Amazon RDS のアクション、リソース、および条件キー
Amazon RDS (サービスプレフィックス: rds) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。
参照:
-
このサービスを設定する方法について説明します。
-
このサービスで使用可能な API オペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。
Amazon RDS で定義されるアクション
IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。
[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。
注記
リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
| アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
|---|---|---|---|---|---|
| AddRoleToDBCluster | Aurora DB クラスターから Identity and Access Management (IAM) ロールを関連付けるアクセス許可を付与 | 書き込み |
iam:PassRole |
||
| AddRoleToDBInstance | AWS Identity and Access Management (IAM) ロールを DB インスタンスに関連付けるアクセス許可を付与 | 書き込み |
iam:PassRole |
||
| AddSourceIdentifierToSubscription | 既存の RDS イベント通知サブスクリプションにソース識別子を追加する許可を付与。 | 書き込み | |||
| AddTagsToResource | Amazon RDS リソースにメタデータタグを追加する許可を付与。 | タグ付け | |||
| ApplyPendingMaintenanceAction | 保留中のメンテナンスアクションをリソースに適用する許可を付与。 | 書き込み | |||
| AuthorizeDBSecurityGroupIngress | 2 つの認可形式のいずれかを使用して、DBSecurityGroup への入力を有効にする許可を付与。 | Permissions management | |||
| BacktrackDBCluster | 新しい DB クラスターを作成せずに、DB クラスターを特定時点にバックトラックするためのアクセス許可を付与 | 書き込み | |||
| CancelExportTask | 進行中のエクスポートタスクをキャンセルする許可を付与。 | 書き込み | |||
| CopyCustomDBEngineVersion [アクセス許可のみ] | カスタムエンジンのバージョンをコピーする許可を付与する | 書き込み | |||
| CopyDBClusterParameterGroup | 指定された DB クラスターパラメータグループをコピーする許可を付与。 | 書き込み |
rds:AddTagsToResource |
||
| CopyDBClusterSnapshot | DB クラスターのスナップショットを作成する許可を付与。 | 書き込み |
rds:AddTagsToResource |
||
| CopyDBParameterGroup | 指定された DB パラメータグループをコピーする許可を付与。 | 書き込み |
rds:AddTagsToResource |
||
| CopyDBSnapshot | 指定された DB スナップショットをコピーする許可を付与。 | 書き込み |
rds:AddTagsToResource rds:CopyCustomDBEngineVersion |
||
| CopyOptionGroup | 指定されたオプショングループをコピーする許可を付与。 | 書き込み |
rds:AddTagsToResource |
||
| CreateBlueGreenDeployment | 特定のソースクラスターまたはインスタンスにブルーグリーンデプロイメントを作成する許可を付与 | 書き込み |
rds:AddTagsToResource rds:CreateDBCluster rds:CreateDBClusterEndpoint rds:CreateDBInstance rds:CreateDBInstanceReadReplica |
||
| CreateCustomDBEngineVersion | カスタムエンジンのバージョンを作成するためのアクセス許可を付与 | 書き込み |
iam:CreateServiceLinkedRole mediaimport:CreateDatabaseBinarySnapshot rds:AddTagsToResource |
||
| CreateDBCluster | 新しい DB クラスターを作成する許可を付与する | 書き込み |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateDBInstance secretsmanager:CreateSecret secretsmanager:TagResource |
||
| CreateDBClusterEndpoint | 新しいカスタムエンドポイントを作成する許可を付与し、それを Amazon Aurora DB クラスターまたは Amazon DocumentDB クラスターに関連付ける | 書き込み |
rds:AddTagsToResource |
||
| CreateDBClusterParameterGroup | 新しい DB クラスターパラメータグループを作成する許可を付与。 | 書き込み |
rds:AddTagsToResource |
||
| CreateDBClusterSnapshot | DB クラスターのスナップショットを作成する許可を付与。 | 書き込み |
rds:AddTagsToResource |
