Acciones, recursos y claves de condición de Amazon RDS - AWS Identity and Access Management

Acciones, recursos y claves de condición de Amazon RDS

Amazon RDS (prefijo de servicio: rds) proporciona las siguientes claves de contexto de condición, acciones y recursos específicos del servicio para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por Amazon RDS

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. Sin embargo, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Resource types (Tipos de recurso) indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de nivel de recursos en una instrucción mediante esta acción, debe ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Actions Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AddRoleToDBCluster Concede permiso para asociar un rol de AWS Identity and Access Management (IAM) desde un clúster de base de datos de Aurora Escritura

cluster*

iam:PassRole

AddRoleToDBInstance Concede permiso para asociar un rol de AWS Identity and Access Management (IAM) a una instancia de base de datos Escritura

db*

iam:PassRole

AddSourceIdentifierToSubscription Concede permiso para agregar un identificador de origen a una suscripción de notificación de eventos RDS existente Escritura

es*

AddTagsToResource Concede permiso para agregar etiquetas de metadatos a un recurso de Amazon RDS Etiquetado

db

es

og

pg

proxy

ri

secgrp

snapshot

subgrp

target-group

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

ApplyPendingMaintenanceAction Concede permiso para aplicar una acción de mantenimiento pendiente a un recurso Escritura

cluster

db

AuthorizeDBSecurityGroupIngress Concede permiso para habilitar la entrada a un DBSecurityGroup mediante una de las dos formas de autorización Administración de permisos

secgrp*

BacktrackDBCluster Concede permiso para realizar un seguimiento de un clúster de base de datos a una hora específica, sin crear un nuevo clúster de base de datos Escritura

cluster*

CancelExportTask Concede permiso para cancelar una tarea de exportación en curso Escritura
CopyDBClusterParameterGroup Concede permiso para copiar el grupo de parámetros de clúster de base de datos especificado Escritura

cluster-pg*

aws:RequestTag/${TagKey}

aws:TagKeys

CopyDBClusterSnapshot Concede permiso para crear una instantánea de un clúster de base de datos Escritura

cluster-snapshot*

aws:RequestTag/${TagKey}

aws:TagKeys

CopyDBParameterGroup Concede permiso para copiar el grupo de parámetros de base de datos especificado Escritura

pg*

aws:RequestTag/${TagKey}

aws:TagKeys

CopyDBSnapshot Concede permiso para copiar la instantánea de base de datos especificada Escritura

snapshot*

aws:RequestTag/${TagKey}

aws:TagKeys

CopyOptionGroup Concede permiso para copiar el grupo de opciones especificado Escritura

og*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDBCluster Concede permiso para crear un nuevo clúster de base de datos de Amazon Aurora Escritura

cluster*

iam:PassRole

cluster-pg*

og*

subgrp*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:DatabaseEngine

rds:DatabaseName

rds:StorageEncrypted

CreateDBClusterEndpoint Concede permiso para crear un nuevo punto de enlace personalizado y lo asocia con un clúster de base de datos de Amazon Aurora Escritura

cluster*

cluster-endpoint*

rds:EndpointType

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDBClusterParameterGroup Concede permiso para crear un nuevo grupo de parámetros de clúster de base de datos Escritura

cluster-pg*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBClusterSnapshot Concede permiso para crear una instantánea de un clúster de base de datos Escritura

cluster*

cluster-snapshot*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBInstance Concede permiso para crear un nuevo dominio de base de datos Escritura

db*

iam:PassRole

og*

pg*

secgrp*

subgrp*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBInstanceReadReplica Concede permiso para crear una instancia de base de datos que actúe como réplica de lectura de una instancia de base de datos de origen Escritura

db*

iam:PassRole

og*

subgrp*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBParameterGroup Concede permiso para crear un nuevo grupo de parámetros de base de datos Escritura

pg*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBProxy Concede permiso para crear un proxy de base de datos. Escritura

aws:RequestTag/${TagKey}

aws:TagKeys

iam:PassRole

CreateDBSecurityGroup Concede permiso para crear un grupo de seguridad de base de datos Los grupos de seguridad de base de datos controlan el acceso a la instancia de base de datos. Escritura

secgrp*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBSnapshot Concede permiso para crear un DBSnapshot Escritura

