AWS politiques gérées pour Amazon RDS - Amazon Relational Database Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS politiques gérées pour Amazon RDS

Pour ajouter des autorisations aux ensembles d'autorisations et aux rôles, il est plus facile d'utiliser des politiques AWS gérées que de les rédiger vous-même. Il faut du temps et de l'expertise pour créer des politiques gérées par le client IAM qui ne fournissent à votre équipe que les autorisations dont elle a besoin. Pour démarrer rapidement, vous pouvez utiliser nos politiques AWS gérées. Ces politiques couvrent des cas d’utilisation courants et sont disponibles dans votre Compte AWS. Pour plus d'informations sur les politiques AWS gérées, voir les politiques AWS gérées dans le guide de l'utilisateur IAM.

Services AWS maintenir et mettre à jour les politiques AWS gérées. Vous ne pouvez pas modifier les autorisations dans les politiques AWS gérées. Les services ajoutent parfois des autorisations supplémentaires à une politique AWS gérée pour prendre en charge de nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (jeux d'autorisations et rôles) auxquelles la politique est attachée. Les services sont plus susceptibles de mettre à jour une politique AWS gérée lorsqu'une nouvelle fonctionnalité est lancée ou lorsque de nouvelles opérations sont disponibles. Les services ne suppriment pas les autorisations d'une politique AWS gérée. Les mises à jour des politiques ne portent donc pas atteinte à vos autorisations existantes.

En outre, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, la politique ReadOnlyAccess AWS gérée fournit un accès en lecture seule à toutes Services AWS les ressources. Lorsqu'un service lance une nouvelle fonctionnalité, il AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir la liste des politiques de fonctions professionnelles et leurs descriptions, consultez la page politiques gérées par AWS pour les fonctions de tâche dans le Guide de l’utilisateur IAM.

AWS politique gérée : AmazonRDS ReadOnlyAccess

Cette politique autorise l'accès en lecture seule à Amazon RDS via le. AWS Management Console

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • rds : permet aux principaux de décrire les ressources Amazon RDS et de dresser la liste des balises pour les ressources Amazon RDS.

  • cloudwatch— Permet aux principaux d'obtenir les statistiques CloudWatch métriques d'Amazon.

  • ec2 : permet aux principaux de décrire les zones de disponibilité et les ressources de réseaux.

  • logs— Permet aux directeurs de décrire les flux de CloudWatch journaux des groupes de journaux et d'obtenir les événements du journal CloudWatch des journaux.

  • devops-guru— Permet aux responsables de décrire les ressources couvertes par Amazon DevOps Guru, qui sont spécifiées soit par des noms de CloudFormation pile, soit par des balises de ressources.

Pour plus d'informations sur cette politique, y compris le document de politique JSON, consultez AmazonRDS ReadOnlyAccess dans le Guide de référence des politiques AWS gérées.

AWS politique gérée : AmazonRDS FullAccess

Cette politique fournit un accès complet à Amazon RDS via le AWS Management Console.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • rds : donne aux principaux un accès complet à Amazon RDS.

  • application-autoscaling : permet aux principaux de décrire et de gérer les cibles et les politiques de scalabilité automatique des applications.

  • cloudwatch— Permet aux directeurs d'obtenir des statistiques CloudWatch métriques et de gérer les CloudWatch alarmes.

  • ec2 : permet aux principaux de décrire les zones de disponibilité et les ressources de réseaux.

  • logs— Permet aux directeurs de décrire les flux de CloudWatch journaux des groupes de journaux et d'obtenir les événements du journal CloudWatch des journaux.

  • outposts— Permet aux principaux d'obtenir des types d' AWS Outposts instances.

  • pi : permet aux principaux d'obtenir les métriques de Performance Insights.

  • sns : permet aux principaux de s'abonner à Amazon Simple Notification Service (Amazon SNS) et à ses rubriques, et de publier des messages Amazon SNS.

  • devops-guru— Permet aux responsables de décrire les ressources couvertes par Amazon DevOps Guru, qui sont spécifiées soit par des noms de CloudFormation pile, soit par des balises de ressources.

Pour plus d'informations sur cette politique, y compris le document de politique JSON, consultez AmazonRDS FullAccess dans le Guide de référence des politiques AWS gérées.

AWS politique gérée : AmazonRDS DataFullAccess

Cette politique permet un accès complet à l'utilisation de l'API de données et de l'éditeur de requêtes sur des Aurora Serverless clusters spécifiques Compte AWS. Cette politique permet d' Compte AWS obtenir la valeur d'un secret auprès de AWS Secrets Manager.

Vous pouvez associer la politique AmazonRDSDataFullAccess à vos identités IAM.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • dbqms : permet aux principaux d'accéder, de créer, de supprimer, de décrire et de mettre à jour des requêtes. Le service dbqms (Database Query Metadata Service, service de métadonnées de requête de base de données) est un service interne uniquement. Il fournit vos requêtes récentes et enregistrées pour l'éditeur de requêtes sur le AWS Management Console for multiple Services AWS, y compris Amazon RDS.

  • rds-data : permet aux principaux d'exécuter des instructions SQL sur les bases de données Aurora Serverless.

  • secretsmanager— Permet aux principaux d'obtenir la valeur d'un secret auprès de AWS Secrets Manager.

Pour plus d'informations sur cette politique, y compris le document de politique JSON, consultez AmazonRDS DataFullAccess dans le Guide de référence des politiques AWS gérées.