||
| CreateDBInstance | 新しい DB インスタンスを作成する許可を付与。 | 書き込み |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateTenantDatabase secretsmanager:CreateSecret secretsmanager:TagResource |
||
| CreateDBInstanceReadReplica | ソース DB インスタンスのリードレプリカとして動作する DB インスタンスを作成するためのアクセス許可を付与 | 書き込み |
iam:PassRole rds:AddTagsToResource |
||
| CreateDBParameterGroup | 新しい DB パラメータグループを作成する許可を付与。 | 書き込み |
rds:AddTagsToResource |
||
| CreateDBProxy | データベースプロキシを作成する許可を付与。 | 書き込み |
iam:PassRole |
||
| CreateDBProxyEndpoint | データベースプロキシエンドポイントを作成するアクセス許可を付与 | 書き込み | |||
| CreateDBSecurityGroup | DB セキュリティグループを作成する許可を付与。DB セキュリティグループは、DB インスタンスへのアクセスを制御します。 | 書き込み |
rds:AddTagsToResource |
||
| CreateDBShardGroup | 新しい Aurora Limitless データベース (DB) シャードグループを作成する許可を付与する | 書き込み | |||
| CreateDBSnapshot | DBSnapshot を作成する許可を付与。 | 書き込み |
rds:AddTagsToResource |
||
| CreateDBSubnetGroup | 新しい DB サブネットグループを作成する許可を付与。 | 書き込み |
rds:AddTagsToResource |
||
| CreateEventSubscription | RDS イベント通知サブスクリプションを作成する許可を付与。 | 書き込み |
rds:AddTagsToResource |
||
| CreateGlobalCluster | 複数のリージョンにまたがる Aurora グローバルデータベースまたは DocumentDB グローバルデータベースを作成する許可を付与する | 書き込み | |||
| CreateIntegration | Redshift との Aurora ゼロ ETL 統合を作成する許可を付与 | 書き込み |
kms:CreateGrant kms:DescribeKey rds:AddTagsToResource |
||
| CreateOptionGroup | 新しいオプショングループを作成する許可を付与。 | 書き込み |
rds:AddTagsToResource |
||
| CreateTenantDatabase | 新しいテナントデータベースを作成する許可を付与 | 書き込み |
rds:AddTagsToResource |
||
| CrossRegionCommunication [アクセス許可のみ] | クロスリージョンスナップショットコピーやクロスリージョンリードレプリカの作成など、クロスリージョンオペレーションを実行するときにリモートリージョン内のリソースにアクセスする許可を付与。 | 書き込み | |||
| DeleteBlueGreenDeployment | ブルーグリーンデプロイメントを削除する許可を付与 | 書き込み |
rds:DeleteDBCluster rds:DeleteDBClusterEndpoint rds:DeleteDBInstance rds:PromoteReadReplica rds:PromoteReadReplicaDBCluster |
||
| DeleteCustomDBEngineVersion | 既存のカスタムエンジンバージョンを削除するためのアクセス許可を付与 | 書き込み | |||
| DeleteDBCluster | 以前にプロビジョニングされた DB クラスターを削除する許可を付与。 | 書き込み |
rds:AddTagsToResource rds:CreateDBClusterSnapshot rds:DeleteDBInstance |
||
| DeleteDBClusterAutomatedBackup | ソースクラスターの DbClusterResourceId 値または復元可能なクラスターのリソース ID に基づいて、クラスターの自動バックアップを削除する許可を付与 | 書き込み | |||
| DeleteDBClusterEndpoint | カスタムエンドポイントを削除するアクセス許可を付与し、Amazon Aurora DB クラスターまたは Amazon DocumentDB クラスターから削除する | 書き込み | |||
| DeleteDBClusterParameterGroup | 指定された DB クラスターパラメータグループを削除する許可を付与。 | 書き込み | |||
| DeleteDBClusterSnapshot | DB クラスタースナップショットを削除する許可を付与。 | 書き込み | |||
| DeleteDBInstance | 以前にプロビジョニングされた DB インスタンスを削除する許可を付与。 | 書き込み |
rds:AddTagsToResource rds:CreateDBSnapshot rds:DeleteTenantDatabase |
||
| DeleteDBInstanceAutomatedBackup | ソースインスタンスの DbiResourceId 値または復元可能なインスタンスのリソース ID に基づいて、自動バックアップを削除する許可を付与。 | 書き込み | |||
| DeleteDBParameterGroup | 指定された DBParameterGroup を削除する許可を付与。 | 書き込み | |||
