Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Tindakan, sumber daya, dan kunci kondisi untuk Amazon RDS
Amazon RDS (awalan layanan:rds) menyediakan kunci konteks sumber daya, tindakan, dan kondisi khusus layanan berikut untuk digunakan dalam IAM kebijakan izin.
Referensi:
-
Pelajari cara mengonfigurasi layanan ini.
-
Lihat daftar APIoperasi yang tersedia untuk layanan ini.
-
Pelajari cara mengamankan layanan ini dan sumber dayanya dengan menggunakan kebijakan IAM izin.
Topik
Tindakan yang ditentukan oleh Amazon RDS
Anda dapat menentukan tindakan berikut dalam Action elemen pernyataan IAM kebijakan. Gunakan kebijakan untuk memberikan izin untuk melaksanakan operasi dalam AWS. Ketika Anda menggunakan tindakan dalam kebijakan, Anda biasanya mengizinkan atau menolak akses ke API operasi atau CLI perintah dengan nama yang sama. Namun, dalam beberapa kasus, satu tindakan tunggal mengontrol akses ke lebih dari satu operasi. Atau, beberapa operasi memerlukan beberapa tindakan yang berbeda.
Kolom tipe sumber daya pada tabel Tindakan menunjukkan apakah setiap tindakan mendukung izin tingkat sumber daya. Jika tidak ada nilai untuk kolom ini, Anda harus menentukan semua sumber daya (“*”) yang berlaku kebijakan dalam Resource elemen pernyataan kebijakan Anda. Jika kolom menyertakan jenis sumber daya, maka Anda dapat menentukan ARN jenis itu dalam pernyataan dengan tindakan tersebut. Jika tindakan memiliki satu atau lebih sumber daya yang diperlukan, pemanggil harus memiliki izin untuk menggunakan tindakan dengan sumber daya tersebut. Sumber daya yang diperlukan ditunjukkan dalam tabel dengan tanda bintang (*). Jika Anda membatasi akses sumber daya dengan Resource elemen dalam IAM kebijakan, Anda harus menyertakan pola ARN atau untuk setiap jenis sumber daya yang diperlukan. Beberapa tindakan mendukung berbagai jenis sumber daya. Jika jenis sumber daya opsional (tidak ditunjukkan sesuai kebutuhan), maka Anda dapat memilih untuk menggunakan salah satu jenis sumber daya opsional.
Kolom Condition keys pada tabel Actions menyertakan kunci yang dapat Anda tentukan dalam Condition elemen pernyataan kebijakan. Untuk informasi selengkapnya tentang kunci kondisi yang terkait dengan sumber daya untuk layanan, lihat kolom Kunci kondisi pada tabel Jenis sumber daya.
catatan
Kunci kondisi sumber daya tercantum dalam tabel Jenis sumber daya. Anda dapat menemukan tautan ke jenis sumber daya yang berlaku untuk tindakan di kolom Jenis sumber daya (*wajib) pada tabel Tindakan. Jenis sumber daya dalam tabel Jenis sumber daya menyertakan kolom Kunci kondisi, yang merupakan kunci kondisi sumber daya yang berlaku untuk tindakan dalam tabel Tindakan.
Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tindakan.
| Tindakan | Deskripsi | Tingkat akses | Jenis sumber daya (*diperlukan) | Kunci syarat | Tindakan bergantung |
|---|---|---|---|---|---|
| AddRoleToDBCluster | Memberikan izin untuk mengaitkan peran Identity and Access Management (IAM) dari klaster Aurora DB | Tulis |
iam:PassRole |
||
| AddRoleToDBInstance | Memberikan izin untuk mengaitkan peran AWS Identity and Access Management (IAM) dengan instans DB | Tulis |
iam:PassRole |
||
| AddSourceIdentifierToSubscription | Memberikan izin untuk menambahkan pengenal sumber ke langganan pemberitahuan RDS acara yang ada | Tulis | |||
| AddTagsToResource | Memberikan izin untuk menambahkan tag metadata ke sumber daya Amazon RDS | Penandaan | |||
| ApplyPendingMaintenanceAction | Memberikan izin untuk menerapkan tindakan pemeliharaan yang tertunda ke sumber daya | Tulis | |||
| AuthorizeDBSecurityGroupIngress | Memberikan izin untuk mengaktifkan masuknya DBSecurityGroup menggunakan salah satu dari dua bentuk otorisasi | Manajemen izin | |||
| BacktrackDBCluster | Memberikan izin untuk mundur cluster DB ke waktu tertentu, tanpa membuat cluster DB baru | Tulis | |||
| CancelExportTask | Memberikan izin untuk membatalkan tugas ekspor yang sedang berlangsung | Tulis | |||
| CopyCustomDBEngineVersion[hanya izin] | Memberikan izin untuk menyalin versi mesin khusus | Tulis | |||
| CopyDBClusterParameterGroup | Memberikan izin untuk menyalin grup parameter cluster DB yang ditentukan | Tulis |
