechtigung zum Erstellen einer neuen DB-Cluster-Parametergruppe | Write |
rds:AddTagsToResource |
||
| CreateDBClusterSnapshot | Gewährt die Berechtigung zum Erstellen eines Snapshots eines DB-Clusters | Write |
rds:AddTagsToResource |
||
| CreateDBInstance | Gewährt die Berechtigung zum Erstellen einer neuen DB-Instance | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateTenantDatabase secretsmanager:CreateSecret secretsmanager:TagResource |
||
| CreateDBInstanceReadReplica | Gewährt die Berechtigung zum Erstellen einer DB-Instance, die als Read Replica einer Quell-DB-Instance fungiert | Write |
iam:PassRole rds:AddTagsToResource |
||
| CreateDBParameterGroup | Gewährt die Berechtigung zum Erstellen einer neuen DB-Parametergruppe | Write |
rds:AddTagsToResource |
||
| CreateDBProxy | Gewährt die Berechtigung, einen Datenbank-Proxy zu erstellen | Write |
iam:PassRole |
||
| CreateDBProxyEndpoint | Gewährt die Berechtigung zum Erstellen eines Datenbank-Proxy-Endpunkts | Write | |||
| CreateDBSecurityGroup | Gewährt die Berechtigung zum Erstellen einer neuen DB-Sicherheitsgruppe DB-Sicherheitsgruppen steuern den Zugriff auf eine DB-Instance. | Schreiben |
rds:AddTagsToResource |
||
| CreateDBShardGroup | Erteilt die Erlaubnis, eine neue Aurora Limitless Database DB-Shard-Gruppe zu erstellen | Schreiben | |||
| CreateDBSnapshot | Gewährt die Berechtigung zum Erstellen eines DBSnapshots | Write |
rds:AddTagsToResource |
||
| CreateDBSubnetGroup | Gewährt die Berechtigung zum Erstellen einer neuen DB-Subnetzgruppe | Write |
rds:AddTagsToResource |
||
| CreateEventSubscription | Gewährt die Berechtigung zum Erstellen eines RDS-Ereignisbenachrichtigungsabonnements | Schreiben |
rds:AddTagsToResource |
||
| CreateGlobalCluster | Erteilt die Erlaubnis, eine globale Aurora-Datenbank oder eine globale DocumentDB-Datenbank zu erstellen, die über mehrere Regionen verteilt ist | Schreiben | |||
| CreateIntegration | Gewährt die Berechtigung zum Erstellen einer Aurora Null-ETL-Integration mit Redshift | Schreiben |
kms:CreateGrant kms:DescribeKey rds:AddTagsToResource |
||
| CreateOptionGroup | Gewährt die Berechtigung zum Erstellen einer neuen Optionsgruppe | Schreiben |
rds:AddTagsToResource |
||
| CreateTenantDatabase | Gewährt Berechtigungen zum Erstellen einer neuen Tenant-Datenbank | Schreiben |
rds:AddTagsToResource |
||
| CrossRegionCommunication [nur Berechtigung] | Gewährt die Berechtigung für den Zugriff auf eine Ressource in der Remote-Region, wenn regionsübergreifende Produktionen ausgeführt werden, z. B. eine regionsübergreifende Snapshot-Kopie oder eine regionsübergreifende Read Replica-Erstellung | Schreiben | |||
| DeleteBlueGreenDeployment | Gewährt die Berechtigung zum Löschen einer Blau/Grün-Bereitstellung | Schreiben |
rds:DeleteDBCluster rds:DeleteDBClusterEndpoint rds:DeleteDBInstance |
||
| DeleteCustomDBEngineVersion | Gewährt die Berechtigung zum Löschen einer bestehenden benutzerdefinierten Engine-Version | Schreiben | |||
| DeleteDBCluster | Gewährt die Berechtigung zum Löschen eines zuvor bereitgestellten DB-Clusters | Schreiben |
rds:DeleteDBInstance |
||
| DeleteDBClusterAutomatedBackup | Erteilt die Berechtigung zum Löschen automatisierter Cluster-Backups auf der Grundlage des DbClusterResourceId Werts des Quell-Clusters oder der Ressourcen-ID des wiederherstellbaren Clusters | Schreiben | |||
| DeleteDBClusterEndpoint | Erteilt die Berechtigung zum Löschen eines benutzerdefinierten Endpunkts und entfernt ihn aus einem Amazon Aurora Aurora-DB-Cluster oder Amazon DocumentDB-Cluster | Schreiben | |||
| DeleteDBClusterParameterGroup | Gewährt die Berechtigung zum Löschen einer angegebenen DB-Cluster-Parametergruppe | Write | |||
| DeleteDBClusterSnapshot | Gewährt die Berechtigung zum Löschen eines DB-Cluster-Snapshots | Write | |||