AWS politique gérée : AmazonRDS EnhancedMonitoringRole

Cette politique donne accès à Amazon CloudWatch Logs pour Amazon RDS Enhanced Monitoring.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • logs— Permet aux responsables de créer des groupes de CloudWatch journaux et des politiques de conservation, ainsi que de créer et de décrire CloudWatch les flux de journaux des groupes de journaux. Il permet également aux directeurs de mettre et d'obtenir les événements du journal CloudWatch Logs.

Pour plus d'informations sur cette politique, y compris le document de politique JSON, consultez AmazonRDS EnhancedMonitoringRole dans le Guide de référence des politiques AWS gérées.

AWS politique gérée : AmazonRDS PerformanceInsightsReadOnly

Cette politique fournit un accès en lecture seule à l'analyse des performances d'Amazon RDS pour les instances Amazon de base de données RDS et les clusters de base de données Amazon Aurora.

Cette politique inclut désormais Sid (ID d'instruction) comme identifiant pour l'instruction de la politique.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • rds : permet aux principaux de décrire des instances de base de données Amazon RDS et des clusters de base de données Amazon Aurora.

  • pi : permet aux principaux de faire des appels à l'API Analyse des performances d'Amazon RDS et d'accéder aux métriques de Performance Insights.

Pour plus d'informations sur cette politique, y compris le document de politique JSON, consultez AmazonRDS PerformanceInsightsReadOnly dans le Guide de référence des politiques AWS gérées.

AWS politique gérée : AmazonRDS PerformanceInsightsFullAccess

Cette politique fournit un accès complet à l'analyse des performances d'Amazon RDS pour les instances de base de données Amazon RDS et les clusters de base de données Amazon Aurora.

Cette politique inclut désormais Sid (ID d'instruction) comme identifiant pour l'instruction de la politique.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • rds : permet aux principaux de décrire des instances de base de données Amazon RDS et des clusters de base de données Amazon Aurora.

  • pi – Permet aux principaux d'appeler l'API Analyse des performances d'Amazon RDS et de créer, d'afficher et de supprimer des rapports d'analyse des performances.

  • cloudwatch— Permet aux principaux de répertorier toutes les CloudWatch métriques Amazon et d'obtenir des données et des statistiques sur les métriques.

Pour plus d'informations sur cette politique, y compris le document de politique JSON, consultez AmazonRDS PerformanceInsightsFullAccess dans le Guide de référence des politiques AWS gérées.

AWS politique gérée : AmazonRDS DirectoryServiceAccess

Cette politique permet à Amazon RDS d'effectuer des appels vers AWS Directory Service.

Détails des autorisations

Cette politique inclut l'autorisation suivante :

  • ds— Permet aux principaux de décrire les AWS Directory Service répertoires et de contrôler les autorisations accordées aux AWS Directory Service annuaires.

Pour plus d'informations sur cette politique, y compris le document de politique JSON, consultez AmazonRDS DirectoryServiceAccess dans le Guide de référence des politiques AWS gérées.

AWS politique gérée : AmazonRDS ServiceRolePolicy

Vous ne pouvez pas attacher AmazonRDSServiceRolePolicy à vos entités IAM. Cette politique est attachée à un rôle lié à un service qui permet à Amazon RDS d'effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter Autorisations des rôles liés à un service pour Amazon RDS.

AWS politique gérée : AmazonRDS CustomServiceRolePolicy

Vous ne pouvez pas attacher AmazonRDSCustomServiceRolePolicy à vos entités IAM. Cette politique est attachée à un rôle lié à un service qui permet à Amazon RDS d'effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter Autorisations du rôle lié à un service pour Amazon RDS Custom.

AWSpolitique gérée : Instance personnalisée AmazonRDS/Custom ProfileRolePolicy

Ne joignez pas AmazonRDSCustomInstanceProfileRolePolicy à vos entités IAM. Il ne doit être associé qu'à un rôle de profil d'instance utilisé pour accorder des autorisations à votre instance de base de données personnalisée Amazon RDS afin d'effectuer diverses actions d'automatisation et tâches de gestion de base de données. Passez le profil d'instance en tant que custom-iam-instance-profile paramètre lors de la création de l'instance RDS Custom et RDS Custom associe ce profil d'instance à votre instance de base de données.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes :

  • ssmssmmessages, ec2messages ‐ Permet à RDS Custom de communiquer, d'exécuter l'automatisation et de gérer les agents sur l'instance de base de données via Systems Manager.

  • ec2, s3 ‐ Permet à RDS Custom d'effectuer des opérations de sauvegarde sur l'instance de base de données qui fournit des fonctionnalités de point-in-time restauration.

  • secretsmanager‐ Permet à RDS Custom de gérer les secrets spécifiques aux instances de base de données créés par RDS Custom.

  • cloudwatch, logs ‐ Permet à RDS Custom de télécharger les métriques et les journaux de l'instance de base de données CloudWatch via CloudWatch un agent.

  • events, sqs ‐ Permet à RDS Custom d'envoyer et de recevoir des informations d'état concernant l'instance de base de données.

  • kms‐ Permet à RDS Custom d'utiliser une clé KMS spécifique à l'instance pour chiffrer les secrets et les objets S3 gérés par RDS Custom.

Pour plus d'informations sur cette politique, y compris le document de politique JSON, consultez AmazonRDSSustom Instance ProfileRolePolicy dans le Guide de référence des politiques AWS gérées.