rds:AddTagsToResource |
||
| CopyDBClusterSnapshot | Memberikan izin untuk membuat snapshot dari cluster DB | Tulis |
rds:AddTagsToResource |
||
| CopyDBParameterGroup | Memberikan izin untuk menyalin grup parameter DB yang ditentukan | Tulis |
rds:AddTagsToResource |
||
| CopyDBSnapshot | Memberikan izin untuk menyalin snapshot DB yang ditentukan | Tulis |
rds:AddTagsToResource rds:CopyCustomDBEngineVersion |
||
| CopyOptionGroup | Memberikan izin untuk menyalin grup opsi yang ditentukan | Tulis |
rds:AddTagsToResource |
||
| CreateBlueGreenDeployment | Memberikan izin untuk membuat penerapan biru-hijau untuk cluster sumber atau instance tertentu | Tulis |
rds:AddTagsToResource rds:CreateDBCluster rds:CreateDBClusterEndpoint rds:CreateDBInstance rds:CreateDBInstanceReadReplica |
||
| CreateCustomDBEngineVersion | Memberikan izin untuk membuat versi mesin khusus | Tulis |
iam:CreateServiceLinkedRole mediaimport:CreateDatabaseBinarySnapshot rds:AddTagsToResource |
||
| CreateDBCluster | Memberikan izin untuk membuat cluster DB baru | Tulis |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateDBInstance secretsmanager:CreateSecret secretsmanager:TagResource |
||
| CreateDBClusterEndpoint | Memberikan izin untuk membuat titik akhir kustom baru dan mengaitkannya dengan cluster Amazon Aurora DB atau cluster Amazon DocumentDB | Tulis |
rds:AddTagsToResource |
||
| CreateDBClusterParameterGroup | Memberikan izin untuk membuat grup parameter cluster DB baru | Tulis |
rds:AddTagsToResource |
||
| CreateDBClusterSnapshot | Memberikan izin untuk membuat snapshot dari cluster DB | Tulis |
rds:AddTagsToResource |
||
| CreateDBInstance | Memberikan izin untuk membuat instans DB baru | Tulis |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateTenantDatabase secretsmanager:CreateSecret secretsmanager:TagResource |
||
| CreateDBInstanceReadReplica | Memberikan izin untuk membuat instans DB yang bertindak sebagai Read Replica dari instans DB sumber | Tulis |
iam:PassRole rds:AddTagsToResource |
||
| CreateDBParameterGroup | Memberikan izin untuk membuat grup parameter DB baru | Tulis |
rds:AddTagsToResource |
||
| CreateDBProxy | Memberikan izin untuk membuat proxy database | Tulis |
iam:PassRole |
||
| CreateDBProxyEndpoint | Memberikan izin untuk membuat endpoint proxy database | Tulis | |||
| CreateDBSecurityGroup | Memberikan izin untuk membuat grup keamanan DB baru. Grup keamanan DB mengontrol akses ke instans DB | Tulis |
rds:AddTagsToResource |
||
| CreateDBShardGroup | Memberikan izin untuk membuat grup shard DB Basis Data Aurora Limitless baru | Tulis | |||
| CreateDBSnapshot | Memberikan izin untuk membuat DBSnapshot | Tulis |
rds:AddTagsToResource |
||
| CreateDBSubnetGroup | Memberikan izin untuk membuat grup subnet DB baru | Tulis |
rds:AddTagsToResource |
||
| CreateEventSubscription | Memberikan izin untuk membuat langganan notifikasi RDS acara | Tulis |
rds:AddTagsToResource |
||
| CreateGlobalCluster | Memberikan izin untuk membuat database global Aurora atau database global DocumentDB yang tersebar di beberapa wilayah | Tulis | |||
| CreateIntegration | Memberikan izin untuk membuat integrasi nol Aurora dengan ETL Redshift | Tulis |
kms:CreateGrant kms:DescribeKey rds:AddTagsToResource |
||
| CreateOptionGroup | Memberikan izin untuk membuat grup opsi baru | Tulis |
rds:AddTagsToResource |
||
| CreateTenantDatabase | Memberikan izin untuk membuat database penyewa baru | Tulis |
rds:AddTagsToResource |
||
| CrossRegionCommunication[hanya izin] | Memberikan izin untuk mengakses sumber daya di Wilayah terpencil saat menjalankan operasi Lintas wilayah, seperti salinan snapshot lintas wilayah atau pembuatan replika baca lintas wilayah | Tulis | |||
| DeleteBlueGreenDeployment | Memberikan izin untuk menghapus penerapan hijau biru | Tulis |
rds:DeleteDBCluster rds:DeleteDBClusterEndpoint rds:DeleteDBInstance rds:PromoteReadReplica rds:PromoteReadReplicaDBCluster |
||
| DeleteCustomDBEngineVersion | Memberikan izin untuk menghapus versi mesin kustom yang ada | Tulis | |||
| DeleteDBCluster | Memberikan izin untuk menghapus cluster DB yang telah disediakan sebelumnya | Tulis |