db*

snapshot*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBSubnetGroup Concede permiso para crear un nuevo grupo de subred de base de datos Escritura

subgrp*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateEventSubscription Concede permiso para crear una suscripción de notificación de eventos RDS Escritura

es*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateGlobalCluster Concede permiso para crear una base de datos global de Aurora distribuida en varias regiones Escritura

cluster*

global-cluster*

CreateOptionGroup Concede permiso para crear un nuevo grupo de opción Escritura

og*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CrossRegionCommunication [solo permiso] Concede permiso para acceder a un recurso en la región remota al ejecutar operaciones entre regiones, como copia de instantáneas entre regiones o creación de réplicas de lectura entre regiones Escritura
DeleteDBCluster Concede permiso para eliminar un clúster de base de datos aprovisionado anteriormente Escritura

cluster*

cluster-snapshot*

DeleteDBClusterEndpoint Concede permiso para eliminar un punto de enlace personalizado y lo elimina de un clúster de base de datos de Amazon Aurora Escritura

cluster-endpoint*

DeleteDBClusterParameterGroup Concede permiso para eliminar un grupo de parámetros de clúster de DB especificado Escritura

cluster-pg*

DeleteDBClusterSnapshot Concede permiso para eliminar una instantánea de clúster de base de datos Escritura

cluster-snapshot*

DeleteDBInstance Concede permiso para eliminar un clúster aprovisionado anteriormente Escritura

db*

DeleteDBInstanceAutomatedBackup Concede permiso para eliminar las copias de seguridad automatizadas en función del valor DbiResourceId de la instancia de origen o el ID del recurso de la instancia que se puede restaurar. Escritura
DeleteDBParameterGroup Concede permisos para eliminar un DBParameterGroup especificado Escritura

pg*

DeleteDBProxy Concede permiso para eliminar un proxy de base de datos. Escritura

proxy*

DeleteDBSecurityGroup Concede permiso para eliminar un grupo de seguridad de base de datos Escritura

secgrp*

DeleteDBSnapshot Concede permiso para eliminar un DBSnapshot Escritura

snapshot*

DeleteDBSubnetGroup Concede permiso para eliminar un grupo de subredes de base de datos Escritura

subgrp*

DeleteEventSubscription Concede permiso para eliminar una suscripción de notificación de eventos de RDS Escritura

es*

DeleteGlobalCluster Concede permiso para eliminar un clúster de base de datos global Escritura

global-cluster*

DeleteOptionGroup Concede permisos para eliminar una opción de grupo existente Escritura

og*

DeregisterDBProxyTargets Otorga permiso para eliminar destinos de un grupo de destino de proxy de base de datos Escritura

cluster*

db*

proxy*

target-group*

DescribeAccountAttributes Concede permiso para enumerar todos los atributos de una cuenta de cliente List
DescribeCertificates Enumera el conjunto de certificados de CA proporcionados por Amazon RDS para esta cuenta de AWS. List
DescribeDBClusterBacktracks Concede permiso para devolver información sobre pistas de retroceso para un clúster de base de datos List

cluster*

DescribeDBClusterEndpoints Concede permiso para devolver información sobre los puntos de enlace de un clúster de base de datos de Amazon Aurora List

cluster-endpoint*

cluster

DescribeDBClusterParameterGroups Concede permiso para devolver una lista de descripciones DBClusterParameterGroup List

cluster-pg*

DescribeDBClusterParameters Concede permiso para devolver la lista de parámetros detallada para un grupo de parámetros de clúster de base de datos determinado List

cluster-pg*

DescribeDBClusterSnapshotAttributes Concede permiso para devolver una lista de nombres y valores de atributos de instantáneas de clúster de base de datos para una instantánea manual de clúster de base de datos List

cluster-snapshot*

DescribeDBClusterSnapshots Concede permiso para devolver información sobre instantáneas de clúster de base de datos List

cluster-snapshot*

DescribeDBClusters Concede permiso para devolver información acerca de los clústeres de Aurora DB aprovisionados List

cluster*

DescribeDBEngineVersions Concede permiso para devolver una lista de los motores de base de datos disponibles List
DescribeDBInstanceAutomatedBackups Concede permiso para devolver una lista de copias de seguridad automatizadas para instancias actuales y eliminadas List

