Amazon Relational Database Service
Guide de l'utilisateur (Version de l'API 2014-10-31)

Comment Amazon RDS fonctionne avec IAM

Avant d'utiliser IAM pour gérer l'accès à Amazon RDS, vous devez comprendre quelles sont les fonctions IAM disponibles à utiliser avec Amazon RDS. Pour obtenir une vue d'ensemble de la façon dont Amazon RDS et d'autres services AWS fonctionnent avec IAM, consultez Services AWS qui fonctionnent avec IAM dans le IAM Guide de l'utilisateur.

Stratégies basées sur l'identité Amazon RDS

Avec les stratégies basées sur une identité IAM, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Amazon RDS prend en charge des actions, ressources et clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une stratégie JSON, consultez Références des éléments de stratégie JSON IAM dans le IAM Guide de l'utilisateur.

Actions

L'élément Action d'une stratégie basée sur une identité IAM décrit les actions spécifiques qui seront autorisées ou refusées par la stratégie. Les actions de stratégie possèdent généralement le même nom que l'opération d'API AWS associée. L'action est utilisée dans une stratégie pour permettre d'effectuer l'opération associée.

Les actions de stratégie dans Amazon RDS utilisent le préfixe suivant avant l'action : rds:. Par exemple, pour accorder à une personne l'autorisation de décrire les instances de base de données à l'aide de l'opération d'API Amazon RDSDescribeDBInstances , vous incluez l'action rds:DescribeDBInstances dans sa stratégie. Les déclarations de stratégie doivent inclure un élément Action ou NotAction. Amazon RDS définit son propre ensemble d'actions qui décrivent les tâches que vous pouvez effectuer avec ce service.

Pour spécifier plusieurs actions dans une seule déclaration, séparez-les par des virgules comme suit :

"Action": [ "rds:action1", "rds:action2"

Vous pouvez aussi spécifier plusieurs actions à l'aide de caractères génériques (*). Par exemple, pour spécifier toutes les actions qui commencent par le mot Describe, incluez l'action suivante :

"Action": "rds:Describe*"

Pour afficher la liste des actions Amazon RDS, veuillez consulter Actions définies par Amazon RDS dans le IAM Guide de l'utilisateur.

Ressources

L'élément Resource spécifie les objets auxquels l'action s'applique. Les instructions doivent inclure un élément Resource ou NotResource. Vous spécifiez une ressource à l'aide d'un ARN ou du caractère générique (*) pour indiquer que l'instruction s'applique à toutes les ressources.

La ressource d'instance de base de données possède l'ARN suivant :

arn:${Partition}:rds:${Region}:${Account}:{ResourceType}/${Resource}

(Pour plus d'informations sur le format des ARN, consultez Noms ARN (Amazon Resource Name) et espaces de noms du service AWS.

Par exemple, pour spécifier l'instance de base de données dbtest dans votre instruction, utilisez l'ARN suivant :

"Resource": "arn:aws:rds:us-west-2:123456789012:db:dbtest"

Pour spécifier toues les instances qui appartiennent à un compte spécifique, utilisez le caractère générique (*) :

"Resource": "arn:aws:ec2:us-east-1:123456789012:db:*"

Certaines actions d'API RDS, telles que la création de ressources, ne peuvent pas être exécutées sur une ressource spécifique. Dans ces cas-là, vous devez utiliser le caractère générique (*).

"Resource": "*"

De nombreuses actions d'API Amazon RDS nécessitent plusieurs ressources. Par exemple, CreateDBInstance crée une instance de base de données. Vous pouvez spécifier qu'un utilisateur IAM doit utiliser un groupe de sécurité spécifique et un groupe de paramètres lors de la création d'une instance de base de données. Pour spécifier plusieurs ressources dans une seule instruction, séparez leurs ARN par des virgules.

"Resource": [ "resource1", "resource2"

Pour voir la liste des types de ressources Amazon RDS et de leurs ARN, consultez Ressources définies par Amazon RDS dans le IAM Guide de l'utilisateur. Pour en savoir plus sur les actions avec lesquelles vous pouvez spécifier l'ARN de chaque ressource, consultez Actions définies par Amazon RDS.