rds:AddTagsToResource rds:CreateDBClusterSnapshot rds:DeleteDBInstance |
||
| DeleteDBClusterAutomatedBackup | Memberikan izin untuk menghapus cadangan otomatis klaster berdasarkan DbClusterResourceId nilai cluster sumber atau ID sumber daya kluster yang dapat dipulihkan | Tulis | |||
| DeleteDBClusterEndpoint | Memberikan izin untuk menghapus titik akhir kustom dan menghapusnya dari cluster Amazon Aurora DB atau cluster Amazon DocumentDB | Tulis | |||
| DeleteDBClusterParameterGroup | Memberikan izin untuk menghapus grup parameter cluster DB tertentu | Tulis | |||
| DeleteDBClusterSnapshot | Memberikan izin untuk menghapus snapshot cluster DB | Tulis | |||
| DeleteDBInstance | Memberikan izin untuk menghapus instans DB yang telah disediakan sebelumnya | Tulis |
rds:AddTagsToResource rds:CreateDBSnapshot rds:DeleteTenantDatabase |
||
| DeleteDBInstanceAutomatedBackup | Memberikan izin untuk menghapus cadangan otomatis berdasarkan DbiResourceId nilai instans sumber atau ID sumber daya instans yang dapat dipulihkan | Tulis | |||
| DeleteDBParameterGroup | Memberikan izin untuk menghapus yang ditentukan DBParameterGroup | Tulis | |||
| DeleteDBProxy | Memberikan izin untuk menghapus proxy database | Tulis | |||
| DeleteDBProxyEndpoint | Memberikan izin untuk menghapus titik akhir proxy database | Tulis | |||
| DeleteDBSecurityGroup | Memberikan izin untuk menghapus grup keamanan DB | Tulis | |||
| DeleteDBShardGroup | Memberikan izin untuk menghapus grup shard DB Basis Data Aurora Limitless | Tulis | |||
| DeleteDBSnapshot | Memberikan izin untuk menghapus DBSnapshot | Tulis | |||
| DeleteDBSubnetGroup | Memberikan izin untuk menghapus grup subnet DB | Tulis | |||
| DeleteEventSubscription | Memberikan izin untuk menghapus langganan pemberitahuan RDS acara | Tulis | |||
| DeleteGlobalCluster | Memberikan izin untuk menghapus kluster database global | Tulis | |||
| DeleteIntegration | Memberikan izin untuk menghapus integrasi nol Aurora dengan ETL Redshift | Tulis | |||
| DeleteOptionGroup | Memberikan izin untuk menghapus grup opsi yang ada | Tulis | |||
| DeleteTenantDatabase | Memberikan izin untuk menghapus database penyewa | Tulis |
rds:AddTagsToResource rds:CreateDBSnapshot |
||
| DeregisterDBProxyTargets | Memberikan izin untuk menghapus target dari grup target proxy database | Tulis | |||
| DescribeAccountAttributes | Memberikan izin untuk mencantumkan semua atribut untuk akun pelanggan | Daftar | |||
| DescribeBlueGreenDeployments | Memberikan izin untuk menggambarkan penerapan hijau biru | Daftar | |||
| DescribeCertificates | Memberikan izin untuk mencantumkan kumpulan sertifikat CA yang disediakan oleh Amazon RDS untuk ini Akun AWS | Daftar | |||
| DescribeDBClusterAutomatedBackups | Memberikan izin untuk mengembalikan daftar cadangan otomatis cluster untuk kluster saat ini dan yang dihapus | Daftar | |||
| DescribeDBClusterBacktracks | Memberikan izin untuk mengembalikan informasi tentang backtrack untuk cluster DB | Daftar | |||
| DescribeDBClusterEndpoints | Memberikan izin untuk mengembalikan informasi tentang titik akhir untuk klaster DB Amazon Aurora | Daftar | |||
| DescribeDBClusterParameterGroups | Memberikan izin untuk mengembalikan daftar deskripsi DBClusterParameterGroup | Daftar | |||
| DescribeDBClusterParameters | Memberikan izin untuk mengembalikan daftar parameter terperinci untuk grup parameter cluster DB tertentu | Daftar | |||
| DescribeDBClusterSnapshotAttributes | Memberikan izin untuk mengembalikan daftar nama dan nilai atribut snapshot cluster DB untuk snapshot cluster DB manual | Daftar | |||
| DescribeDBClusterSnapshots | Memberikan izin untuk mengembalikan informasi tentang snapshot cluster DB | Daftar | |||
| DescribeDBClusters | Memberikan izin untuk mengembalikan informasi tentang cluster Aurora DB yang disediakan atau cluster DocumentDB | Daftar | |||
| DescribeDBEngineVersions | Memberikan izin untuk mengembalikan daftar mesin DB yang tersedia | Daftar | |||
| DescribeDBInstanceAutomatedBackups | Memberikan izin untuk mengembalikan daftar cadangan otomatis untuk instance saat ini dan yang dihapus | Daftar | |||