db

DescribeDBInstances Concede permiso para devolver información acerca de instancias RDS aprovisionadas List

db*

DescribeDBLogFiles Concede permiso para devolver una lista de archivos de registro de base de datos para la instancia de base de datos List

db*

DescribeDBParameterGroups Concede permiso para devolver una lista de descripciones de DBParameterGroup List

pg*

DescribeDBParameters Concede permiso para devolver la lista de parámetros detallada para un grupo de parámetros de base de datos concreto List

pg*

DescribeDBProxies Otorga permiso para ver proxies. List

proxy*

DescribeDBProxyTargetGroups Otorga permiso para ver los detalles del grupo de destino del proxy de base de datos. List

proxy*

DescribeDBProxyTargets Otorga permiso para ver los detalles de destino del proxy de la base de datos. List

cluster*

db*

proxy*

target-group*

DescribeDBSecurityGroups Concede permiso para devolver una lista de descripciones de DBSecurityGroup List

secgrp*

DescribeDBSnapshotAttributes Concede permiso para devolver una lista de nombres y valores de atributos de instantánea de base de datos para una instantánea de base de datos manual List

snapshot*

DescribeDBSnapshots Concede permiso para devolver información acerca de instantáneas de bases de datos List

snapshot*

db

DescribeDBSubnetGroups Concede permiso para devolver una lista de descripciones de DBSubnetGroup List

subgrp*

DescribeEngineDefaultClusterParameters Concede permiso para devolver información del parámetro del sistema y motor predeterminada para el motor de base de datos del clúster List
DescribeEngineDefaultParameters Concede permiso para devolver información predeterminada del motor y el sistema para el motor de base de datos especificado List
DescribeEventCategories Concede permiso para mostrar una lista de categorías de todos los tipos de origen de eventos o, si se especifica, para tipo de origen especificado List
DescribeEventSubscriptions Concede permiso para enumerar todas las descripciones de suscripción de una cuenta de cliente List

es*

DescribeEvents Concede permiso para devolver eventos relacionados con las instancias grupos de seguridad, instantáneas y grupos de parámetros de base de datos de los últimos 14 días List
DescribeExportTasks Concede permiso para devolver información acerca de las tareas exportadas List
DescribeGlobalClusters Concede permiso para devolver información sobre clústeres de bases de datos globales de Aurora List

global-cluster*

DescribeOptionGroupOptions Concede permiso para describir todas las opciones disponibles List

og*

DescribeOptionGroups Concede permiso para describir los grupos de opciones disponibles List

og*

DescribeOrderableDBInstanceOptions Concede permiso para devolver una lista de opciones de instancia de base de datos ordenables para el motor especificado List
DescribePendingMaintenanceActions Concede permiso para devolver una lista de recursos (por ejemplo, instancias de base de datos) que tienen al menos una acción de mantenimiento pendiente List

cluster

db

DescribeReservedDBInstances Concede permiso para devolver información acerca de las instancias de base de datos reservadas para esta cuenta o sobre una instancia de base de datos reservada especificada List

ri*

DescribeReservedDBInstancesOfferings Concede permiso para enumerar ofertas de instancias de base de datos reservadas List
DescribeSourceRegions Concede permiso para devolver una lista del origen las regiones de AWS donde la región de AWS actual puede crear una réplica de lectura o copiar una instantánea de base de datos List
DescribeValidDBInstanceModifications Concede permiso para enumerar las modificaciones disponibles que puede realizar en su instancia de base de datos List

db*

DownloadDBLogFilePortion Concede permiso para descargar todo o una parte del archivo de registro especificado, con un tamaño de hasta 1 MB Lectura

db*

FailoverDBCluster Concede permiso para forzar una conmutación por error para un clúster de base de datos Escritura

cluster*

ListTagsForResource Concede permiso para publicar todas las etiquetas de un recurso de Amazon RDS Lectura

db

es

og

pg

proxy

ri

secgrp

snapshot

subgrp

target-group

ModifyCurrentDBClusterCapacity Concede permiso para modificar la capacidad actual de un clúster de base de datos sin servidor de Amazon Aurora Escritura

cluster*

ModifyDBCluster Concede permiso para modificar una configuración para un clúster de base de datos de Amazon Aurora Escritura