| DeleteDBProxy | データベースプロキシを削除する許可を付与。 | 書き込み | |||
| DeleteDBProxyEndpoint | データベースプロキシエンドポイントを削除するアクセス許可を付与 | 書き込み | |||
| DeleteDBSecurityGroup | DB セキュリティグループを削除する許可を付与。 | 書き込み | |||
| DeleteDBShardGroup | Aurora Limitless データベース (DB) シャードグループを削除する許可を付与する | 書き込み | |||
| DeleteDBSnapshot | DBSnapshot を削除する許可を付与。 | 書き込み | |||
| DeleteDBSubnetGroup | DB サブネットグループを削除する許可を付与。 | 書き込み | |||
| DeleteEventSubscription | RDS イベント通知サブスクリプションを削除する許可を付与。 | 書き込み | |||
| DeleteGlobalCluster | グローバルデータベースクラスターを削除する許可を付与。 | 書き込み | |||
| DeleteIntegration | Redshift との Aurora ゼロ ETL 統合を削除する許可を付与 | 書き込み | |||
| DeleteOptionGroup | 既存のオプショングループを削除する許可を付与。 | 書き込み | |||
| DeleteTenantDatabase | テナントデータベースを削除する許可を付与 | 書き込み |
rds:AddTagsToResource rds:CreateDBSnapshot |
||
| DeregisterDBProxyTargets | データベースプロキシターゲットグループからターゲットを削除する許可を付与。 | 書き込み | |||
| DescribeAccountAttributes | お客様のアカウントの属性をすべて一覧表示する許可を付与。 | リスト | |||
| DescribeBlueGreenDeployments | ブルーグリーンデプロイメントを記述する許可を付与 | リスト | |||
| DescribeCertificates | 現在の AWS アカウント のために Amazon RDS により提供された CA 証明書のセットを、リストするためのアクセス許可を付与 | リスト | |||
| DescribeDBClusterAutomatedBackups | 現在のクラスターと削除されたクラスターの両方について、クラスターの自動バックアップのリストを返す許可を付与 | リスト | |||
| DescribeDBClusterBacktracks | DB クラスターのバックトラックに関する情報を返すアクセス許可を付与 | リスト | |||
| DescribeDBClusterEndpoints | Amazon Aurora DB クラスターのエンドポイントに関する情報を返すアクセス許可を付与 | リスト | |||
| DescribeDBClusterParameterGroups | DBClusterParameterGroup の説明のリストを返すアクセス許可を付与 | リスト | |||
| DescribeDBClusterParameters | 特定の DB クラスターパラメータグループの詳細なパラメータリストを返すアクセス許可を付与 | リスト | |||
| DescribeDBClusterSnapshotAttributes | 手動の DB クラスタースナップショットの DB クラスタースナップショットの属性名と値のリストを返すアクセス許可を付与 | リスト | |||
| DescribeDBClusterSnapshots | DB クラスターのスナップショットに関する情報を返すアクセス許可を付与 | リスト | |||
| DescribeDBClusters | プロビジョニングされた Aurora DB クラスターまたは DocumentDB グローバルクラスターに関する情報を返すアクセス許可を付与する | リスト | |||
| DescribeDBEngineVersions | 使用可能な DB エンジンのリストを返すアクセス許可を付与 | リスト | |||
| DescribeDBInstanceAutomatedBackups | 現在のインスタンスと削除されたインスタンスの両方について、自動バックアップのリストを返すアクセス許可を付与 | リスト | |||
| DescribeDBInstances | プロビジョニングされた RDS インスタンスに関する情報を返すアクセス許可を付与 | リスト | |||
| DescribeDBLogFiles | DB インスタンスの DB ログファイルのリストを返すアクセス許可を付与 | リスト | |||
| DescribeDBParameterGroups | DBParameterGroup の説明のリストを返すアクセス許可を付与 | リスト | |||
| DescribeDBParameters | 特定の DB パラメータグループの詳細なパラメータリストを返すアクセス許可を付与 | リスト | |||
| DescribeDBProxies | プロキシを表示する許可を付与。 | リスト | |||
| DescribeDBProxyEndpoints | プロキシエンドポイントを表示するアクセス許可を付与 | リスト | |||
| DescribeDBProxyTargetGroups | データベースプロキシターゲットグループの詳細を表示する許可を付与。 | リスト | |||
| DescribeDBProxyTargets | データベースプロキシターゲットの詳細を表示する許可を付与。 | リスト | |||
| DescribeDBRecommendations | 奨励事項の詳細を一覧表示する許可を付与 | リスト | |||
| DescribeDBSecurityGroups | DBSecurityGroup の説明のリストを返すアクセス許可を付与 | リスト | |||