| DescribeDBInstances | Memberikan izin untuk mengembalikan informasi tentang instance yang disediakan RDS | Daftar | |||
| DescribeDBLogFiles | Memberikan izin untuk mengembalikan daftar file log DB untuk instance DB | Daftar | |||
| DescribeDBParameterGroups | Memberikan izin untuk mengembalikan daftar deskripsi DBParameterGroup | Daftar | |||
| DescribeDBParameters | Memberikan izin untuk mengembalikan daftar parameter terperinci untuk grup parameter DB tertentu | Daftar | |||
| DescribeDBProxies | Memberikan izin untuk melihat proxy | Daftar | |||
| DescribeDBProxyEndpoints | Memberikan izin untuk melihat titik akhir proxy | Daftar | |||
| DescribeDBProxyTargetGroups | Memberikan izin untuk melihat detail grup target proxy database | Daftar | |||
| DescribeDBProxyTargets | Memberikan izin untuk melihat detail target proxy database | Daftar | |||
| DescribeDBRecommendations | Memberikan izin untuk membuat daftar rincian rekomendasi | Daftar | |||
| DescribeDBSecurityGroups | Memberikan izin untuk mengembalikan daftar deskripsi DBSecurityGroup | Daftar | |||
| DescribeDBShardGroups | Memberikan izin untuk mengembalikan informasi tentang semua grup pecahan DB Basis Data Aurora Limitless untuk akun ini. Anda dapat memfilter berdasarkan grup pecahan | Daftar | |||
| DescribeDBSnapshotAttributes | Memberikan izin untuk mengembalikan daftar nama dan nilai atribut snapshot DB untuk snapshot DB manual | Daftar | |||
| DescribeDBSnapshotTenantDatabases | Memberikan izin untuk mengembalikan informasi tentang database penyewa dalam snapshot DB. Anda dapat memfilter berdasarkan Wilayah atau snapshot | Daftar | |||
| DescribeDBSnapshots | Memberikan izin untuk mengembalikan informasi tentang snapshot DB | Daftar | |||
| DescribeDBSubnetGroups | Memberikan izin untuk mengembalikan daftar deskripsi DBSubnetGroup | Daftar | |||
| DescribeEngineDefaultClusterParameters | Memberikan izin untuk mengembalikan informasi parameter mesin dan sistem default untuk mesin database cluster | Daftar | |||
| DescribeEngineDefaultParameters | Memberikan izin untuk mengembalikan informasi parameter mesin dan sistem default untuk mesin database yang ditentukan | Daftar | |||
| DescribeEventCategories | Memberikan izin untuk menampilkan daftar kategori untuk semua jenis sumber peristiwa, atau, jika ditentukan, untuk jenis sumber tertentu | Daftar | |||
| DescribeEventSubscriptions | Memberikan izin untuk membuat daftar semua deskripsi langganan untuk akun pelanggan | Daftar | |||
| DescribeEvents | Memberikan izin untuk mengembalikan peristiwa yang terkait dengan instans DB, grup keamanan DB, snapshot DB, dan grup parameter DB selama 14 hari terakhir | Daftar | |||
| DescribeExportTasks | Memberikan izin untuk mengembalikan informasi tentang tugas ekspor | Daftar | |||
| DescribeGlobalClusters | Memberikan izin untuk mengembalikan informasi tentang cluster database global Aurora atau cluster database global DocumentDB | Daftar | |||
| DescribeIntegrations | Memberikan izin untuk menggambarkan integrasi nol Aurora dengan ETL Redshift | Daftar | |||
| DescribeOptionGroupOptions | Memberikan izin untuk menjelaskan semua opsi yang tersedia | Daftar | |||
| DescribeOptionGroups | Memberikan izin untuk menjelaskan grup opsi yang tersedia | Daftar | |||
| DescribeOrderableDBInstanceOptions | Memberikan izin untuk mengembalikan daftar opsi instans DB yang dapat dipesan untuk mesin yang ditentukan | Daftar | |||
| DescribePendingMaintenanceActions | Memberikan izin untuk mengembalikan daftar sumber daya (misalnya, instans DB) yang memiliki setidaknya satu tindakan pemeliharaan yang tertunda | Daftar | |||
| DescribeRecommendationGroups[hanya izin] | Memberikan izin untuk mengembalikan informasi tentang grup rekomendasi | Baca | |||
| DescribeRecommendations[hanya izin] | Memberikan izin untuk mengembalikan informasi tentang rekomendasi | Baca | |||
| DescribeReservedDBInstances | Memberikan izin untuk mengembalikan informasi tentang instans DB yang dicadangkan untuk akun ini, atau tentang instans DB cadangan yang ditentukan | Daftar | |||