| DeleteDBInstance | Gewährt die Berechtigung zum Löschen einer zuvor bereitgestellten DB-Instance | Schreiben |
rds:DeleteTenantDatabase |
||
| DeleteDBInstanceAutomatedBackup | Erteilt die Erlaubnis, automatische Backups auf der Grundlage des DbiResourceId Werts der Quell-Instance oder der Ressourcen-ID der wiederherstellbaren Instance zu löschen | Schreiben | |||
| DeleteDBParameterGroup | Erteilt die Berechtigung zum Löschen einer angegebenen Datenbank ParameterGroup | Schreiben | |||
| DeleteDBProxy | Gewährt die Berechtigung zum Löschen eines Datenbank-Proxys | Write | |||
| DeleteDBProxyEndpoint | Gewährt die Berechtigung zum Löschen eines Datenbank-Proxy-Endpunkts | Write | |||
| DeleteDBSecurityGroup | Gewährt die Berechtigung zum Löschen einer DB-Sicherheitsgruppe | Schreiben | |||
| DeleteDBShardGroup | Erteilt die Berechtigung zum Löschen einer Aurora Limitless Database DB-Shard-Gruppe | Schreiben | |||
| DeleteDBSnapshot | Gewährt die Berechtigung zum Löschen eines DBSnapshot | Write | |||
| DeleteDBSubnetGroup | Gewährt die Berechtigung zum Löschen einer DB-Subnetzgruppe | Write | |||
| DeleteEventSubscription | Gewährt die Berechtigung zum Löschen eines RDS-Ereignisbenachrichtigungsabonnements | Write | |||
| DeleteGlobalCluster | Gewährt die Berechtigung zum Löschen eines globalen Datenbankclusters | Schreiben | |||
| DeleteIntegration | Gewährt die Berechtigung zum Löschen einer Aurora Null-ETL-Integration mit Redshift | Schreiben | |||
| DeleteOptionGroup | Gewährt die Berechtigung zum Löschen einer vorhandenen Optionsgruppe | Schreiben | |||
| DeleteTenantDatabase | Gewährt die Berechtigung zum Löschen einer Tenant-Datenbank | Schreiben | |||
| DeregisterDBProxyTargets | Gewährt die Berechtigung, Ziele aus einer Datenbank-Proxy-Zielgruppe zu entfernen | Write | |||
| DescribeAccountAttributes | Gewährt die Berechtigung, alle Attribute eines Kundenkontos aufzulisten | Auflisten | |||
| DescribeBlueGreenDeployments | Gewährt die Berechtigung zum Beschreiben von Blau/Grün-Bereitstellungen | Auflisten | |||
| DescribeCertificates | Erteilt die Erlaubnis, die von Amazon RDS dafür bereitgestellten CA-Zertifikate aufzulisten AWS-Konto | Auflisten | |||
| DescribeDBClusterAutomatedBackups | Erteilt die Berechtigung zum Zurückgeben einer Liste automatisierter Cluster-Sicherungen für aktuelle und gelöschte Cluster | Auflisten | |||
| DescribeDBClusterBacktracks | Gewährt die Berechtigung zum Zurückgeben von Informationen über Backtracks für einen DB-Cluster | List | |||
| DescribeDBClusterEndpoints | Gewährt die Berechtigung, Informationen zu Endpunkten für einen Amazon Aurora DB-Cluster zurückzugeben | Auflisten | |||
| DescribeDBClusterParameterGroups | Erteilt die Erlaubnis, eine Liste von ClusterParameterGroup DB-Beschreibungen zurückzugeben | Auflisten | |||
| DescribeDBClusterParameters | Gewährt die Berechtigung, die detaillierte Parameterliste für eine bestimmte DB-Cluster-Parametergruppe zurückzugeben | List | |||
| DescribeDBClusterSnapshotAttributes | Gewährt die Berechtigung, eine Liste der Namen und Werte von DB-Cluster-Attributen eines manuellen DB-Cluster-Snapshots zurückzugeben | List | |||
| DescribeDBClusterSnapshots | Gewährt die Berechtigung, Informationen über DB-Cluster-Snapshots zurückzugeben | Auflisten | |||
| DescribeDBClusters | Erteilt die Erlaubnis, Informationen über bereitgestellte Aurora-DB-Cluster oder DocumentDB-Cluster zurückzugeben | Auflisten | |||
| DescribeDBEngineVersions | Gewährt die Berechtigung, eine Liste der verfügbaren DB-Engines zurückzugeben | List | |||
| DescribeDBInstanceAutomatedBackups | Gewährt die Berechtigung zum Zurückgeben einer Liste automatisierter Sicherungen für aktuelle und gelöschte Instances | List | |||
| DescribeDBInstances | Gewährt die Berechtigung zum Rückgeben von Informationen zu bereitgestellten RDS-Instances | List | |||
