Amazon RDS の AWS マネージドポリシー - Amazon Relational Database Service
AmazonRDSReadOnlyAccessAmazonRDSFullAccessAmazonRDSDataFullAccessAmazonRDSEnhancedMonitoringRoleAmazonRDSPerformanceInsightsReadOnlyAmazonRDSPerformanceInsightsFullAccessAmazonRDSDirectoryServiceAccessAmazonRDSServiceRolePolicyAmazonRDSCustomServiceRolePolicyAmazonRDSCustomInstanceProfileRolePolicy

Amazon RDS の AWS マネージドポリシー

アクセス許可セットとロールにアクセス許可を追加するには、自分でポリシーを作成するよりも、AWS マネージドポリシーを使用する方が簡単です。チームに必要な権限のみを提供する IAM カスタマーマネージドポリシーを作成するには、時間と専門知識が必要です。すぐに使用を開始するために、AWS マネージドポリシーを使用できます。これらのポリシーは、一般的なユースケースをターゲット範囲に含めており、AWS アカウント で利用できます。AWS マネージドポリシーの詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS services は、AWS マネージドポリシーを維持し、更新します。AWS マネージドポリシーの権限を変更することはできません。サービスでは、新しい機能を利用できるようにするために、AWS マネージドポリシーに権限が追加されることがあります。この種類の更新は、ポリシーがアタッチされている、すべてのアイデンティティ (アクセス許可セットとロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは、AWS マネージドポリシーから許可を削除しないため、ポリシーの更新によって既存の許可が破棄されることはありません。

さらに、AWS では、複数のサービスにまたがるジョブ機能のためのマネージドポリシーもサポートしています。例えば、ReadOnlyAccess AWS マネージドポリシーでは、すべての AWS services およびリソースへの読み取り専用アクセスを許可します。あるサービスで新しい機能を立ち上げる場合は、AWS は、追加された演算とリソースに対し、読み込み専用の権限を追加します。職務機能ポリシーのリストと説明については、IAM ユーザーガイドの「ジョブ機能の AWS マネージドポリシー」を参照してください。

AWS マネージドポリシー: AmazonRDSReadOnlyAccess

このポリシーは、AWS Management Console を通じた Amazon RDS への読み取り専用アクセスを許可します。

許可の詳細

このポリシーには、以下の許可が含まれています。

  • rds — プリンシパルが Amazon RDS リソースを記述し、Amazon RDS リソースのタグを一覧表示することを許可します。

  • cloudwatch — プリンシパルが Amazon CloudWatch メトリクスの統計情報を取得することを許可します。

  • ec2 — プリンシパルがアベイラビリティーゾーンとネットワークリソースを記述することを許可します。

  • logs — プリンシパルがロググループの CloudWatch Logs ログストリームを記述し、CloudWatch Logs ログイベントを取得することを許可します。

  • devops-guru - プリンシパルが Amazon DevOps Guru の対象となるリソースを記述できるようにします。リソースは、CloudFormation スタック名またはリソースタグで指定されます。

JSON ポリシードキュメントを含むこのポリシーの詳細については、AWS マネージドポリシーリファレンスガイドの「AmazonRDSReadOnlyAccess」を参照してください。

AWS マネージドポリシー: AmazonRDSFullAccess

このポリシーは、AWS Management Console を通じて Amazon RDS へのフルアクセスを提供します。

許可の詳細

このポリシーには、以下の許可が含まれています。

  • rds - プリンシパルに Amazon RDS へのフルアクセスを許可します。

  • application-autoscaling — プリンシパルがアプリケーションオートスケーリングのターゲットとポリシーを記述し、管理することを許可します。

  • cloudwatch — プリンシパルが CloudWatch メトリクスの統計を取得し、CloudWatch アラームを管理することを許可します。

  • ec2 — プリンシパルがアベイラビリティーゾーンとネットワークリソースを記述することを許可します。

  • logs — プリンシパルがロググループの CloudWatch Logs ログストリームを記述し、CloudWatch Logs ログイベントを取得することを許可します。

