AWS kebijakan terkelola untuk Amazon RDS - Layanan Basis Data Relasional Amazon
AmazonRDS ReadOnlyAccessAmazonRDS FullAccessAmazonRDS DataFullAccessAmazonRDS EnhancedMonitoringRoleAmazonRDS PerformanceInsightsReadOnlyAmazonRDS PerformanceInsightsFullAccessAmazonRDS DirectoryServiceAccessAmazonRDS ServiceRolePolicyAmazonRDS CustomServiceRolePolicyInstans Kustom AmazonRDS ProfileRolePolicy

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS kebijakan terkelola untuk Amazon RDS

Untuk menambahkan izin ke set dan peran izin, lebih mudah menggunakan kebijakan AWS terkelola daripada menulis kebijakan sendiri. Dibutuhkan waktu dan keahlian untuk membuat kebijakan yang dikelola pelanggan IAM yang hanya memberi tim Anda izin yang mereka butuhkan. Untuk memulai dengan cepat, Anda dapat menggunakan kebijakan AWS terkelola kami. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di Akun AWS Anda. Untuk informasi selengkapnya tentang kebijakan AWS AWS terkelola, lihat kebijakan terkelola di Panduan Pengguna IAM.

AWS services memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan terkadang menambahkan izin tambahan ke kebijakan AWS terkelola untuk mendukung fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan AWS terkelola saat fitur baru diluncurkan atau saat operasi baru tersedia. Layanan tidak menghapus izin dari kebijakan AWS terkelola, sehingga pembaruan kebijakan tidak merusak izin yang ada.

Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan ReadOnlyAccess AWS terkelola menyediakan akses hanya-baca ke semua AWS services dan sumber daya. Saat layanan meluncurkan fitur baru, AWS tambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk melihat daftar dan deskripsi dari kebijakan fungsi tugas, lihat kebijakan yang dikelola AWS untuk fungsi tugas di Panduan Pengguna IAM.

AWS kebijakan terkelola: AmazonRDS ReadOnlyAccess

Kebijakan ini memungkinkan akses hanya-baca ke Amazon RDS melalui. AWS Management Console

Detail izin

Kebijakan ini mencakup izin berikut:

  • rds – Mengizinkan pengguna utama mendeskripsikan sumber daya Amazon RDS dan mencantumkan tag untuk sumber daya Amazon RDS.

  • cloudwatch— Memungkinkan kepala sekolah untuk mendapatkan statistik metrik Amazon CloudWatch .

  • ec2 – Mengizinkan pengguna utama mendeskripsikan Zona Ketersediaan dan sumber daya jaringan.

  • logs— Memungkinkan prinsipal untuk menggambarkan aliran CloudWatch log Log dari grup log, dan mendapatkan CloudWatch peristiwa log Log.

  • devops-guru— Memungkinkan prinsipal untuk mendeskripsikan sumber daya yang memiliki cakupan Amazon DevOps Guru, yang ditentukan baik oleh nama CloudFormation tumpukan atau tag sumber daya.

Untuk informasi selengkapnya tentang kebijakan ini, termasuk dokumen kebijakan JSON, lihat AmazonRDS ReadOnlyAccess di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AmazonRDS FullAccess

Kebijakan ini menyediakan akses penuh ke Amazon RDS melalui. AWS Management Console

Detail izin

Kebijakan ini mencakup izin berikut:

  • rds – Mengizinkan pengguna utama memiliki akses penuh ke Amazon RDS.

  • application-autoscaling – Mengizinkan pengguna utama mendeskripsikan dan mengelola target dan kebijakan penskalaan Application Auto Scaling.

  • cloudwatch— Memungkinkan kepala sekolah mendapatkan statika CloudWatch metrik dan mengelola alarm. CloudWatch

  • ec2 – Mengizinkan pengguna utama mendeskripsikan Zona Ketersediaan dan sumber daya jaringan.

  • logs— Memungkinkan prinsipal untuk menggambarkan aliran CloudWatch log Log dari grup log, dan mendapatkan CloudWatch peristiwa log Log.

  • outposts— Memungkinkan prinsipal untuk mendapatkan AWS Outposts jenis instance.

  • pi – Mengizinkan pengguna utama untuk mendapatkan metrik Wawasan Performa.

