Políticas administradas por AWS para Amazon RDS - Amazon Relational Database Service
AmazonRDSReadOnlyAccessAmazonRDSFullAccessAmazonRDSDataFullAccessAmazonRDSEnhancedMonitoringRoleAmazonRDSPerformanceInsightsReadOnlyAmazonRDSPerformanceInsightsFullAccessAmazonRDSDirectoryServiceAccessAmazonRDSServiceRolePolicyAmazonRDSCustomServiceRolePolicyAmazonRDSCustomInstanceProfileRolePolicy

Políticas administradas por AWS para Amazon RDS

Para añadir permisos a conjuntos de permisos y roles, es más fácil utilizar políticas administradas de AWS que escribirlas uno mismo. Se necesita tiempo y experiencia para crear políticas administradas por el cliente de IAM que le brinden a su equipo solo los permisos necesarios. Para comenzar rápidamente, puede utilizar nuestras políticas administradas de AWS. Estas políticas cubren casos de uso comunes y están disponibles en su Cuenta de AWS. Para obtener más información acerca de las políticas administradas de AWS, consulte Políticas administradas de AWS en la Guía del usuario de IAM.

Los Servicios de AWS mantienen y actualizan las políticas administradas por AWS. No puede cambiar los permisos en las políticas administradas de AWS. En ocasiones, los servicios agregan permisos adicionales a una política administrada de AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (conjuntos de permisos y roles) donde se asocia la política. Es más probable que los servicios actualicen una política administrada de AWS cuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no quitan permisos de una política administrada por AWS, por lo que las actualizaciones de políticas no deterioran los permisos existentes.

Además, AWS admite políticas administradas para funciones de trabajo que abarcan varios servicios. Por ejemplo, la política administrada por ReadOnlyAccess AWS proporciona acceso de solo lectura a todos los recursos y a Servicios de AWS. Cuando un servicio lanza una nueva característica, AWS agrega permisos de solo lectura para las operaciones y los recursos nuevos. Para obtener una lista y descripción de las políticas de funciones de trabajo, consulte Políticas administradas de AWS para funciones de trabajo en la Guía del usuario de IAM.

Política administrada por AWS: AmazonRDSReadOnlyAccess

Esta política permite acceso de solo lectura a Amazon RDS mediante la AWS Management Console.

Detalles de los permisos

Esta política incluye los permisos siguientes:

  • rds: permite a las entidades principales describir los recursos de Amazon RDS y enumerar las etiquetas de los recursos de Amazon RDS.

  • cloudwatch: permite a las entidades principales obtener estadísticas de métricas de Amazon CloudWatch.

  • ec2: permite a las entidades principales describir las zonas de disponibilidad y los recursos de red.

  • logs: permite a las entidades principales describir los flujos de registro de CloudWatch Logs de los grupos de registros y obtener eventos de registro de CloudWatch Logs.

  • devops-guru: permite a las entidades principales describir los recursos que incluyen la cobertura de Amazon DevOps Guru, que se especifica mediante nombres de pila o etiquetas de recursos de CloudFormation.

Para obtener más información sobre esta política, incluido el documento de política de JSON, consulte AmazonRDSReadOnlyAccess en la Guía de referencia de políticas administradas de AWS.

Política administrada por AWS: AmazonRDSFullAccess

Esta política proporciona acceso completo a Amazon RDS mediante la AWS Management Console.

Detalles de los permisos

Esta política incluye los permisos siguientes:

  • rds: permite a las entidades principales obtener acceso completo a Amazon RDS.

  • application-autoscaling: permite a las entidades principales describir y administrar los objetivos y las políticas de escalado de Application Auto Scaling.

  • cloudwatch: permite a las entidades principales obtener estadísticas métricas de CloudWatch y administrar alarmas de CloudWatch.

  • ec2: permite a las entidades principales describir las zonas de disponibilidad y los recursos de red.

  • logs: permite a las entidades principales describir los flujos de registro de CloudWatch Logs de los grupos de registros y obtener eventos de registro de CloudWatch Logs.

  • outposts: permite a las entidades principales obtener tipos de instancias AWS Outposts.

  • pi: permite a las entidades principales obtener métricas de Información sobre rendimiento.

  • sns: permite a las entidades principales acceder a las suscripciones y temas de Amazon Simple Notification Service (Amazon SNS), y publicar mensajes de Amazon SNS.

  • devops-guru: permite a las entidades principales describir los recursos que incluyen la cobertura de Amazon DevOps Guru, que se especifica mediante nombres de pila o etiquetas de recursos de CloudFormation.

Para obtener más información sobre esta política, incluido el documento de política de JSON, consulte AmazonRDSFullAccess en la Guía de referencia de políticas administradas de AWS.

Política administrada por AWS: AmazonRDSDataFullAccess

Esta política permite tener acceso completo para utilizar la API de datos y el editor de consultas en los clústeres de Aurora Serverless en una Cuenta de AWS determinada. Esta política permite a la Cuenta de AWS obtener el valor de un secreto de AWS Secrets Manager.

Puede adjuntar la política de AmazonRDSDataFullAccess a las identidades de IAM.

Detalles de los permisos

Esta política incluye los permisos siguientes:

  • dbqms: permite a las entidades principales acceder, crear, eliminar, describir y actualizar consultas. El Database Query Metadata Service (dbqms) es un servicio únicamente interno. Proporciona sus consultas recientes y guardadas para el editor de consultas en la AWS Management Console para varios servicios de Servicios de AWS, incluido Amazon RDS.

  • rds-data: permite a las entidades principales ejecutar instrucciones SQL en bases de datos de Aurora Serverless.

  • secretsmanager: permite a las entidades principales obtener el valor de un secreto de AWS Secrets Manager.