| DescribeReservedDBInstancesOfferings | Memberikan izin untuk mencantumkan penawaran instans DB cadangan yang tersedia | Daftar | |||
| DescribeSourceRegions | Memberikan izin untuk mengembalikan daftar sumber Wilayah AWS tempat arus Wilayah AWS dapat membuat Read Replica atau menyalin snapshot DB | Daftar | |||
| DescribeTenantDatabases | Memberikan izin untuk mengembalikan informasi tentang database penyewa yang disediakan. Anda dapat memfilter berdasarkan Wilayah atau snapshot | Daftar | |||
| DescribeValidDBInstanceModifications | Memberikan izin untuk membuat daftar modifikasi yang tersedia yang dapat Anda buat pada instans DB Anda | Daftar | |||
| DisableHttpEndpoint | Memberikan izin untuk menonaktifkan titik akhir http untuk cluster DB | Tulis | |||
| DownloadCompleteDBLogFile | Memberikan izin untuk mengunduh file log tertentu | Baca | |||
| DownloadDBLogFilePortion | Memberikan izin untuk mengunduh semua atau sebagian dari file log yang ditentukan, berukuran hingga 1 MB | Baca | |||
| EnableHttpEndpoint | Memberikan izin untuk mengaktifkan titik akhir http untuk cluster DB | Tulis | |||
| FailoverDBCluster | Memberikan izin untuk memaksa failover untuk cluster DB | Tulis | |||
| FailoverGlobalCluster | Memberikan izin untuk melakukan failover klaster global | Tulis | |||
| ListTagsForResource | Memberikan izin untuk mencantumkan semua tag di sumber daya Amazon RDS | Baca | |||
| ModifyActivityStream | Memberikan izin untuk memodifikasi aliran aktivitas database | Tulis | |||
| ModifyCertificates | Memberikan izin untuk memodifikasi sertifikat Secure SocketsLayer/Transport Layer Security (SSL/TLS) default sistem untuk Amazon RDS untuk instans DB baru | Tulis | |||
| ModifyCurrentDBClusterCapacity | Memberikan izin untuk mengubah kapasitas klaster saat ini untuk klaster DB Tanpa Server Amazon Aurora | Tulis | |||
| ModifyCustomDBEngineVersion | Memberikan izin untuk memodifikasi versi mesin kustom yang ada | Tulis | |||
| ModifyDBCluster | Memberikan izin untuk mengubah setelan untuk cluster Amazon Aurora DB atau klaster Amazon DocumentDB | Tulis |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:ModifyDBInstance secretsmanager:CreateSecret secretsmanager:RotateSecret secretsmanager:TagResource |
||
| ModifyDBClusterEndpoint | Memberikan izin untuk memodifikasi properti titik akhir di cluster Amazon Aurora DB atau klaster Amazon DocumentDB | Tulis | |||
| ModifyDBClusterParameterGroup | Memberikan izin untuk memodifikasi parameter grup parameter cluster DB | Tulis | |||
| ModifyDBClusterSnapshotAttribute | Memberikan izin untuk menambahkan atribut dan nilai ke, atau menghapus atribut dan nilai dari, snapshot cluster DB manual | Tulis | |||
| ModifyDBInstance | Memberikan izin untuk memodifikasi pengaturan untuk instans DB | Tulis |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateTenantDatabase secretsmanager:CreateSecret secretsmanager:RotateSecret secretsmanager:TagResource |
||
| ModifyDBParameterGroup | Memberikan izin untuk memodifikasi parameter grup parameter DB | Tulis | |||
| ModifyDBProxy | Memberikan izin untuk memodifikasi proxy database | Tulis |
iam:PassRole |
||
| ModifyDBProxyEndpoint | Memberikan izin untuk memodifikasi titik akhir proxy database | Tulis | |||
| ModifyDBProxyTargetGroup | Memberikan izin untuk memodifikasi grup target untuk proxy database | Tulis | |||
| ModifyDBRecommendation | Memberikan izin untuk memodifikasi rekomendasi | Tulis | |||
| ModifyDBShardGroup | Memberikan izin untuk memodifikasi properti grup shard DB Basis Data Aurora Limitless | Tulis | |||
| ModifyDBSnapshot | Memberikan izin untuk memperbarui snapshot DB manual, yang dapat dienkripsi atau tidak dienkripsi, dengan versi mesin baru | Tulis | |||
| ModifyDBSnapshotAttribute | Memberikan izin untuk menambahkan atribut dan nilai ke, atau menghapus atribut dan nilai dari, snapshot DB manual | Tulis | |||
| ModifyDBSubnetGroup | Memberikan izin untuk memodifikasi grup subnet DB yang ada | Tulis | |||
| ModifyEventSubscription | Memberikan izin untuk mengubah langganan pemberitahuan RDS acara yang ada | Tulis | |||