cluster*

iam:PassRole

cluster-pg*

og*

ModifyDBClusterEndpoint Concede permiso para modificar las propiedades de un punto de enlace en un clúster de base de datos de Amazon Aurora Escritura

cluster-endpoint*

ModifyDBClusterParameterGroup Concede permiso para modificar los parámetros de un grupo de parámetros Escritura

cluster-pg*

ModifyDBClusterSnapshotAttribute Concede permiso para agregar un atributo y valores a una instantánea de clúster de base de datos manual o los quita de ella Escritura

cluster-snapshot*

ModifyDBInstance Concede permiso para modificar la configuración de una instancia de base de datos Escritura

db*

iam:PassRole

og*

pg*

secgrp*

ModifyDBParameterGroup Concede permiso para modificar los parámetros de un grupo de parámetros de base de datos Escritura

pg*

ModifyDBProxy Otorga permiso para modificar el proxy de la base de datos. Escritura

proxy*

iam:PassRole

ModifyDBProxyTargetGroup Otorga permiso para modificar el grupo de destino para un proxy de base de datos. Escritura

target-group*

ModifyDBSnapshot Concede permiso para actualizar una instantánea de base de datos manual, que puede estar cifrada o sin cifrar, con una nueva versión del motor Escritura

snapshot*

ModifyDBSnapshotAttribute Concede permiso para agregar un atributo y valores a una instantánea de base de datos manual o los quita de ella Escritura

snapshot*

ModifyDBSubnetGroup Concede permiso para modificar un grupo de subredes de base de datos existente Escritura

subgrp*

ModifyEventSubscription Concede permiso para modificar una suscripción de notificación de eventos de RDS existente Escritura

es*

ModifyGlobalCluster Concede permiso para modificar una configuración para un clúster global de Amazon Aurora Escritura

global-cluster*

ModifyOptionGroup Concede permiso para modificar una opción de grupo existente Escritura

og*

iam:PassRole

PromoteReadReplica Concede permiso para promover una instancia de base de datos de réplica de lectura a una instancia de base de datos Escritura

db*

PromoteReadReplicaDBCluster Concede permiso para promover un clúster de base de datos de réplica de lectura a un clúster de base de datos Escritura

cluster*

PurchaseReservedDBInstancesOffering Concede permiso para comprar una oferta de instancia de base de datos reservada Escritura

ri*

aws:RequestTag/${TagKey}

aws:TagKeys

RebootDBInstance Concede permiso para reiniciar el servicio del motor de base Escritura

db*

RegisterDBProxyTargets Otorga permiso para agregar destinos a un grupo de destino de proxy de base de datos. Escritura

target-group*

RemoveFromGlobalCluster Concede permiso para separar un clúster secundario de Aurora de un clúster de base de datos global de Aurora Escritura

cluster*

global-cluster*

RemoveRoleFromDBCluster Concede permiso para desasociar un rol de AWS Identity and Access Management (IAM) de un clúster de base de datos de Amazon Aurora Escritura

cluster*

iam:PassRole

RemoveRoleFromDBInstance Concede permiso para desasociar un rol de AWS Identity and Access Management (IAM) de una instancia de base de datos Escritura

db*

iam:PassRole

RemoveSourceIdentifierFromSubscription Concede permiso para quitar un identificador de origen de una suscripción de notificación de eventos RDS existente Escritura

es*

RemoveTagsFromResource Concede permiso para eliminar etiquetas de metadatos de un recurso de Amazon RDS Etiquetado

db

es

og

pg

proxy

ri

secgrp

snapshot

subgrp

target-group

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

ResetDBClusterParameterGroup Concede permiso para modificar los parámetros de un grupo de parámetros de clúster de base de datos al valor predeterminado Escritura

cluster-pg*

ResetDBParameterGroup Concede permiso para modificar los parámetros de un grupo de parámetros de base de datos al valor predeterminado del motor/sistema Escritura

pg*

RestoreDBClusterFromS3 Concede permiso para crear un clúster de base de datos de Amazon Aurora a partir de datos almacenados en un bucket de Amazon S3 Escritura