Para obtener más información sobre esta política, incluido el documento de política de JSON, consulte AmazonRDSDataFullAccess en la Guía de referencia de políticas administradas de AWS.

Política administrada por AWS: AmazonRDSEnhancedMonitoringRole

Esta política proporciona acceso a Amazon CloudWatch Logs para Supervisión mejorada de Amazon RDS.

Detalles de los permisos

Esta política incluye los permisos siguientes:

  • logs: permite a las entidades principales crear grupos de registros y políticas de retención de CloudWatch Logs, y crear y describir flujos de registro de CloudWatch Logs de los grupos de registro. También permite a las entidades principales poner y obtener eventos de registro de CloudWatch Logs.

Para obtener más información sobre esta política, incluido el documento de política de JSON, consulte AmazonRDSEnhancedMonitoringRole en la Guía de referencia de políticas administradas de AWS.

Política administrada por AWS: AmazonRDSPerformanceInsightsReadOnly

Esta política proporciona acceso de solo lectura a Información sobre rendimiento de Amazon RDS para instancias de base de datos de Amazon RDS y clústeres de base de datos de Amazon Aurora.

Ahora, esta política incluye Sid (ID de instrucción) como identificador en las instrucciones de la política.

Detalles de los permisos

Esta política incluye los permisos siguientes:

  • rds: permite a las entidades principales describir instancias de base de datos de Amazon RDS y clústeres de base de datos de Amazon Aurora

  • pi: permite a las entidades principales realizar llamadas a la API de Información sobre rendimiento de Amazon RDS y acceder a las métricas de Información sobre rendimiento.

Para obtener más información sobre esta política, incluido el documento de política de JSON, consulte AmazonRDSPerformanceInsightsReadOnly en la Guía de referencia de políticas administradas de AWS.

Política administrada por AWS: AmazonRDSPerformanceInsightsFullAccess

Esta política proporciona acceso completo a Información de rendimiento de Amazon RDS para instancias de base de datos de Amazon RDS y clústeres de base de datos de Amazon Aurora.

Ahora, esta política incluye Sid (ID de instrucción) como identificador en las instrucciones de la política.

Detalles de los permisos

Esta política incluye los permisos siguientes:

  • rds: permite a las entidades principales describir instancias de base de datos de Amazon RDS y clústeres de base de datos de Amazon Aurora

  • pi: permite a los entidades principales realizar llamadas a la API de Información de rendimiento de Amazon RDS y crear, ver y eliminar informes de análisis de rendimiento.

  • cloudwatch: permite a las entidades principales enumerar todas las métricas de Amazon CloudWatch y obtener estadísticas y datos de las métricas.

Para obtener más información sobre esta política, incluido el documento de política de JSON, consulte AmazonRDSPerformanceInsightsFullAccess en la Guía de referencia de políticas administradas de AWS.

Política administrada por AWS: AmazonRDSDirectoryServiceAccess

Esta política permite a Amazon RDS realizar llamadas al AWS Directory Service.

Detalles de los permisos

Esta política incluye el siguiente permiso:

  • ds: permite a las entidades principales describir directorios y autorización de control de AWS Directory Service a los directorios de AWS Directory Service.

Para obtener más información sobre esta política, incluido el documento de política de JSON, consulte AmazonRDSDirectoryServiceAccess en la Guía de referencia de políticas administradas de AWS.

Política administrada por AWS: AmazonRDSServiceRolePolicy

No puede adjuntar la política AmazonRDSServiceRolePolicy a sus entidades de IAM. Esta política está adjunta a un rol vinculado a servicios que permite a Amazon RDS realizar acciones en su nombre. Para obtener más información, consulte Permisos de roles vinculados a servicios de Amazon RDS.

Política administrada por AWS: AmazonRDSCustomServiceRolePolicy

No puede adjuntar la política AmazonRDSCustomServiceRolePolicy a sus entidades de IAM. Esta política está adjunta a un rol vinculado a servicios que permite a Amazon RDS realizar acciones en su nombre. Para obtener más información, consulte Permisos de roles vinculados a servicios para Amazon RDS Custom.

Política administrada de AWS: AmazonRDSCustomInstanceProfileRolePolicy

No debe adjuntar AmazonRDSCustomInstanceProfileRolePolicy a sus entidades IAM. Solo debe adjuntarse a un rol de perfil de instancia que se utilice para conceder permisos a su instancia de base de datos de Amazon RDS Custom para realizar diversas acciones de automatización y tareas de administración de bases de datos. Transfiera el perfil de instancia como parámetro custom-iam-instance-profile durante la creación de la instancia de RDS Custom; RDS Custom asociará este perfil de instancia a su instancia de base de datos.

Detalles de los permisos

Esta política incluye los permisos siguientes:

  • ssm, ssmmessages, ec2messages: permite que RDS Custom se comunique, ejecute la automatización y mantenga a los agentes en la instancia de base de datos a través de Systems Manager.

  • ec2, s3: permite a RDS Custom realizar operaciones de copia de seguridad en la instancia de base de datos, lo que proporciona capacidades de restauración en un momento dado.

  • secretsmanager: permite a RDS Custom gestionar los secretos específicos de la instancia de base de datos creados por RDS Custom.

  • cloudwatch, logs: permite a RDS Custom cargar registros y métricas de instancias de base de datos a CloudWatch a través del agente de CloudWatch.

  • events, sqs: permite a RDS Custom enviar y recibir información de estado sobre la instancia de base de datos.

  • kms: permite a RDS Custom utilizar una clave KMS específica de la instancia para cifrar los secretos y los objetos de S3 que gestiona RDS Custom.

Para obtener más información sobre esta política, lo que incluye el documento de políticas de JSON, consulte AmazonRDSCustomInstanceProfileRolePolicy, en la Guía de referencia de la política administrada de AWS.