| ModifyGlobalCluster | Memberikan izin untuk mengubah setelan untuk klaster global Amazon Aurora atau klaster global Amazon DocumentDB | Tulis | |||
| ModifyIntegration | Memberikan izin untuk memodifikasi integrasi nol Aurora dengan ETL Redshift | Tulis | |||
| ModifyOptionGroup | Memberikan izin untuk memodifikasi grup opsi yang ada | Tulis |
iam:PassRole |
||
| ModifyRecommendation[hanya izin] | Memberikan izin untuk memodifikasi rekomendasi | Tulis | |||
| ModifyTenantDatabase | Memberikan izin untuk memodifikasi database penyewa | Tulis | |||
| PromoteReadReplica | Memberikan izin untuk mempromosikan instans Read Replica DB ke instans DB mandiri | Tulis | |||
| PromoteReadReplicaDBCluster | Memberikan izin untuk mempromosikan cluster Read Replica DB ke cluster DB mandiri | Tulis | |||
| PurchaseReservedDBInstancesOffering | Memberikan izin untuk membeli penawaran instans DB yang dipesan | Tulis | |||
| RebootDBCluster | Memberikan izin untuk me-reboot cluster DB yang telah disediakan sebelumnya | Tulis |
rds:RebootDBInstance |
||
| RebootDBInstance | Memberikan izin untuk memulai kembali layanan mesin database | Tulis | |||
| RebootDBShardGroup | Memberikan izin untuk me-reboot grup shard DB Basis Data Aurora Limitless | Tulis | |||
| RegisterDBProxyTargets | Memberikan izin untuk menambahkan target ke grup target proxy database | Tulis | |||
| RemoveFromGlobalCluster | Memberikan izin untuk melepaskan cluster sekunder Aurora dari cluster database global Aurora atau cluster global DocumentDB | Tulis | |||
| RemoveRoleFromDBCluster | Memberikan izin untuk memisahkan peran AWS Identity and Access Management (IAM) dari klaster Amazon Aurora DB | Tulis |
iam:PassRole |
||
| RemoveRoleFromDBInstance | Memberikan izin untuk memisahkan peran AWS Identity and Access Management (IAM) dari instans DB | Tulis |
iam:PassRole |
||
| RemoveSourceIdentifierFromSubscription | Memberikan izin untuk menghapus pengenal sumber dari langganan pemberitahuan RDS acara yang ada | Tulis | |||
| RemoveTagsFromResource | Memberikan izin untuk menghapus tag metadata dari sumber daya Amazon RDS | Penandaan | |||
| ResetDBClusterParameterGroup | Memberikan izin untuk memodifikasi parameter grup parameter cluster DB ke nilai default | Tulis | |||
| ResetDBParameterGroup | Memberikan izin untuk memodifikasi parameter grup parameter DB ke nilai default mesin/sistem | Tulis | |||
| RestoreDBClusterFromS3 | Memberikan izin untuk membuat cluster Amazon Aurora DB dari data yang disimpan di bucket Amazon S3 | Tulis |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource secretsmanager:CreateSecret secretsmanager:TagResource |
||
| RestoreDBClusterFromSnapshot | Memberikan izin untuk membuat cluster DB baru dari snapshot cluster DB | Tulis |
iam:PassRole rds:AddTagsToResource rds:CreateDBInstance |
||
| RestoreDBClusterToPointInTime | Memberikan izin untuk memulihkan cluster DB ke titik waktu yang sewenang-wenang | Tulis |
iam:PassRole rds:AddTagsToResource rds:CreateDBInstance |
||
| RestoreDBInstanceFromDBSnapshot | Memberikan izin untuk membuat instance DB baru dari snapshot DB | Tulis |
iam:PassRole rds:AddTagsToResource rds:CreateTenantDatabase |
||
| RestoreDBInstanceFromS3 | Memberikan izin untuk membuat instans DB baru dari bucket Amazon S3 | Tulis |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource secretsmanager:CreateSecret secretsmanager:TagResource |
||
| RestoreDBInstanceToPointInTime | Memberikan izin untuk mengembalikan instans DB ke titik waktu yang sewenang-wenang | Tulis |
iam:PassRole rds:AddTagsToResource rds:CreateTenantDatabase |
||
| RevokeDBSecurityGroupIngress | Memberikan izin untuk mencabut ingress dari rentang IP yang DBSecurityGroup sebelumnya diotorisasi atau atau Grup Keamanan EC2 VPC | Tulis | |||
| StartActivityStream | Memberikan izin untuk memulai Aktivitas Stream | Tulis | |||
| StartDBCluster | Memberikan izin untuk memulai cluster DB | Tulis | |||
| StartDBInstance | Memberikan izin untuk memulai instans DB | Tulis | |||
| StartDBInstanceAutomatedBackupsReplication | Memberikan izin untuk memulai replikasi backup otomatis ke yang berbeda Wilayah AWS | Tulis | |||
| StartExportTask | Memberikan izin untuk memulai tugas Ekspor baru untuk snapshot DB | Tulis |