  • sns – Mengizinkan pengguna utama untuk menggunakan langganan dan topik Amazon Simple Notification Service (Amazon SNS), dan menerbitkan pesan Amazon SNS.

  • devops-guru— Memungkinkan prinsipal untuk mendeskripsikan sumber daya yang memiliki cakupan Amazon DevOps Guru, yang ditentukan baik oleh nama CloudFormation tumpukan atau tag sumber daya.

Untuk informasi selengkapnya tentang kebijakan ini, termasuk dokumen kebijakan JSON, lihat AmazonRDS FullAccess di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AmazonRDS DataFullAccess

Kebijakan ini memungkinkan akses penuh untuk menggunakan Data API dan editor kueri pada Aurora Serverless cluster tertentu Akun AWS. Kebijakan ini memungkinkan Akun AWS untuk mendapatkan nilai rahasia dari AWS Secrets Manager.

Anda dapat melampirkan kebijakan AmazonRDSDataFullAccess ke identitas IAM Anda.

Detail izin

Kebijakan ini mencakup izin berikut:

  • dbqms – Mengizinkan pengguna utama mengakses, menghapus, mendeskripsikan, dan memperbarui kueri. Layanan Metadata Kueri Basis Data (dbqms) adalah layanan khusus internal. Ini memberikan kueri terbaru dan tersimpan Anda untuk editor kueri di AWS Management Console untuk beberapa AWS services, termasuk Amazon RDS.

  • rds-data – Mengizinkan pengguna utama untuk menjalankan pernyataan SQL pada basis data Aurora Serverless.

  • secretsmanager— Memungkinkan kepala sekolah untuk mendapatkan nilai rahasia dari. AWS Secrets Manager

Untuk informasi selengkapnya tentang kebijakan ini, termasuk dokumen kebijakan JSON, lihat AmazonRDS DataFullAccess di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AmazonRDS EnhancedMonitoringRole

Kebijakan ini menyediakan akses ke Amazon CloudWatch Logs untuk Amazon RDS Enhanced Monitoring.

Detail izin

Kebijakan ini mencakup izin berikut:

  • logs— Memungkinkan prinsipal untuk membuat grup CloudWatch log Log dan kebijakan retensi, dan untuk membuat dan mendeskripsikan aliran CloudWatch log log dari grup log. Hal ini juga memungkinkan prinsipal untuk menempatkan dan mendapatkan peristiwa CloudWatch log Log.

Untuk informasi selengkapnya tentang kebijakan ini, termasuk dokumen kebijakan JSON, lihat AmazonRDS EnhancedMonitoringRole di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AmazonRDS PerformanceInsightsReadOnly

Kebijakan ini menyediakan akses hanya-baca ke Wawasan Performa Amazon RDS untuk instans DB Amazon RDS dan klaster DB Amazon Aurora.

Kebijakan ini kini mencakup Sid (ID pernyataan) sebagai pengidentifikasi pernyataan kebijakan.

Detail izin

Kebijakan ini mencakup izin berikut:

  • rds – Mengizinkan pengguna utama mendeskripsikan instans DB Amazon RDS dan klaster DB Amazon Aurora.

  • pi – Mengizinkan pengguna utama melakukan panggilan ke API Wawasan Performa Amazon RDS dan mengakses metrik Wawasan Performa.

Untuk informasi selengkapnya tentang kebijakan ini, termasuk dokumen kebijakan JSON, lihat AmazonRDS PerformanceInsightsReadOnly di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AmazonRDS PerformanceInsightsFullAccess

Kebijakan ini menyediakan akses penuh ke Wawasan Performa Amazon RDS untuk instans DB Amazon RDS dan klaster DB Amazon Aurora.

Kebijakan ini kini mencakup Sid (ID pernyataan) sebagai pengidentifikasi pernyataan kebijakan.

Detail izin

Kebijakan ini mencakup izin berikut:

  • rds – Mengizinkan pengguna utama mendeskripsikan instans DB Amazon RDS dan klaster DB Amazon Aurora.

  • pi – Mengizinkan pengguna utama melakukan panggilan ke API Wawasan Performa Amazon RDS, serta membuat, melihat, dan menghapus laporan analisis performa.