Clés de condition

L'élément Condition (ou le bloc Condition) vous permet de spécifier des conditions lorsqu’une instruction est appliquée. L'élément Condition est facultatif. Vous pouvez créer des expressions conditionnelles qui utilisent des opérateurs de condition, comme égal ou inférieur, pour faire correspondre la condition de la stratégie aux valeurs de la demande.

Si vous spécifiez plusieurs éléments Condition dans une instruction, ou plusieurs clés dans un seul élément Condition, AWS les évalue à l'aide d'une opération AND logique. Si vous spécifiez plusieurs valeurs pour une seule clé de condition, AWS évalue la condition à l'aide d'une opération OR logique. Toutes les conditions doivent être remplies avant que les autorisations associées à l’instruction ne soient accordées.

Vous pouvez aussi utiliser des variables d’espace réservé quand vous spécifiez des conditions. Par exemple, vous pouvez accorder à un utilisateur IAM l'autorisation d'accéder à une ressource uniquement si elle est balisée avec son nom d’utilisateur IAM . Pour de plus amples informations, veuillez consulter Éléments des stratégies IAM : variables et balises dans le Guide de l'utilisateur IAM.

Amazon RDS définit son propre ensemble de clés de condition et prend également en charge l'utilisation des clés de condition globales. Pour consulter toutes les clés de condition globales AWS, consultez la section Clés de contexte de condition globales AWS dans le IAM Guide de l'utilisateur.

Toutes les actions d'API RDS prennent en charge la clé de condition aws:RequestedRegion.

Pour afficher la liste des clés de conditions Amazon RDS, consultez Clés de condition pour Amazon RDS dans le IAM Guide de l'utilisateur. Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, consultez Actions définies par Amazon RDS.

Exemples

Pour voir des exemples de stratégies Amazon RDS basées sur l'identité, consultez Exemples de stratégies basées sur l'identité Amazon RDS.

Stratégies basées sur les ressources Amazon RDS

Amazon RDS ne prend pas en charge les stratégies basées sur les ressource.

Autorisation basée sur les balises Amazon RDS

Vous pouvez attacher des balises aux ressources de Amazon RDS, ou transmettre des balises dans une demande à Amazon RDS. Pour contrôler l'accès basé sur des balises, vous devez fournir les informations de balises dans l'élément de condition d'une stratégie utilisant les clés de condition rds:ResourceTag/key-name, aws:RequestTag/key-name ou aws:TagKeys. Pour plus d'informations sur le balisage des ressources Amazon RDS, consultez Spécification de conditions : Utilisation de balises personnalisées.

Pour visualiser un exemple de stratégie basée sur l'identité permettant de limiter l'accès à une ressource en fonction des balises de cette ressource, consultez Accorder une autorisation pour des actions sur une ressource à l'aide d'une balise spécifique avec deux valeurs différentes.

Amazon RDS Rôles IAM

Un rôle IAM est une entité au sein de votre compteAWS qui dispose d'autorisations spécifiques.

Utilisation des informations d'identification temporaires avec Amazon RDS

Vous pouvez utiliser des informations d'identification temporaires pour vous connecter avec la fédération, endosser un rôle IAM, ou encore pour endosser un rôle entre comptes. Vous obtenez des informations d'identification de sécurité temporaires en appelant des opérations d'API AWS STS comme AssumeRole ou GetFederationToken.

Amazon RDS prend en charge l'utilisation des informations d'identification temporaires.

Rôles liés à un service

Les rôles liés à un service permettent aux services AWS d'accéder à des ressources dans d'autres services pour effectuer une action en votre nom. Les rôles liés à un service s'affichent dans votre compte IAM et sont détenus par le service. Un administrateur IAM peut consulter, mais ne peut pas modifier les autorisations concernant les rôles liés à un service.

Amazon RDS prend en charge les rôles liés à un service. Pour plus d'informations sur la création ou la gestion des rôles liés à un service Amazon RDS, consultez Utilisation des rôles liés à un service pour Amazon RDS.

Rôles de service

Cette fonction permet à un service d'endosser un rôle de service en votre nom. Ce rôle autorise le service à accéder à des ressources d'autres services pour effectuer une action en votre nom. Les rôles de service s'affichent dans votre compte IAM et sont la propriété du compte. Cela signifie qu'un administrateur IAM peut modifier les autorisations associées à ce rôle. Toutefois, une telle action peut perturber le bon fonctionnement du service.

Amazon RDS prend en charge les rôles de service.