iam:PassRole |
||
| StopActivityStream | Memberikan izin untuk menghentikan Aliran Aktivitas | Tulis | |||
| StopDBCluster | Memberikan izin untuk menghentikan cluster DB | Tulis | |||
| StopDBInstance | Memberikan izin untuk menghentikan instans DB | Tulis |
rds:AddTagsToResource rds:CreateDBSnapshot |
||
| StopDBInstanceAutomatedBackupsReplication | Memberikan izin untuk menghentikan replikasi pencadangan otomatis untuk instans DB | Tulis | |||
| SwitchoverBlueGreenDeployment | Memberikan izin untuk mengalihkan penerapan biru-hijau dari instance sumber atau cluster ke target | Tulis |
rds:ModifyDBCluster rds:ModifyDBInstance rds:PromoteReadReplica rds:PromoteReadReplicaDBCluster |
||
| SwitchoverGlobalCluster | Memberikan izin untuk beralih klaster global | Tulis | |||
| SwitchoverReadReplica | Memberikan izin untuk beralih ke replika baca, menjadikannya basis data utama yang baru | Tulis |
Jenis sumber daya yang ditentukan oleh Amazon RDS
Jenis sumber daya berikut ditentukan oleh layanan ini dan dapat digunakan dalam Resource elemen pernyataan kebijakan IAM izin. Setiap tindakan dalam Tabel tindakan mengidentifikasi jenis sumber daya yang dapat ditentukan dengan tindakan tersebut. Jenis sumber daya juga dapat menentukan kunci kondisi mana yang dapat Anda sertakan dalam kebijakan. Tombol-tombol ini ditampilkan di kolom terakhir dari tabel Jenis sumber daya. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tipe sumber daya.
| Jenis sumber daya | ARN | Kunci syarat |
|---|---|---|
| cluster |
arn:${Partition}:rds:${Region}:${Account}:cluster:${DbClusterInstanceName}
|
|
| shardgrp |
arn:${Partition}:rds:${Region}:${Account}:shard-group:${DbShardGroupResourceId}
|
|
| cluster-auto-backup |
arn:${Partition}:rds:${Region}:${Account}:cluster-auto-backup:${DbClusterAutomatedBackupId}
|
|
| auto-backup |
arn:${Partition}:rds:${Region}:${Account}:auto-backup:${DbInstanceAutomatedBackupId}
|
|
| cluster-endpoint |
arn:${Partition}:rds:${Region}:${Account}:cluster-endpoint:${DbClusterEndpoint}
|
|
| cluster-pg |
arn:${Partition}:rds:${Region}:${Account}:cluster-pg:${ClusterParameterGroupName}
|
|
| cluster-snapshot |
arn:${Partition}:rds:${Region}:${Account}:cluster-snapshot:${ClusterSnapshotName}
|
|
| db |
arn:${Partition}:rds:${Region}:${Account}:db:${DbInstanceName}
|
|
| es |
arn:${Partition}:rds:${Region}:${Account}:es:${SubscriptionName}
|
|
| global-cluster |
arn:${Partition}:rds::${Account}:global-cluster:${GlobalCluster}
|
|
| og |
arn:${Partition}:rds:${Region}:${Account}:og:${OptionGroupName}
|
|
| pg |
arn:${Partition}:rds:${Region}:${Account}:pg:${ParameterGroupName}
|
|
| proxy |
arn:${Partition}:rds:${Region}:${Account}:db-proxy:${DbProxyId}
|
|
| proxy-endpoint |
arn:${Partition}:rds:${Region}:${Account}:db-proxy-endpoint:${DbProxyEndpointId}
|
|
| ri |
arn:${Partition}:rds:${Region}:${Account}:ri:${ReservedDbInstanceName}
|
|
| secgrp |
arn:${Partition}:rds:${Region}:${Account}:secgrp:${SecurityGroupName}
|
|
| snapshot |
arn:${Partition}:rds:${Region}:${Account}:snapshot:${SnapshotName}
|
|
| subgrp |
arn:${Partition}:rds:${Region}:${Account}:subgrp:${SubnetGroupName}
|
|
| target-group |
arn:${Partition}:rds:${Region}:${Account}:target-group:${TargetGroupId}
|
|
| cev |
arn:${Partition}:rds:${Region}:${Account}:cev:${Engine}/${EngineVersion}/${CustomDbEngineVersionId}
|
|
| deployment |
arn:${Partition}:rds:${Region}:${Account}:deployment:${BlueGreenDeploymentIdentifier}
|
|
| integration |
arn:${Partition}:rds:${Region}:${Account}:integration:${IntegrationIdentifier}
|
|
| snapshot-tenant-database |
arn:${Partition}:rds:${Region}:${Account}:snapshot-tenant-database:${SnapshotName}:${TenantResourceId}
|
|
| tenant-database |
arn:${Partition}:rds:${Region}:${Account}:tenant-database:${TenantResourceId}
|
Kunci kondisi untuk Amazon RDS
Amazon RDS mendefinisikan kunci kondisi berikut yang dapat digunakan dalam Condition elemen IAM kebijakan. Anda dapat menggunakan kunci ini untuk menyempurnakan syarat lebih lanjut saat pernyataan kebijakan berlaku. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tombol kondisi.