| DescribeDBLogFiles | Gewährt die Berechtigung, eine Liste von DB-Protokolldateien für die DB-Instance zurückzugeben | Auflisten | |||
| DescribeDBParameterGroups | Erteilt die Erlaubnis, eine Liste mit DB-Beschreibungen zurückzugeben ParameterGroup | Auflisten | |||
| DescribeDBParameters | Gewährt die Berechtigung, die detaillierte Parameterliste für eine bestimmte DB-Parametergruppe zurückzugeben | List | |||
| DescribeDBProxies | Gewährt die Berechtigung zur Anzeige von Proxys | List | |||
| DescribeDBProxyEndpoints | Gewährt die Berechtigung zur Anzeige von Proxy-Endpunkten | List | |||
| DescribeDBProxyTargetGroups | Gewährt die Berechtigung, Datenbank-Proxy-Zielgruppendetails anzuzeigen | List | |||
| DescribeDBProxyTargets | Gewährt die Berechtigung zum Anzeigen von Datenbank-Proxy-Zieldetails | Auflisten | |||
| DescribeDBRecommendations | Gewährt die Berechtigung zum Auflisten von Empfehlungsdetails | Auflisten | |||
| DescribeDBSecurityGroups | Erteilt die Erlaubnis, eine Liste von SecurityGroup DB-Beschreibungen zurückzugeben | Auflisten | |||
| DescribeDBShardGroups | Erteilt die Erlaubnis, Informationen über alle Aurora Limitless Database DB-Shard-Gruppen für dieses Konto zurückzugeben. Sie können nach Shard-Gruppe (n) filtern | Auflisten | |||
| DescribeDBSnapshotAttributes | Gewährt die Berechtigung, eine Liste der Namen und Werte von DB-Snapshot-Attributen eines manuellen DB-Snapshots zurückzugeben | List | |||
| DescribeDBSnapshots | Gewährt die Berechtigung zum Zurückgeben von Informationen über DB-Snapshots | Auflisten | |||
| DescribeDBSubnetGroups | Erteilt die Erlaubnis, eine Liste von SubnetGroup DB-Beschreibungen zurückzugeben | Auflisten | |||
| DescribeDbSnapshotTenantDatabases | Gewährt die Berechtigung zum Zurückgeben von Informationen über Tenant-Datenbanken in DB-Snapshots. Sie können nach Region oder Snapshot filtern | Auflisten | |||
| DescribeEngineDefaultClusterParameters | Gewährt die Berechtigung, die Standard-Engine- und System-Parameterinformationen für die Cluster-Datenbank-Engine zurückzugeben | List | |||
| DescribeEngineDefaultParameters | Gewährt die Berechtigung, die Standard-Engine- und System-Parameterinformationen für die angegebene Datenbank-Engine zurückzugeben | List | |||
| DescribeEventCategories | Gewährt die Berechtigung zum Anzeige einer Liste von Kategorien für alle Ereignisquelltypen oder – falls angegeben – für einen angegebenen Quelltyp | List | |||
| DescribeEventSubscriptions | Gewährt die Berechtigung zum Auflisten aller Abonnementbeschreibungen für ein Kundenkonto | List | |||
| DescribeEvents | Gewährt die Berechtigung, Ereignisse zu DB-Instances, DB-Sicherheitsgruppen, DB-Snapshots und DB-Parametergruppen in den vergangenen 14 Tagen zurückzugeben | List | |||
| DescribeExportTasks | Gewährt die Berechtigung zum Zurückgeben von Informationen zu Exportaufgaben | Auflisten | |||
| DescribeGlobalClusters | Erteilt die Erlaubnis, Informationen über globale Aurora-Datenbankcluster oder globale DocumentDB-Datenbankcluster zurückzugeben | Auflisten | |||
| DescribeIntegrations | Gewährt die Berechtigung zur Beschreibung einer Aurora Null-ETL-Integration mit Redshift | Auflisten | |||
| DescribeOptionGroupOptions | Gewährt die Berechtigung zum Beschreiben aller verfügbaren Optionen | List | |||
| DescribeOptionGroups | Gewährt die Berechtigung zum Beschreiben der verfügbaren Optionsgruppen | List | |||
| DescribeOrderableDBInstanceOptions | Gewährt die Berechtigung, eine Liste der bestellbaren DB-Instance-Optionen für die angegebene Engine zurückzugeben | List | |||
| DescribePendingMaintenanceActions | Gewährt die Berechtigung zum Zurückgeben von einer Liste von Ressourcen (z. B. DB-Instances), für die mindestens eine Wartungsaktion aussteht | Auflisten | |||