| DescribeDBShardGroups | このアカウントのすべての Aurora Limitless データベース (DB) シャードグループに関する情報を返す許可を付与します。シャードグループ (複数可) でフィルタリングできます | リスト | |||
| DescribeDBSnapshotAttributes | 手動 DB スナップショットの DB スナップショットの属性名と値のリストを返すアクセス許可を付与 | リスト | |||
| DescribeDBSnapshotTenantDatabases | DB スナップショット内のテナントデータベースに関する情報を返す許可を付与 リージョンまたはスナップショットでフィルタリングできます | リスト | |||
| DescribeDBSnapshots | DB スナップショットに関する情報を返すアクセス許可を付与 | リスト | |||
| DescribeDBSubnetGroups | DBSubnetGroup の説明のリストを返すアクセス許可を付与 | リスト | |||
| DescribeEngineDefaultClusterParameters | クラスターのデータベースエンジンのデフォルトのエンジンおよびシステムパラメータ情報を返すアクセス許可を付与 | リスト | |||
| DescribeEngineDefaultParameters | 指定されたデータベースエンジンのデフォルトのエンジンおよびシステムパラメータ情報を返すアクセス許可を付与 | リスト | |||
| DescribeEventCategories | すべてのイベントソースタイプか、指定されている場合は、指定されたソースタイプのイベントカテゴリのリストを表示する許可を付与。 | リスト | |||
| DescribeEventSubscriptions | お客様アカウントのサブスクリプションの説明をすべて表示する許可を付与。 | リスト | |||
| DescribeEvents | DB インスタンス、DB セキュリティグループ、DB スナップショット、DB パラメータグループに関連する過去 14 日間のイベントを返すアクセス許可を付与 | リスト | |||
| DescribeExportTasks | エクスポートタスクに関する情報を返すアクセス許可を付与 | リスト | |||
| DescribeGlobalClusters | Aurora グローバルデータベースクラスターまたは DocumentDB グローバルデータベースクラスターに関する情報を返す許可を付与する | リスト | |||
| DescribeIntegrations | Redshift との Aurora ゼロ ETL 統合を記述する許可を付与 | リスト | |||
| DescribeOptionGroupOptions | 使用可能なすべてのオプションを記述する許可を付与。 | リスト | |||
| DescribeOptionGroups | 使用可能なオプショングループを記述する許可を付与。 | リスト | |||
| DescribeOrderableDBInstanceOptions | 指定されたエンジンの注文可能な DB インスタンスオプションのリストを返すアクセス許可を付与 | リスト | |||
| DescribePendingMaintenanceActions | 少なくとも 1 つの保留中のメンテナンスアクションを含むリソース (例: DB インスタンス) のリストを返すアクセス許可を付与 | リスト | |||
| DescribeRecommendationGroups [アクセス許可のみ] | 推奨事項グループに関する情報を返すためのアクセス許可を付与 | 読み込み | |||
| DescribeRecommendations [アクセス許可のみ] | 推奨事項に関する情報を返すためのアクセス許可を付与 | 読み込み | |||
| DescribeReservedDBInstances | このアカウントのリザーブド DB インスタンス、または指定されたリザーブド DB インスタンスに関する情報を返すアクセス許可を付与 | リスト | |||
| DescribeReservedDBInstancesOfferings | 利用可能なリザーブド DB インスタンスを一覧表示する許可を付与。 | リスト | |||
| DescribeSourceRegions | 現在の AWS リージョン がリードレプリカの作成元にできる、または DB スナップショットのコピー元にできる、ソース AWS リージョン のリストを返すアクセス許可を付与 | リスト | |||
| DescribeTenantDatabases | プロビジョニングされたテナントデータベースに関する情報を返す許可を付与 リージョンまたはスナップショットでフィルタリングできます | リスト | |||
| DescribeValidDBInstanceModifications | DB インスタンスに対して実行可能な変更を一覧表示する許可を付与。 | リスト | |||
| DisableHttpEndpoint | DB クラスターの HTTP エンドポイントを無効にする許可を付与 | 書き込み | |||
| DownloadCompleteDBLogFile | 指定されたログファイルをダウンロードする許可を付与 | 読み込み | |||
| DownloadDBLogFilePortion | 指定されたログファイルのすべてまたは一部 (最大サイズは 1 MB) をダウンロードする許可を付与。 | 読み取り | |||
| EnableHttpEndpoint | DB クラスターの HTTP エンドポイントを有効にする許可を付与 | 書き込み | |||
| FailoverDBCluster | DB クラスターのフェイルオーバーを強制する許可を付与。 | 書き込み | |||
| FailoverGlobalCluster | グローバルクラスターをフェイルオーバーする許可を付与 | 書き込み | |||