  • outposts — プリンシパルが AWS Outposts インスタンスタイプを取得することを許可します。

  • pi — プリンシパルが Performance Insights メトリクスを取得することを許可します。

  • sns — プリンシパルが Amazon Simple Notification Service (Amazon SNS) のサブスクリプションとトピックにアクセスして、Amazon SNS メッセージを発行することを許可します。

  • devops-guru - プリンシパルが Amazon DevOps Guru の対象となるリソースを記述できるようにします。リソースは、CloudFormation スタック名またはリソースタグで指定されます。

JSON ポリシードキュメントを含むこのポリシーの詳細については、AWS マネージドポリシーリファレンスガイドの「AmazonRDSFullAccess」を参照してください。

AWS マネージドポリシー: AmazonRDSDataFullAccess

このポリシーは、特定の AWS アカウント 内の Aurora Serverless クラスターに対して Data API とクエリエディタを使用するためのフルアクセスを許可します。このポリシーは、AWS アカウント が AWS Secrets Manager からシークレットの値を取得することを許可します。

AmazonRDSDataFullAccess ポリシーは IAM ID にアタッチできます。

許可の詳細

このポリシーには、以下の許可が含まれています。

  • dbqms — プリンシパルにクエリへのアクセス、作成、削除、記述、および更新を許可します。データベースクエリメタデータサービス (dbqms) は、内部専用のサービスです。このサービスでは、Amazon RDS を含む複数の AWS services について、最新および保存済みのクエリを、AWS Management Console のクエリエディタ用に提供します。

  • rds-data — プリンシパルが Aurora Serverless データベースに対して SQL ステートメントを実行するのを許可します。

  • secretsmanager — プリンシパルが AWS Secrets Manager からシークレットの値を取得するのを許可します。

JSON ポリシードキュメントを含むこのポリシーの詳細については、AWS マネージドポリシーリファレンスガイドの「AmazonRDSDataFullAccess」を参照してください。

AWS マネージドポリシー: AmazonRDSEnhancedMonitoringRole

このポリシーは、Amazon RDS 拡張モニタリング用の Amazon CloudWatch Logs へのアクセスを提供します。

許可の詳細

このポリシーには、以下の許可が含まれています。

  • logs — プリンシパルが CloudWatch Logs ロググループと保持ポリシーを作成し、ロググループの CloudWatch Logs ログストリームを作成および記述することを許可します。また、プリンシパルが CloudWatch Logs ログイベントを設定および取得することも許可します。

JSON ポリシードキュメントを含むこのポリシーの詳細については、AWS マネージドポリシーリファレンスガイドの「AmazonRDSEnhancedMonitoringRole」を参照してください。

AWS マネージドポリシー: AmazonRDSPerformanceInsightsReadOnly

このポリシーは、Amazon RDS DB インスタンスと Amazon Aurora DB クラスター用の Amazon RDS Performance Insights への読み取り専用アクセスを提供します。

このポリシーには、ポリシードキュメントの識別子として Sid (ステートメント ID) が含まれるようになりました。

許可の詳細

このポリシーには、以下の許可が含まれています。

  • rds — プリンシパルが Amazon RDS DB インスタンスと Amazon Aurora DB クラスターを記述することを許可します。

  • pi — プリンシパルが Amazon RDS Performance Insights API を呼び出し、Performance Insights メトリクスにアクセスすることを許可します。

JSON ポリシードキュメントを含むこのポリシーの詳細については、AWS マネージドポリシーリファレンスガイドの「AmazonRDSPerformanceInsightsReadOnly」を参照してください。

AWS 管理ポリシー: AmazonRDSPerformanceInsightsFullAccess

このポリシーは、Amazon RDS DB インスタンスと Amazon Aurora DB クラスター用の Amazon RDS Performance Insights へのフルアクセスを提供します。

このポリシーには、ポリシードキュメントの識別子として Sid (ステートメント ID) が含まれるようになりました。

許可の詳細

このポリシーには、以下の許可が含まれています。

  • rds — プリンシパルが Amazon RDS DB インスタンスと Amazon Aurora DB クラスターを記述することを許可します。

  • pi — プリンシパルが Amazon RDS Performance Insights API を呼び出したり、パフォーマンス分析レポートを作成、表示、削除したりすることを許可します。