| DescribeRecommendationGroups [nur Berechtigung] | Gewährt die Berechtigung zum Erhalten von Informationen zu Empfehlungsgruppen | Lesen | |||
| DescribeRecommendations [nur Berechtigung] | Gewährt die Berechtigung zum Erhalten von Informationen zu Empfehlungen | Lesen | |||
| DescribeReservedDBInstances | Gewährt die Berechtigung, Informationen zu reservierten DB-Instances für dieses Konto oder zur angegebenen reservierten DB-Instance zurückzugeben | List | |||
| DescribeReservedDBInstancesOfferings | Gewährt die Berechtigung, verfügbare reservierte DB-Instance-Angebote aufzulisten | Auflisten | |||
| DescribeSourceRegions | Erteilt die Berechtigung, eine Liste der Quellen zurückzugeben, aus AWS-Regionen der der aktuelle Benutzer eine Read Replica erstellen oder einen DB-Snapshot kopieren AWS-Region kann | Auflisten | |||
| DescribeTenantDatabases | Gewährt die Berechtigung zum Zurückgeben von Informationen über alle bereitgestellten Tenant-Datenbanken. Sie können nach Region oder Snapshot filtern | Auflisten | |||
| DescribeValidDBInstanceModifications | Gewährt die Berechtigung zum Auflisten verfügbarer Änderungen, die Sie an Ihrer DB-Instance vornehmen können | Auflisten | |||
| DisableHttpEndpoint | Gewährt die Berechtigung zum Deaktivieren des HTTP-Endpunkts für einen DB-Cluster | Schreiben | |||
| DownloadCompleteDBLogFile | Gewährt die Berechtigung zum Herunterladen einer bestimmten Protokolldatei | Lesen | |||
| DownloadDBLogFilePortion | Gewährt die Berechtigung zum Herunterladen der gesamten oder eines Teils der angegebenen Protokolldatei mit einer Größe von bis zu 1 MB | Lesen | |||
| EnableHttpEndpoint | Gewährt die Berechtigung zum Aktivieren des HTTP-Endpunkts für einen DB-Cluster | Schreiben | |||
| FailoverDBCluster | Gewährt die Berechtigung zum Erzwingen eines Failovers für einen DB-Cluster | Write | |||
| FailoverGlobalCluster | Gewährt die Berechtigung zum Failover eines globalen Clusters | Schreiben | |||
| ListTagsForResource | Gewährt die Berechtigung zum Auflisten aller Tags auf einer Amazon RDS-Ressource | Lesen | |||
| ModifyActivityStream | Erteilung der Berechtigung zur Änderung eines Datenbankaktivitätsstroms | Schreiben | |||
| ModifyCertificates | Gewährt die Berechtigung zum Ändern des standardmäßigen SSL/TLS-Zertifikats (Secure Sockets Layer/Transport Layer Security) für Amazon RDS für neue DB-Instances | Schreiben | |||
| ModifyCurrentDBClusterCapacity | Erteilt die Erlaubnis, die aktuelle Clusterkapazität für einen Amazon Aurora Serverless DB-Cluster zu ändern | Schreiben | |||
| ModifyCustomDBEngineVersion | Gewährt die Berechtigung zum Ändern einer bestehenden benutzerdefinierten Engine-Version | Schreiben | |||
| ModifyDBCluster | Erteilt die Erlaubnis, eine Einstellung für einen Amazon Aurora Aurora-DB-Cluster oder Amazon DocumentDB-Cluster zu ändern | Schreiben |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:ModifyDBInstance secretsmanager:CreateSecret secretsmanager:RotateSecret secretsmanager:TagResource |
||
| ModifyDBClusterEndpoint | Erteilt die Erlaubnis, die Eigenschaften eines Endpunkts in einem Amazon Aurora-DB-Cluster oder Amazon DocumentDB-Cluster zu ändern | Schreiben | |||
| ModifyDBClusterParameterGroup | Gewährt die Berechtigung zum Ändern der Parameter einer DB-Cluster-Parametergruppe | Write | |||
| ModifyDBClusterSnapshotAttribute | Gewährt die Berechtigung zum Hinzufügen eines Attribut und von Werten zu einem manuellen DB-Cluster-Snapshot, oder entfernt ein Attribut und Werte daraus | Write | |||
| ModifyDBInstance | Gewährt die Berechtigung zum Ändern von Einstellungen für eine DB-Instance | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateTenantDatabase secretsmanager:CreateSecret secretsmanager:RotateSecret secretsmanager:TagResource |
||