| ListTagsForResource | Amazon RDS リソースのすべてのタグを一覧表示する許可を付与。 | 読み取り | |||
| ModifyActivityStream | データベースアクティビティストリームを変更する許可を付与 | 書き込み | |||
| ModifyCertificates | 新しい DB インスタンスの Amazon RDS のシステムのデフォルトの Secure Sockets Layer/Transport Layer Security (SSL/TLS) 証明書を変更する許可を付与 | 書き込み | |||
| ModifyCurrentDBClusterCapacity | Amazon Aurora Serverless DB クラスターの現在のクラスター容量を変更する許可を付与する | 書き込み | |||
| ModifyCustomDBEngineVersion | 既存のカスタムエンジンバージョンを変更するためのアクセス許可を付与 | 書き込み | |||
| ModifyDBCluster | Amazon Aurora DB クラスターまたは Amazon DocumentDB クラスターの設定を変更する許可を付与する | 書き込み |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:ModifyDBInstance secretsmanager:CreateSecret secretsmanager:RotateSecret secretsmanager:TagResource |
||
| ModifyDBClusterEndpoint | Amazon Aurora DB クラスターまたは Amazon DocumentDB クラスターのエンドポイントのプロパティを変更する許可を付与する | 書き込み | |||
| ModifyDBClusterParameterGroup | DB クラスターのパラメータグループのパラメータを変更する許可を付与。 | 書き込み | |||
| ModifyDBClusterSnapshotAttribute | 属性および値を、手動 DB クラスタースナップショットに追加するか、ここから属性および値を削除する許可を付与。 | 書き込み | |||
| ModifyDBInstance | DB インスタンスの設定を変更する許可を付与。 | 書き込み |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateTenantDatabase secretsmanager:CreateSecret secretsmanager:RotateSecret secretsmanager:TagResource |
||
| ModifyDBParameterGroup | DB パラメータグループのパラメータを変更する許可を付与。 | 書き込み | |||
| ModifyDBProxy | データベースプロキシを変更する許可を付与。 | 書き込み |
iam:PassRole |
||
| ModifyDBProxyEndpoint | データベースプロキシエンドポイントを変更するアクセス許可を付与 | 書き込み | |||
| ModifyDBProxyTargetGroup | データベースプロキシのターゲットグループを変更する許可を付与。 | 書き込み | |||
| ModifyDBRecommendation | 推奨事項を変更するためのアクセス許可を付与 | 書き込み | |||
| ModifyDBShardGroup | Aurora Limitless データベース (DB) シャードグループのプロパティを変更する許可を付与する | 書き込み | |||
| ModifyDBSnapshot | 暗号化可能かどうかにかかわらず、手動の DB スナップショットを新しいエンジンバージョンで更新する許可を付与。 | 書き込み | |||
| ModifyDBSnapshotAttribute | 属性および値を、手動 DB スナップショットに追加するか、ここから属性および値を削除する許可を付与。 | 書き込み | |||
| ModifyDBSubnetGroup | 既存の DB サブネットグループを変更する許可を付与。 | 書き込み | |||
| ModifyEventSubscription | 既存の RDS イベント通知サブスクリプションを変更する許可を付与。 | 書き込み | |||
| ModifyGlobalCluster | Amazon Aurora グローバルクラスターまたは Amazon DocumentDB グローバルクラスターの設定を変更する許可を付与する | 書き込み | |||
| ModifyIntegration | Redshift との Aurora ゼロ ETL 統合を変更する許可を付与する | 書き込み | |||
| ModifyOptionGroup | 既存のオプショングループを変更する許可を付与。 | 書き込み |
iam:PassRole |
||
| ModifyRecommendation [アクセス許可のみ] | 推奨事項を変更するためのアクセス許可を付与 | 書き込み | |||
| ModifyTenantDatabase | テナントデータベースを変更する許可を付与 | 書き込み | |||
| PromoteReadReplica | リードレプリカ DB インスタンスをスタンドアロン DB インスタンスに昇格させるアクセス許可を付与 | 書き込み | |||
| PromoteReadReplicaDBCluster | リードレプリカ DB クラスターをスタンドアロン DB クラスターに昇格させるアクセス許可を付与 | 書き込み | |||
| PurchaseReservedDBInstancesOffering | リザーブド DB インスタンスを購入する許可を付与。 | 書き込み | |||
| RebootDBCluster | 以前にプロビジョニングされた DB クラスターを再起動する許可を付与 | 書き込み |