  • cloudwatch— Memungkinkan kepala sekolah untuk membuat daftar semua metrik Amazon, dan mendapatkan CloudWatch data metrik dan statistik.

Untuk informasi selengkapnya tentang kebijakan ini, termasuk dokumen kebijakan JSON, lihat AmazonRDS PerformanceInsightsFullAccess di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AmazonRDS DirectoryServiceAccess

Kebijakan ini mengizinkan Amazon RDS untuk melakukan panggilan ke AWS Directory Service.

Detail izin

Kebijakan ini mencakup izin berikut:

  • ds— Memungkinkan kepala sekolah untuk mendeskripsikan AWS Directory Service direktori dan mengontrol otorisasi ke direktori. AWS Directory Service

Untuk informasi selengkapnya tentang kebijakan ini, termasuk dokumen kebijakan JSON, lihat AmazonRDS DirectoryServiceAccess di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AmazonRDS ServiceRolePolicy

Anda tidak dapat melampirkan kebijakan AmazonRDSServiceRolePolicy ke entitas IAM Anda. Kebijakan ini dilampirkan ke peran tertaut layanan yang memungkinkan Amazon RDS melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Izin peran terkait layanan untuk Amazon RDS.

AWS kebijakan terkelola: AmazonRDS CustomServiceRolePolicy

Anda tidak dapat melampirkan kebijakan AmazonRDSCustomServiceRolePolicy ke entitas IAM Anda. Kebijakan ini dilampirkan ke peran tertaut layanan yang memungkinkan Amazon RDS melakukan tindakan atas nama Anda.

Kebijakan ini mencakup izin berikut:

  • ec2- Memungkinkan RDS Custom untuk melakukan operasi pencadangan pada instans DB yang menyediakan kemampuan point-in-time pemulihan.

  • secretsmanager- Memungkinkan RDS Custom untuk mengelola rahasia spesifik instans DB yang dibuat oleh RDS Custom.

  • cloudwatch- Memungkinkan RDS Custom untuk mengunggah metrik instans DB dan log ke CloudWatch melalui CloudWatch agen.

  • events, sqs - Memungkinkan RDS Custom untuk mengirim dan menerima informasi status tentang instans DB.

Untuk informasi selengkapnya, lihat Izin peran terkait layanan untuk Amazon RDS Custom.

AWSkebijakan terkelola: Instans AmazonRDSCustom ProfileRolePolicy

Anda tidak harus melampirkan AmazonRDSCustomInstanceProfileRolePolicy ke entitas IAM Anda. Ini hanya boleh dilampirkan ke peran profil instans yang digunakan untuk memberikan izin ke instans Amazon RDS Custom DB Anda untuk melakukan berbagai tindakan otomatisasi dan tugas manajemen database. Teruskan profil instans sebagai custom-iam-instance-profile parameter selama pembuatan instans Kustom RDS dan RDS Custom mengaitkan profil instance ini ke instans DB Anda.

Detail izin

Kebijakan ini mencakup izin berikut:

  • ssm,ssmmessages, ec2messages - Memungkinkan RDS Custom untuk berkomunikasi, menjalankan otomatisasi, dan memelihara agen pada instans DB melalui Systems Manager.

  • ec2, s3 - Memungkinkan RDS Custom untuk melakukan operasi pencadangan pada instans DB yang menyediakan kemampuan point-in-time pemulihan.

  • secretsmanager- Memungkinkan RDS Custom untuk mengelola rahasia spesifik instans DB yang dibuat oleh RDS Custom.

  • cloudwatch, logs - Memungkinkan RDS Custom untuk mengunggah metrik dan log instans DB CloudWatch melalui CloudWatch agen.

  • events, sqs - Memungkinkan RDS Custom untuk mengirim dan menerima informasi status tentang instans DB.

  • kms- Memungkinkan RDS Custom menggunakan kunci KMS khusus instance untuk melakukan enkripsi rahasia dan objek S3 yang dikelola RDS Custom.

Untuk informasi selengkapnya tentang kebijakan ini, termasuk dokumen kebijakan JSON, lihat Instans AmazonRDSCustom ProfileRolePolicy di Panduan Referensi Kebijakan AWS Terkelola.