  • cloudwatch — プリンシパルが Amazon CloudWatch メトリクスを一覧表示し、メトリクスデータと統計を取得するのを許可します。

JSON ポリシードキュメントを含め、このポリシーの詳細については、「AWS マネージドポリシーリファレンスガイド」の「AmazonRDSPerformanceInsightsFullAccess」を参照してください。

AWS マネージドポリシー: AmazonRDSDirectoryServiceAccess

このポリシーは、Amazon RDS が AWS Directory Service を呼び出すことを許可します。

許可の詳細

このポリシーには、以下の許可が含まれています。

  • ds — プリンシパルが AWS Directory Service ディレクトリを記述し、AWS Directory Service ディレクトリへの認可を制御することを許可します。

JSON ポリシードキュメントを含むこのポリシーの詳細については、AWS マネージドポリシーリファレンスガイドの「AmazonRDSDirectoryServiceAccess」を参照してください。

AWS マネージドポリシー: AmazonRDSServiceRolePolicy

IAM エンティティに AmazonRDSServiceRolePolicy をアタッチすることはできません。このポリシーは、Amazon RDS がユーザーに代わってアクションを実行することを許可するサービスリンクロールにアタッチされます。詳細については、「Amazon RDS のサービスにリンクされたロールのアクセス許可」を参照してください。

AWS マネージドポリシー: AmazonRDSCustomServiceRolePolicy

IAM エンティティに AmazonRDSCustomServiceRolePolicy をアタッチすることはできません。このポリシーは、Amazon RDS がユーザーに代わってアクションを実行することを許可するサービスリンクロールにアタッチされます。

このポリシーには、以下の許可が含まれています。

  • ec2 - RDS Custom が、ポイントインタイム復元機能を提供する DB インスタンスでバックアップ操作を実行することを許可します。

  • secretsmanager ‐ RDS Custom が RDS Custom によって作成された DB インスタンス固有のシークレットを管理できるようにします。

  • cloudwatch - RDS Custom が CloudWatch エージェントを介して DB インスタンスメトリクスとログを CloudWatch にアップロードすることを許可します。

  • eventssqs‐ RDS Custom が DB インスタンスに関するステータス情報を送受信できるようにします。

詳細については、「Amazon RDS Custom のサービスにリンクされたロール許可」を参照してください。

AWS マネージドポリシー: AmazonRDSCustom Instance ProfileRolePolicy

IAM エンティティに AmazonRDSCustomInstanceProfileRolePolicy をアタッチしないでください。このポリシーは、さまざまなオートメーションアクションとデータベース管理タスクを実行するためのアクセス許可を Amazon RDS Custom DB インスタンスに付与するために使用されるインスタンスプロファイルロールにのみアタッチする必要があります。RDS Custom インスタンスの作成時にインスタンスプロファイルを custom-iam-instance-profile パラメータとして渡すと、RDS Custom はこのインスタンスプロファイルを DB インスタンスに関連付けます。

許可の詳細

このポリシーには、以下の許可が含まれています。

  • ssmssmmessagesec2messages ‐ RDS Custom が Systems Manager を介して DB インスタンスで通信、自動化の実行、エージェントの管理を実行できるようにします。

  • ec2s3 ‐ RDS Custom が、ポイントインタイム復元機能を提供する DB インスタンスでバックアップオペレーションを実行できるようにします。

  • secretsmanager ‐ RDS Custom が RDS Custom によって作成された DB インスタンス固有のシークレットを管理できるようにします。

  • cloudwatchlogs‐ RDS Custom が CloudWatch エージェントを介して DB インスタンスのメトリクスとログを CloudWatch にアップロードできるようにします。

  • eventssqs‐ RDS Custom が DB インスタンスに関するステータス情報を送受信できるようにします。

  • kms ‐ RDS Custom がインスタンス固有の KMS キーを使用して、RDS Custom が管理するシークレットと S3 オブジェクトの暗号化を実行できるようにします。

JSON ポリシードキュメントなど、このポリシーの詳細については、「AWS マネージドポリシーリファレンスガイド」の「AmazonRDSCustomInstanceProfileRolePolicy」を参照してください。