Untuk melihat kunci kondisi global yang tersedia untuk semua layanan, lihat Kunci kondisi global yang tersedia.
| Kunci syarat | Deskripsi | Jenis |
|---|---|---|
| aws:RequestTag/${TagKey} | Memfilter akses dengan kumpulan pasangan nilai kunci tag dalam permintaan | String |
| aws:ResourceTag/${TagKey} | Memfilter akses dengan kumpulan pasangan nilai kunci tag yang dilampirkan ke sumber daya | String |
| aws:TagKeys | Memfilter akses dengan set kunci tag dalam permintaan | ArrayOfString |
| rds:BackupTarget | Memfilter akses berdasarkan jenis target cadangan. Salah satu: wilayah, pos terdepan | String |
| rds:CopyOptionGroup | Memfilter akses dengan nilai yang menentukan apakah opyDBSnapshot tindakan C memerlukan menyalin grup opsi DB | Bool |
| rds:DatabaseClass | Memfilter akses berdasarkan jenis kelas instans DB | String |
| rds:DatabaseEngine | Memfilter akses oleh mesin database. Untuk nilai yang mungkin lihat parameter mesin di C reateDBInstance API | String |
| rds:DatabaseName | Memfilter akses dengan nama database yang ditentukan pengguna pada instans DB | String |
| rds:EndpointType | Memfilter akses berdasarkan jenis titik akhir. Salah satu dari:READER,WRITER, CUSTOM | String |
| rds:ManageMasterUserPassword | Memfilter akses berdasarkan nilai yang menentukan apakah RDS mengelola kata sandi pengguna master di AWS Secrets Manager untuk instans DB atau cluster | Bool |
| rds:MultiAz | Memfilter akses berdasarkan nilai yang menentukan apakah instans DB berjalan di beberapa Availability Zone. Untuk menunjukkan bahwa instans DB menggunakan Multi-AZ, tentukan true | Bool |
| rds:Piops | Memfilter akses berdasarkan nilai yang berisi jumlah Provisioned IOPS (PIOPS) yang didukung instance. Untuk menunjukkan instans DB yang tidak PIOPS diaktifkan, tentukan 0 | Numerik |
| rds:StorageEncrypted | Memfilter akses berdasarkan nilai yang menentukan apakah penyimpanan instans DB harus dienkripsi. Untuk menerapkan enkripsi penyimpanan, tentukan true | Bool |
| rds:StorageSize | Memfilter akses berdasarkan ukuran volume penyimpanan (dalam GB) | Numerik |
| rds:TenantDatabaseName | Memfilter akses dengan nama database penyewa di CreateTenantDatabase dan dengan nama database penyewa baru di ModifyTenantDatabase | String |
| rds:Vpc | Memfilter akses berdasarkan nilai yang menentukan apakah instans DB berjalan di Amazon Virtual Private Cloud (AmazonVPC). Untuk menunjukkan bahwa instans DB berjalan di AmazonVPC, tentukan true | Bool |
| rds:cluster-pg-tag/${TagKey} | Memfilter akses dengan tag yang dilampirkan ke grup parameter cluster DB | String |
| rds:cluster-snapshot-tag/${TagKey} | Memfilter akses dengan tag yang dilampirkan ke snapshot cluster DB | String |
| rds:cluster-tag/${TagKey} | Memfilter akses dengan tag yang dilampirkan ke cluster DB | String |
| rds:db-tag/${TagKey} | Memfilter akses dengan tag yang dilampirkan ke instance DB | String |
| rds:es-tag/${TagKey} | Memfilter akses dengan tag yang dilampirkan ke langganan acara | String |
| rds:og-tag/${TagKey} | Memfilter akses dengan tag yang dilampirkan ke grup opsi DB | String |
| rds:pg-tag/${TagKey} | Memfilter akses dengan tag yang dilampirkan ke grup parameter DB | String |
| rds:req-tag/${TagKey} | Memfilter akses dengan set kunci tag dan nilai yang dapat digunakan untuk menandai sumber daya | String |
| rds:ri-tag/${TagKey} | Memfilter akses dengan tag yang dilampirkan ke instans DB yang dicadangkan | String |
| rds:secgrp-tag/${TagKey} | Memfilter akses dengan tag yang dilampirkan ke grup keamanan DB | String |
| rds:snapshot-tag/${TagKey} | Memfilter akses dengan tag yang dilampirkan ke snapshot DB | String |
| rds:subgrp-tag/${TagKey} | Memfilter akses dengan tag yang dilampirkan ke grup subnet DB | String |