rds:RebootDBInstance |
||
| RebootDBInstance | データベースエンジンサービスを再起動する許可を付与。 | 書き込み | |||
| RebootDBShardGroup | Aurora Limitless データベース (DB) シャードグループを再起動する許可を付与する | 書き込み | |||
| RegisterDBProxyTargets | データベースプロキシターゲットグループにターゲットを追加する許可を付与。 | 書き込み | |||
| RemoveFromGlobalCluster | Aurora グローバルデータベースクラスターまたは DocumentDB グローバルクラスターから Aurora セカンダリクラスターをデタッチする許可を付与する | 書き込み | |||
| RemoveRoleFromDBCluster | Amazon Aurora DB クラスターから AWS Identity and Access Management (IAM) ロールの関連付けを解除するアクセス許可を付与 | 書き込み |
iam:PassRole |
||
| RemoveRoleFromDBInstance | DB インスタンスから AWS Identity and Access Management (IAM) ロールの関連付けを解除するアクセス許可を付与 | 書き込み |
iam:PassRole |
||
| RemoveSourceIdentifierFromSubscription | 既存の RDS イベント通知サブスクリプションからソース識別子を削除する許可を付与。 | 書き込み | |||
| RemoveTagsFromResource | Amazon RDS リソースからメタデータタグを削除する許可を付与。 | タグ付け | |||
| ResetDBClusterParameterGroup | DB クラスターパラメータグループのパラメータをデフォルト値に変更する許可を付与。 | 書き込み | |||
| ResetDBParameterGroup | DB パラメータグループのパラメータをエンジン/システムのデフォルト値に変更する許可を付与。 | 書き込み | |||
| RestoreDBClusterFromS3 | Amazon S3 バケットに格納されたデータから Amazon Aurora DB クラスターを作成する許可を付与。 | 書き込み |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource secretsmanager:CreateSecret secretsmanager:TagResource |
||
| RestoreDBClusterFromSnapshot | DB クラスタースナップショットから新しい DB クラスターを作成する許可を付与。 | 書き込み |
iam:PassRole rds:AddTagsToResource rds:CreateDBInstance |
||
| RestoreDBClusterToPointInTime | DB クラスターを任意の時点に復元する許可を付与。 | 書き込み |
iam:PassRole rds:AddTagsToResource rds:CreateDBInstance |
||
| RestoreDBInstanceFromDBSnapshot | DB スナップショットから新しい DB インスタンスを作成する許可を付与。 | 書き込み |
iam:PassRole rds:AddTagsToResource rds:CreateTenantDatabase |
||
| RestoreDBInstanceFromS3 | Amazon S3 バケットから新しい DB インスタンスを作成する許可を付与。 | 書き込み |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource secretsmanager:CreateSecret secretsmanager:TagResource |
||
| RestoreDBInstanceToPointInTime | DB インスタンスを任意の時点に復元する許可を付与。 | 書き込み |
iam:PassRole rds:AddTagsToResource rds:CreateTenantDatabase |
||
| RevokeDBSecurityGroupIngress | 以前に承認された IP 範囲の DBSecurityGroup、または EC2 か VPC のセキュリティグループの進入を取り消すアクセス許可を付与 | 書き込み | |||
| StartActivityStream | アクティビティストリームを開始する許可を付与。 | 書き込み | |||
| StartDBCluster | DB クラスターを開始するためのアクセス許可を付与 | 書き込み | |||
| StartDBInstance | DB インスタンスを起動する許可を付与。 | 書き込み | |||
| StartDBInstanceAutomatedBackupsReplication | 別の AWS リージョン への自動バックアップのレプリケーションを開始するアクセス許可を付与 | 書き込み | |||
| StartExportTask | DB スナップショットの新しいエクスポートタスクを開始する許可を付与。 | 書き込み |
iam:PassRole |
||
| StopActivityStream | アクティビティストリームを停止する許可を付与。 | 書き込み | |||
| StopDBCluster | DB クラスターを停止する許可を付与。 | 書き込み | |||
| StopDBInstance | DB インスタンスを停止する許可を付与。 | 書き込み |
rds:AddTagsToResource rds:CreateDBSnapshot |
||
| StopDBInstanceAutomatedBackupsReplication | DB インスタンスの自動バックアップレプリケーションを停止する許可を付与 | 書き込み | |||