cluster*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:DatabaseEngine

rds:DatabaseName

rds:StorageEncrypted

RestoreDBClusterFromSnapshot Concede permiso para crear un nuevo clúster de base de datos a partir de una instantánea de clúster de base de datos Escritura

cluster*

iam:PassRole

cluster-snapshot*

og*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

RestoreDBClusterToPointInTime Concede permiso para restaurar un clúster de base de datos a un punto en el tiempo arbitrario Escritura

cluster*

iam:PassRole

og*

subgrp*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

RestoreDBInstanceFromDBSnapshot Concede permiso para crear una nueva instancia de base de datos desde una instantánea de base de datos Escritura

db*

iam:PassRole

og*

snapshot*

subgrp*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

RestoreDBInstanceFromS3 Concede permiso para crear una nueva instancia de base de datos a partir de un bucket de Amazon S3 Escritura

db*

iam:PassRole

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

RestoreDBInstanceToPointInTime Concede permiso para restaurar una instancia de base de datos a un punto en el tiempo arbitrario Escritura

db*

iam:PassRole

og*

subgrp*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

RevokeDBSecurityGroupIngress Concede permiso para revocar la entrada desde un DBSecurityGroup para intervalos IP autorizados previamente o EC2 o grupos de seguridad de la VPC Escritura

secgrp*

StartActivityStream Concede permiso para iniciar una secuencia de actividades Escritura

cluster*

StartDBCluster Inicia el clúster de base de datos. Escritura

cluster*

StartDBInstance Concede permiso para iniciar la instancia de base de datos Escritura

db*

StartExportTask Concede permiso para iniciar una nueva tarea de exportación para una instantánea de base de datos Escritura

iam:PassRole

StopActivityStream Concede permiso para detener una secuencia de actividad Escritura

cluster*

StopDBCluster Concede permiso para detener el clúster de base de datos Escritura

cluster*

StopDBInstance Concede permiso para detener la instancia de base de datos Escritura

db*

Tipos de recurso definidos por Amazon RDS

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recurso que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición
cluster arn:${Partition}:rds:${Region}:${Account}:cluster:${DbClusterInstanceName}

aws:ResourceTag/${TagKey}

rds:cluster-tag/${TagKey}

cluster-endpoint arn:${Partition}:rds:${Region}:${Account}:cluster-endpoint:${DbClusterEndpoint}

aws:ResourceTag/${TagKey}

cluster-pg arn:${Partition}:rds:${Region}:${Account}:cluster-pg:${ClusterParameterGroupName}

aws:ResourceTag/${TagKey}

rds:cluster-pg-tag/${TagKey}

cluster-snapshot arn:${Partition}:rds:${Region}:${Account}:cluster-snapshot:${ClusterSnapshotName}

aws:ResourceTag/${TagKey}

rds:cluster-snapshot-tag/${TagKey}

db arn:${Partition}:rds:${Region}:${Account}:db:${DbInstanceName}

aws:ResourceTag/${TagKey}

rds:DatabaseClass

rds:DatabaseEngine

rds:DatabaseName

rds:MultiAz

rds:Piops

rds:StorageEncrypted

rds:StorageSize

rds:Vpc

rds:db-tag/${TagKey}

es arn:${Partition}:rds:${Region}:${Account}:es:${SubscriptionName}

aws:ResourceTag/${TagKey}

rds:es-tag/${TagKey}

global-cluster arn:${Partition}:rds::${Account}:global-cluster:${GlobalCluster}
og arn:${Partition}:rds:${Region}:${Account}:og:${OptionGroupName}

aws:ResourceTag/${TagKey}

rds:og-tag/${TagKey}

pg arn:${Partition}:rds:${Region}:${Account}:pg:${ParameterGroupName}

aws:ResourceTag/${TagKey}

rds:pg-tag/${TagKey}

proxy arn:${Partition}:rds:${Region}:${Account}:db-proxy:${DbProxyId}

aws:ResourceTag/${TagKey}

ri arn:${Partition}:rds:${Region}:${Account}:ri:${ReservedDbInstanceName}

aws:ResourceTag/${TagKey}

rds:ri-tag/${TagKey}

secgrp arn:${Partition}:rds:${Region}:${Account}:secgrp:${SecurityGroupName}

aws:ResourceTag/${TagKey}

rds:secgrp-tag/${TagKey}

snapshot arn:${Partition}:rds:${Region}:${Account}:snapshot:${SnapshotName}

aws:ResourceTag/${TagKey}

rds:snapshot-tag/${TagKey}

subgrp arn:${Partition}:rds:${Region}:${Account}:subgrp:${SubnetGroupName}

aws:ResourceTag/${TagKey}

rds:subgrp-tag/${TagKey}

target arn:${Partition}:rds:${Region}:${Account}:target:${TargetId}
target-group arn:${Partition}:rds:${Region}:${Account}:target-group:${TargetGroupId}