| ModifyDBParameterGroup | Gewährt die Berechtigung zum Ändern der Parameter einer DB-Parametergruppe | Write | |||
| ModifyDBProxy | Gewährt die Berechtigung, den Datenbank-Proxy zu ändern | Write |
iam:PassRole |
||
| ModifyDBProxyEndpoint | Gewährt die Berechtigung zum Ändern des Datenbank-Proxy-Endpunkts | Write | |||
| ModifyDBProxyTargetGroup | Gewährt die Berechtigung, die Datenbank-Proxy-Zielgruppe zu ändern | Schreiben | |||
| ModifyDBRecommendation | Gewährt die Berechtigung zum Ändern von Empfehlungen | Schreiben | |||
| ModifyDBShardGroup | Erteilt die Berechtigung, Eigenschaften einer Aurora Limitless Database DB-Shard-Gruppe zu ändern | Schreiben | |||
| ModifyDBSnapshot | Gewährt die Berechtigung zum Aktualisieren eines manuellen DB-Snapshots, der verschlüsselt oder nicht verschlüsselt sein kann, mit einer neuen Engine-Version | Write | |||
| ModifyDBSnapshotAttribute | Gewährt die Berechtigung, einem manuellen DB-Snapshot ein Attribut und Werte hinzufügen, oder entfernt ein Attribut und Werte daraus | Write | |||
| ModifyDBSubnetGroup | Gewährt die Berechtigung zum Ändern einer vorhandenen DB-Subnetzgruppe | Write | |||
| ModifyEventSubscription | Gewährt die Berechtigung zum Ändern eines bestehenden RDS-Ereignisbenachrichtigungsabonnements | Schreiben | |||
| ModifyGlobalCluster | Erteilt die Erlaubnis, eine Einstellung für einen globalen Amazon Aurora Aurora-Cluster oder einen globalen Amazon DocumentDB-Cluster zu ändern | Schreiben | |||
| ModifyIntegration | Erteilt die Erlaubnis, eine Aurora Zero-ETL-Integration mit Redshift zu ändern | Schreiben | |||
| ModifyOptionGroup | Gewährt die Berechtigung zum Ändern einer vorhandenen Optionsgruppe | Schreiben |
iam:PassRole |
||
| ModifyRecommendation [nur Berechtigung] | Gewährt die Berechtigung zum Ändern von Empfehlungen | Schreiben | |||
| ModifyTenantDatabase | Gewährt die Berechtigung zum Ändern einer Tenant-Datenbank | Schreiben | |||
| PromoteReadReplica | Gewährt die Berechtigung zum Heraufstufen einer Read Replica-DB-Instance auf eine eigenständige DB-Instance | Write | |||
| PromoteReadReplicaDBCluster | Gewährt die Berechtigung, einen Read Replica-DB-Cluster auf einen eigenständigen DB-Cluster heraufzustufen | Write | |||
| PurchaseReservedDBInstancesOffering | Gewährt die Berechtigung zum Kauf einer reservierten DB-Instance | Schreiben | |||
| RebootDBCluster | Gewährt die Berechtigung zum Neustarten eines zuvor bereitgestellten DB-Clusters | Schreiben |
rds:RebootDBInstance |
||
| RebootDBInstance | Gewährt die Berechtigung zum Neustart des Datenbank-Engine-Service | Schreiben | |||
| RebootDBShardGroup | Erteilt die Erlaubnis, eine Aurora Limitless Database DB-Shard-Gruppe neu zu starten | Schreiben | |||
| RegisterDBProxyTargets | Gewährt die Berechtigung zum Hinzufügen von Zielen zu einer Datenbank-Proxy-Zielgruppe | Schreiben | |||
| RemoveFromGlobalCluster | Erteilt die Erlaubnis, einen sekundären Aurora-Cluster von einem globalen Aurora-Datenbankcluster oder einem globalen DocumentDB-Cluster zu trennen | Schreiben | |||
| RemoveRoleFromDBCluster | Erteilt die Erlaubnis, eine AWS Identity and Access Management (IAM) -Rolle von einem Amazon Aurora Aurora-DB-Cluster zu trennen | Schreiben |
iam:PassRole |
||
| RemoveRoleFromDBInstance | Erteilt die Berechtigung, eine AWS Identity and Access Management (IAM) -Rolle von einer DB-Instance zu trennen | Schreiben |
iam:PassRole |
||
| RemoveSourceIdentifierFromSubscription | Gewährt die Berechtigung zum Entfernen einer Quellkennung aus einem vorhandenen RDS-Ereignisbenachrichtigungsabonnement | Write | |||
| RemoveTagsFromResource | Gewährt die Berechtigung zum Entfernen von Metadatentags aus einer Amazon RDS-Ressource | Markieren | |||
| ResetDBClusterParameterGroup | Gewährt die Berechtigung zum Ändern der Parameter einer DB-Cluster-Parametergruppe auf den Standardwert | Write | |||