| SwitchoverBlueGreenDeployment | ブルーグリーンデプロイメントをソースクラスターまたはインスタンスからターゲットに切り替える許可を付与 | 書き込み |
rds:ModifyDBCluster rds:ModifyDBInstance rds:PromoteReadReplica rds:PromoteReadReplicaDBCluster |
||
| SwitchoverGlobalCluster | グローバルクラスターをスイッチオーバーする許可を付与 | 書き込み | |||
| SwitchoverReadReplica | リードレプリカを切り替える許可を付与し、新しいプライマリデータベースにします | 書き込み |
Amazon RDS で定義されるリソースタイプ
以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。
| リソースタイプ | ARN | 条件キー |
|---|---|---|
| cluster |
arn:${Partition}:rds:${Region}:${Account}:cluster:${DbClusterInstanceName}
|
|
| shardgrp |
arn:${Partition}:rds:${Region}:${Account}:shard-group:${DbShardGroupResourceId}
|
|
| cluster-auto-backup |
arn:${Partition}:rds:${Region}:${Account}:cluster-auto-backup:${DbClusterAutomatedBackupId}
|
|
| auto-backup |
arn:${Partition}:rds:${Region}:${Account}:auto-backup:${DbInstanceAutomatedBackupId}
|
|
| cluster-endpoint |
arn:${Partition}:rds:${Region}:${Account}:cluster-endpoint:${DbClusterEndpoint}
|
|
| cluster-pg |
arn:${Partition}:rds:${Region}:${Account}:cluster-pg:${ClusterParameterGroupName}
|
|
| cluster-snapshot |
arn:${Partition}:rds:${Region}:${Account}:cluster-snapshot:${ClusterSnapshotName}
|
|
| db |
arn:${Partition}:rds:${Region}:${Account}:db:${DbInstanceName}
|
|
| es |
arn:${Partition}:rds:${Region}:${Account}:es:${SubscriptionName}
|
|
| global-cluster |
arn:${Partition}:rds::${Account}:global-cluster:${GlobalCluster}
|
|
| og |
arn:${Partition}:rds:${Region}:${Account}:og:${OptionGroupName}
|
|
| pg |
arn:${Partition}:rds:${Region}:${Account}:pg:${ParameterGroupName}
|
|
| proxy |
arn:${Partition}:rds:${Region}:${Account}:db-proxy:${DbProxyId}
|
|
| proxy-endpoint |
arn:${Partition}:rds:${Region}:${Account}:db-proxy-endpoint:${DbProxyEndpointId}
|
|
| ri |
arn:${Partition}:rds:${Region}:${Account}:ri:${ReservedDbInstanceName}
|
|
| secgrp |
arn:${Partition}:rds:${Region}:${Account}:secgrp:${SecurityGroupName}
|
|
| snapshot |
arn:${Partition}:rds:${Region}:${Account}:snapshot:${SnapshotName}
|
|
| subgrp |
arn:${Partition}:rds:${Region}:${Account}:subgrp:${SubnetGroupName}
|
|
| target-group |
arn:${Partition}:rds:${Region}:${Account}:target-group:${TargetGroupId}
|
|
| cev |
arn:${Partition}:rds:${Region}:${Account}:cev:${Engine}/${EngineVersion}/${CustomDbEngineVersionId}
|
|
| deployment |
arn:${Partition}:rds:${Region}:${Account}:deployment:${BlueGreenDeploymentIdentifier}
|
|
| integration |
arn:${Partition}:rds:${Region}:${Account}:integration:${IntegrationIdentifier}
|
|
| snapshot-tenant-database |
arn:${Partition}:rds:${Region}:${Account}:snapshot-tenant-database:${SnapshotName}:${TenantResourceId}
|
|
| tenant-database |
arn:${Partition}:rds:${Region}:${Account}:tenant-database:${TenantResourceId}