aws:ResourceTag/${TagKey}

Claves de condición de Amazon RDS

Amazon RDS define las siguientes claves de condición que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra acciones en función de la presencia de pares de clave-valor de etiqueta en la solicitud Cadena
aws:ResourceTag/${TagKey} Filtra el acceso en función de pares de clave-valor asociados al recurso Cadena
aws:TagKeys Filtra el acceso en función de la presencia de claves de etiqueta en la solicitud Cadena
rds:DatabaseClass Filtra el acceso por el tipo de clase de instancia de base de datos Cadena
rds:DatabaseEngine Filtra el acceso por el motor de la base de datos. Para obtener valores posibles, consulte el parámetro del motor en la API CreateDBInstance Cadena
rds:DatabaseName Filtra el acceso por el nombre definido por el usuario de la base de datos en la instancia de base de datos Cadena
rds:EndpointType Filtra el acceso según el tipo de punto de enlace Puede ser: READER, WRITER, CUSTOM (lectura, escritura, personalizado) Cadena
rds:MultiAz Filtra el acceso por un valor que especifica si la instancia de base de datos se ejecuta en varias zonas de disponibilidad Para indicar que la instancia de base de datos está utilizando Multi-AZ, especifique true Booleano
rds:Piops Filtra el acceso por un valor que contiene el número de IOPS provisionadas (PIOPS) compatible con la instancia Para indicar una instancia de base de datos que no tenga PIOPS habilitado, especifique 0 Numérico
rds:StorageEncrypted Filtra el acceso por un valor que especifica si el almacenamiento de la instancia de base de datos debe cifrarse Para aplicar el cifrado de almacenamiento, especifique true Booleano
rds:StorageSize Filtra el acceso según el tamaño del volumen de almacenamiento (en GB) Numérico
rds:Vpc Filtra el acceso por un valor que especifica si la instancia de base de datos se ejecuta en una Amazon Virtual Private Cloud (Amazon VPC) Para indicar que la instancia de base de datos se ejecuta en una Amazon VPC; especifique true Booleano
rds:cluster-pg-tag/${TagKey} Filtra el acceso por la etiqueta asociada a un grupo de parámetros de clúster de base de datos Cadena
rds:cluster-snapshot-tag/${TagKey} Filtra el acceso por la etiqueta adjunta a una instantánea de clúster de base de datos Cadena
rds:cluster-tag/${TagKey} Filtra el acceso por la etiqueta adjunta a un clúster de base de datos Cadena
rds:db-tag/${TagKey} Filtra el acceso por la etiqueta adjunta a una instancia de base de datos Cadena
rds:es-tag/${TagKey} Filtra el acceso por la etiqueta adjunta a una suscripción de evento Cadena
rds:og-tag/${TagKey} Filtra el acceso por la etiqueta adjunta a un grupo de opciones de base de datos Cadena
rds:pg-tag/${TagKey} Filtra el acceso por la etiqueta adjunta a un grupo de parámetros de base de datos Cadena
rds:req-tag/${TagKey} Filtra el acceso por el conjunto de claves y valores de etiquetas que se pueden usar para etiquetar un recurso Cadena
rds:ri-tag/${TagKey} Filtra el acceso por la etiqueta adjunta a una instancia de base de datos reservada Cadena
rds:secgrp-tag/${TagKey} Filtra el acceso por la etiqueta adjunta a un grupo de seguridad de base de datos Cadena
rds:snapshot-tag/${TagKey} Filtra el acceso por la etiqueta adjunta a una instantánea de base de datos Cadena
rds:subgrp-tag/${TagKey} Filtra el acceso por la etiqueta adjunta a un grupo de subred de base de datos Cadena