| ResetDBParameterGroup | Gewährt die Berechtigung, die Parameter einer DB-Parametergruppe auf die Standardwerte der Engine/des Systems zurückzusetzen | Write | |||
| RestoreDBClusterFromS3 | Gewährt die Berechtigung zum Erstellen eines Amazon Aurora DB-Clusters aus Daten, die in einem Amazon S3 Bucket gespeichert sind | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource secretsmanager:CreateSecret secretsmanager:TagResource |
||
| RestoreDBClusterFromSnapshot | Gewährt die Berechtigung zum Erstellen eines neuen DB-Clusters aus einem DB-Cluster-Snapshot | Write |
iam:PassRole rds:AddTagsToResource rds:CreateDBInstance |
||
| RestoreDBClusterToPointInTime | Gewährt die Berechtigung zum Wiederherstellen eines DB-Clusters zu einem beliebigen Zeitpunkt | Write |
iam:PassRole rds:AddTagsToResource rds:CreateDBInstance |
||
| RestoreDBInstanceFromDBSnapshot | Gewährt die Berechtigung zum Erstellen einer neuen DB-Instance aus einem DB-Snapshot | Write |
iam:PassRole rds:AddTagsToResource rds:CreateTenantDatabase |
||
| RestoreDBInstanceFromS3 | Gewährt die Berechtigung zum Erstellen einer neuen DB-Instance aus einem Amazon-S3-Bucket | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource secretsmanager:CreateSecret secretsmanager:TagResource |
||
| RestoreDBInstanceToPointInTime | Gewährt die Berechtigung zum Wiederherstellen einer DB-Instance zu einem beliebigen Zeitpunkt | Schreiben |
iam:PassRole rds:AddTagsToResource rds:CreateTenantDatabase |
||
| RevokeDBSecurityGroupIngress | Erteilt die Erlaubnis, Zugriffe aus einer Datenbank SecurityGroup für zuvor autorisierte IP-Bereiche oder EC2- oder VPC-Sicherheitsgruppen zu widerrufen | Schreiben | |||
| StartActivityStream | Gewährt die Berechtigung zum Starten von Aktivity Stream | Schreiben | |||
| StartDBCluster | Gewährt die Berechtigung zum Starten des DB-Clusters | Schreiben | |||
| StartDBInstance | Gewährt die Berechtigung zum Starten der DB-Instance | Schreiben | |||
| StartDBInstanceAutomatedBackupsReplication | Erteilt die Berechtigung, die Replikation automatisierter Backups auf eine andere zu starten AWS-Region | Schreiben | |||
| StartExportTask | Gewährt die Berechtigung zum Starten einer neuen Exportaufgabe für einen DB-Snapshot | Write |
iam:PassRole |
||
| StopActivityStream | Gewährt die Berechtigung zum Beenden von Activity Stream | Write | |||
| StopDBCluster | Gewährt die Berechtigung zum Beenden des DB-Clusters | Write | |||
| StopDBInstance | Gewährt die Berechtigung zum Beenden der DB-Instance | Write | |||
| StopDBInstanceAutomatedBackupsReplication | Gewährt die Berechtigung, die automatisierte Backup-Replikation für eine DB-Instance | Schreiben | |||
| SwitchoverBlueGreenDeployment | Gewährt die Berechtigung zum Wechseln einer Blau/Grün-Bereitstellung von der Quell-Instance oder dem Cluster zur Ziel-Instance | Schreiben |
rds:ModifyDBCluster rds:ModifyDBInstance rds:PromoteReadReplica rds:PromoteReadReplicaDBCluster |
||
| SwitchoverGlobalCluster | Gewährt die Berechtigung zum Umstellen eines globalen Clusters | Schreiben | |||
| SwitchoverReadReplica | Erteilung der Berechtigung zum Umschalten einer Read Replica, wodurch diese zur neuen primären Datenbank wird | Schreiben |
Von Amazon RDS definierte Ressourcentypen
Die folgenden Ressourcentypen werden von diesem Service definiert und können im Element Resource von IAM-Berechtigungsrichtlinienanweisungen verwendet werden. Jede Aktion in der Tabelle „Aktionen“ identifiziert die Ressourcentypen, die mit der Aktion angegeben werden können. Ein Ressourcentyp kann auch definieren, welche Bedingungsschlüssel Sie in einer Richtlinie einschließen können. Diese Schlüssel werden in der letzten Spalte der Tabelle angezeigt. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Resource types (Ressourcen-Typen).