|
Amazon RDS の条件キー
Amazon RDS では、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。
すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。
| 条件キー | 説明 | [Type] (タイプ) |
|---|---|---|
| aws:RequestTag/${TagKey} | リクエスト内のタグキーおよび値のペアによるアクセスをフィルタリングします。 | 文字列 |
| aws:ResourceTag/${TagKey} | リソースにアタッチされているタグのキーおよび値のペアによってアクセスをフィルタリングします。 | 文字列 |
| aws:TagKeys | リクエスト内のタグキーのセットでアクセスをフィルタリングします。 | ArrayOfString |
| rds:BackupTarget | バックアップターゲットのタイプでアクセスをフィルタリングします。地域および辺境の地のいづれか | 文字列 |
| rds:CopyOptionGroup | CopyDBSnapshot のアクションによる DB オプショングループのコピーが必要かどうかを指定する値でアクセスをフィルタリング | Bool |
| rds:DatabaseClass | DB インスタンスクラスのタイプでアクセスをフィルタリングします。 | 文字列 |
| rds:DatabaseEngine | データベースエンジンでアクセスをフィルタリングします。可能な値については、CreateDBInstance API のエンジンパラメータを参照してください。 | 文字列 |
| rds:DatabaseName | DB インスタンス上のデータベースのユーザー定義名でアクセスをフィルタリングします。 | 文字列 |
| rds:EndpointType | エンドポイントのタイプでアクセスをフィルタリングします。READER、WRITER、CUSTOM のいずれか。 | 文字列 |
| rds:ManageMasterUserPassword | RDS が DB インスタンスまたはクラスターの AWS Secrets Manager でマスターユーザーパスワードを管理するかどうかを指定する値でアクセスをフィルタリング | Bool |
| rds:MultiAz | DB インスタンスが複数のアベイラビリティーゾーンで実行されるかどうかを指定する値でアクセスをフィルタリングします。DB インスタンスがマルチ AZ を使用していることを示すには、true を指定します。 | Bool |
| rds:Piops | インスタンスでサポートされているプロビジョンド IOPS (PIOPS) の数を含む値でアクセスをフィルタリングします。PIOPS が有効になっていない DB インスタンスを示すには、0 を指定します。 | 数値 |
| rds:StorageEncrypted | DB インスタンスストレージを暗号化するかどうかを指定する値でアクセスをフィルタリングします。ストレージの暗号化を適用するには、true を指定します。 | Bool |
| rds:StorageSize | ストレージボリュームのサイズ (GB 単位) でアクセスをフィルタリングします。 | 数値 |
| rds:TenantDatabaseName | CreateTenantDatabase 内のテナントデータベース名と ModifyTenantDatabase 内の新しいテナントデータベース名でアクセスをフィルタリング | 文字列 |
| rds:Vpc | DB インスタンスを Amazon Virtual Private Cloud (Amazon VPC) で実行するかどうかを指定する値でアクセスをフィルタリングします。DB インスタンスが Amazon VPC で実行されていることを示すには、true を指定します。 | Bool |
| rds:cluster-pg-tag/${TagKey} | DB クラスターパラメータグループにアタッチされたタグでアクセスをフィルタリングします。 | 文字列 |
| rds:cluster-snapshot-tag/${TagKey} | DB クラスタースナップショットにアタッチされたタグでアクセスをフィルタリングします。 | 文字列 |
| rds:cluster-tag/${TagKey} | DB クラスターにアタッチされたタグでアクセスをフィルタリングします。 | 文字列 |
| rds:db-tag/${TagKey} | DB インスタンスにアタッチされたタグでアクセスをフィルタリングします。 | 文字列 |
| rds:es-tag/${TagKey} | イベントサブスクリプションにアタッチされたタグでアクセスをフィルタリングします。 | 文字列 |
| rds:og-tag/${TagKey} | DB オプショングループにアタッチされたタグでアクセスをフィルタリングします | 文字列 |
| rds:pg-tag/${TagKey} | DB パラメータグループにアタッチされたタグでアクセスをフィルタリングします。 | 文字列 |
| rds:req-tag/${TagKey} | リソースにタグを付けるために使用できるタグキーと値のセットでアクセスをフィルタリングします。 | 文字列 |
| rds:ri-tag/${TagKey} | リザーブド DB インスタンスにアタッチされたタグでアクセスをフィルタリングします。 | 文字列 |
| rds:secgrp-tag/${TagKey} | DB セキュリティグループにアタッチされたタグでアクセスをフィルタリングします。 | 文字列 |
| rds:snapshot-tag/${TagKey} | DB スナップショットにアタッチされたタグでアクセスをフィルタリングします | 文字列 |
| rds:subgrp-tag/${TagKey} | DB サブネットグループにアタッチされたタグでアクセスをフィルタリングします。 | 文字列 |