| Ressourcentypen | ARN | Bedingungsschlüssel |
|---|---|---|
| cluster |
arn:${Partition}:rds:${Region}:${Account}:cluster:${DbClusterInstanceName}
|
|
| shardgrp |
arn:${Partition}:rds:${Region}:${Account}:shard-group:${DbShardGroupResourceId}
|
|
| cluster-auto-backup |
arn:${Partition}:rds:${Region}:${Account}:cluster-auto-backup:${DbClusterAutomatedBackupId}
|
|
| auto-backup |
arn:${Partition}:rds:${Region}:${Account}:auto-backup:${DbInstanceAutomatedBackupId}
|
|
| cluster-endpoint |
arn:${Partition}:rds:${Region}:${Account}:cluster-endpoint:${DbClusterEndpoint}
|
|
| cluster-pg |
arn:${Partition}:rds:${Region}:${Account}:cluster-pg:${ClusterParameterGroupName}
|
|
| cluster-snapshot |
arn:${Partition}:rds:${Region}:${Account}:cluster-snapshot:${ClusterSnapshotName}
|
|
| db |
arn:${Partition}:rds:${Region}:${Account}:db:${DbInstanceName}
|
|
| es |
arn:${Partition}:rds:${Region}:${Account}:es:${SubscriptionName}
|
|
| global-cluster |
arn:${Partition}:rds::${Account}:global-cluster:${GlobalCluster}
|
|
| og |
arn:${Partition}:rds:${Region}:${Account}:og:${OptionGroupName}
|
|
| pg |
arn:${Partition}:rds:${Region}:${Account}:pg:${ParameterGroupName}
|
|
| proxy |
arn:${Partition}:rds:${Region}:${Account}:db-proxy:${DbProxyId}
|
|
| proxy-endpoint |
arn:${Partition}:rds:${Region}:${Account}:db-proxy-endpoint:${DbProxyEndpointId}
|
|
| ri |
arn:${Partition}:rds:${Region}:${Account}:ri:${ReservedDbInstanceName}
|
|
| secgrp |
arn:${Partition}:rds:${Region}:${Account}:secgrp:${SecurityGroupName}
|
|
| snapshot |
arn:${Partition}:rds:${Region}:${Account}:snapshot:${SnapshotName}
|
|
| subgrp |
arn:${Partition}:rds:${Region}:${Account}:subgrp:${SubnetGroupName}
|
|
| target-group |
arn:${Partition}:rds:${Region}:${Account}:target-group:${TargetGroupId}
|
|
| cev |
arn:${Partition}:rds:${Region}:${Account}:cev:${Engine}/${EngineVersion}/${CustomDbEngineVersionId}
|
|
| deployment |
arn:${Partition}:rds:${Region}:${Account}:deployment:${BlueGreenDeploymentIdentifier}
|
|
| integration |
arn:${Partition}:rds:${Region}:${Account}:integration:${IntegrationIdentifier}
|
|
| snapshot-tenant-database |
arn:${Partition}:rds:${Region}:${Account}:snapshot-tenant-database:${SnapshotName}:${TenantResourceId}
|
|
| tenant-database |
arn:${Partition}:rds:${Region}:${Account}:tenant-database:${TenantResourceId}
|
Bedingungsschlüssel für Amazon RDS
Amazon RDS definiert die folgenden Bedingungsschlüssel, die im Element Condition einer IAM-Richtlinie verwendet werden können. Diese Schlüssel können Sie verwenden, um die Bedingungen zu verfeinern, unter denen die Richtlinienanweisung angewendet wird. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Bedingungsschlüssel.
Eine Liste der globalen Bedingungsschlüssel, die für alle Services verfügbar sind, finden Sie unter Verfügbare globale Bedingungsschlüssel.
| Bedingungsschlüssel | Beschreibung | Typ |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtert den Zugriff nach dem Satz von Tag-Schlüssel-Wert-Paaren in der Anforderung | String |
| aws:ResourceTag/${TagKey} | Filtert den Zugriff nach Tag-Schlüssel-Wert-Paaren, die der Ressource angefügt sind | String |
| aws:TagKeys | Filtert den Zugriff nach dem Satz von Tag-Schlüsseln in der Anforderung | ArrayOfString |
| rds:BackupTarget | Filtert den Zugriff nach dem Typ des Backup-Ziels. Einer von: REGION, OUTPOSTS | String |
| rds:CopyOptionGroup | Filtert den Zugriff nach dem Wert, der angibt, ob die DB-Optionsgruppe für die CopyDB-Optionsgruppe kopiert werden soll | Bool |
| rds:DatabaseClass | Filtert den Zugriff nach dem Typ der DB-Instance-Klasse | Zeichenfolge |
| rds:DatabaseEngine | Filtert den Zugriff nach dem Datenbank-Engine. Mögliche Werte finden Sie im Engine-Parameter in der CreateDBInstance-API | Zeichenfolge |
| rds:DatabaseName | Filtert den Zugriff nach benutzerdefiniertem Name der Datenbank auf der DB-Instance | Zeichenfolge |
| rds:EndpointType | Filtert den Zugriff nach dem Typ des Endpunkts. Einer der folgenden Typen: READER, WRITER, CUSTOM. | String |
| rds:ManageMasterUserPassword | Filtert den Zugriff nach dem Wert, der angibt, ob RDS das Master-Benutzerkennwort in AWS Secrets Manager für die DB-Instance oder den Cluster verwaltet. | Bool |
| rds:MultiAz | Filtert den Zugriff nach dem Wert, der angibt, ob die DB-Instance in mehreren Availability Zones ausgeführt wird. Legen Sie „true“ fest, um anzugeben, dass die DB-Instance Multi-AZ verwendet | Bool |
| rds:MultiTenant | Filtert den Zugriff nach dem Wert, der angibt, ob sich die DB-Instance in der Multi-Tenant-Konfiguration befindet | String |
| rds:Piops | Filtert den Zugriff nach dem Wert, der die Anzahl der bereitgestellten IOPS (PIOPS) angibt, die von der Instance unterstützt werden. Legen Sie „0“ fest, um anzugeben, dass PIOPS für eine DB-Instance nicht aktiviert ist. | Numerischer Wert |
| rds:StorageEncrypted | Filtert den Zugriff nach dem Wert, der angibt, ob der DB-Instance-Speicher verschlüsselt werden soll. Um die Speicherverschlüsselung durchzusetzen, geben Sie „wahr“ an. | Bool |
| rds:StorageSize | Filtert den Zugriff nach der Größe des Speicher-Volumes (in GB) | Numerischer Wert |
| rds:TenantDatabaseName | Filtert den Zugriff nach dem Namen der Tenant-Datenbank in CreateTenantDatabase und nach dem Namen der neuen Tenant-Datenbank in ModifyTenantDatabase | String |
| rds:Vpc | Filtert den Zugriff nach dem Wert, der angibt, ob die DB-Instance in einer Amazon Virtual Private Cloud (Amazon VPC) ausgeführt wird. Weisen Sie „true“ zu, damit die DB-Instance in einer Amazon-VPC ausgeführt wird. | Bool |
| rds:cluster-pg-tag/${TagKey} | Filtert den Zugriff über das Tag, das einer DB-Cluster-Parametergruppe zugeordnet ist | Zeichenfolge |
| rds:cluster-snapshot-tag/${TagKey} | Filtert den Zugriff über das Tag, das an einem DB-Cluster-Snapshot zugeordnet ist | Zeichenfolge |
| rds:cluster-tag/${TagKey} | Filtert den Zugriff über dass Tag, das einem DB-Cluster zugeordnet ist | Zeichenfolge |
| rds:db-tag/${TagKey} | Filtert den Zugriff über das Tag, das einer DB-Instance zugeordnet ist | Zeichenfolge |
| rds:es-tag/${TagKey} | Filtert den Zugriff über das Tag, das einem Ereignisabonnement zugeordnet ist | Zeichenfolge |
| rds:og-tag/${TagKey} | Filtert den Zugriff über das Tag, das einer DB-Optionsgruppe zugeordnet ist | Zeichenfolge |
| rds:pg-tag/${TagKey} | Filtert den Zugriff über das Tag, das einer DB-Parametergruppe zugeordnet ist | Zeichenfolge |
| rds:req-tag/${TagKey} | Filtert den Zugriff über die Gruppe von Tag-Schlüsseln und -Werten, die verwendet werden können, um eine Ressource zu kennzeichnen | Zeichenfolge |
| rds:ri-tag/${TagKey} | Filtert den Zugriff über das Tag, das einer reservierten DB-Instance zugeordnet ist | Zeichenfolge |
| rds:secgrp-tag/${TagKey} | Filtert den Zugriff über das Tag, das einer DB-Sicherheitsgruppe zugeordnet ist | Zeichenfolge |
| rds:snapshot-tag/${TagKey} | Filtert den Zugriff über das Tag, das einem DB-Snapshot zugeordnet ist | Zeichenfolge |
| rds:subgrp-tag/${TagKey} | Filtert den Zugriff nach dem Tag, das einer DB-Subnetzgruppe angefügt ist. | String |
