Amazon RDS のアクション、リソース、および条件キー - サービス認証リファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon RDS のアクション、リソース、および条件キー

Amazon RDS (サービスプレフィックス: rds) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

Amazon RDS で定義されるアクション

IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AddRoleToDBCluster Aurora DB クラスターから Identity and Access Management (IAM) ロールを関連付けるアクセス許可を付与 書き込み

cluster*

iam:PassRole

AddRoleToDBInstance AWS Identity and Access Management (IAM) ロールを DB インスタンスに関連付けるアクセス許可を付与します 書き込み

db*

iam:PassRole

AddSourceIdentifierToSubscription 既存の RDS イベント通知サブスクリプションにソース識別子を追加する許可を付与。 書き込み

es*

AddTagsToResource Amazon RDS リソースにメタデータタグを追加する許可を付与。 タグ付け

cev

cluster

cluster-endpoint

cluster-pg

cluster-snapshot

db

deployment

es

integration

og

pg

proxy

proxy-endpoint

ri

secgrp

snapshot

snapshot-tenant-database

subgrp

target-group

tenant-database

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

ApplyPendingMaintenanceAction 保留中のメンテナンスアクションをリソースに適用する許可を付与。 書き込み

cluster

db

AuthorizeDBSecurityGroupIngress 2 つの認証形式のいずれかSecurityGroup を使用して DB への進入を有効にするアクセス許可を付与します 権限の管理

secgrp*

BacktrackDBCluster 新しい DB クラスターを作成せずに、DB クラスターを特定時点にバックトラックするためのアクセス許可を付与 書き込み

cluster*

CancelExportTask 進行中のエクスポートタスクをキャンセルする許可を付与。 書き込み
CopyDBClusterParameterGroup 指定された DB クラスターパラメータグループをコピーする許可を付与。 書き込み

cluster-pg*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

CopyDBClusterSnapshot DB クラスターのスナップショットを作成する許可を付与。 書き込み

cluster-snapshot*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

CopyDBParameterGroup 指定された DB パラメータグループをコピーする許可を付与。 書き込み

pg*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

CopyDBSnapshot 指定された DB スナップショットをコピーする許可を付与。 書き込み

snapshot*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:CopyOptionGroup

CopyOptionGroup 指定されたオプショングループをコピーする許可を付与。 書き込み

og*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

CreateBlueGreenDeployment 特定のソースクラスターまたはインスタンスにブルーグリーンデプロイメントを作成する許可を付与 書き込み

deployment*

rds:AddTagsToResource

rds:CreateDBCluster

rds:CreateDBClusterEndpoint

rds:CreateDBInstance

rds:CreateDBInstanceReadReplica

cluster

cluster-pg

db

pg

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

rds:cluster-tag/${TagKey}

rds:cluster-pg-tag/${TagKey}

rds:db-tag/${TagKey}

rds:pg-tag/${TagKey}

rds:req-tag/${TagKey}

rds:DatabaseEngine

rds:DatabaseName

rds:StorageEncrypted

rds:DatabaseClass

rds:StorageSize

rds:MultiAz

rds:Piops

rds:Vpc

CreateCustomDBEngineVersion カスタムエンジンのバージョンを作成するためのアクセス許可を付与 書き込み

cev*

iam:CreateServiceLinkedRole

mediaimport:CreateDatabaseBinarySnapshot

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDBCluster 新しい DB クラスターを作成する許可を付与 書き込み

cluster*

iam:PassRole

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

rds:AddTagsToResource

rds:CreateDBInstance

secretsmanager:CreateSecret

secretsmanager:TagResource

cluster-pg*

og*

subgrp*

db

global-cluster

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:DatabaseEngine

rds:DatabaseName

rds:StorageEncrypted

rds:DatabaseClass

rds:StorageSize

rds:Piops

rds:ManageMasterUserPassword

CreateDBClusterEndpoint 新しいカスタムエンドポイントを作成し、Amazon Aurora DB クラスターまたは Amazon DocumentDB クラスターに関連付けるアクセス許可を付与します 書き込み

cluster*

rds:AddTagsToResource

cluster-endpoint*

rds:EndpointType

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDBClusterParameterGroup 新しい DB クラスターパラメータグループを作成する許可を付与。 書き込み

cluster-pg*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBClusterSnapshot DB クラスターのスナップショットを作成する許可を付与。 書き込み

cluster*

rds:AddTagsToResource

cluster-snapshot*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBInstance 新しい DB インスタンスを作成する許可を付与。 書き込み

db*

iam:PassRole

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

rds:AddTagsToResource

rds:CreateTenantDatabase

secretsmanager:CreateSecret

secretsmanager:TagResource

cluster

og

pg

secgrp

subgrp

rds:BackupTarget

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:ManageMasterUserPassword

rds:MultiTenant

CreateDBInstanceReadReplica ソース DB インスタンスのリードレプリカとして動作する DB インスタンスを作成するためのアクセス許可を付与 書き込み

cluster*

iam:PassRole

rds:AddTagsToResource

db*

og*

pg*

subgrp*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBParameterGroup 新しい DB パラメータグループを作成する許可を付与。 書き込み

pg*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBProxy データベースプロキシを作成する許可を付与。 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

iam:PassRole

CreateDBProxyEndpoint データベースプロキシエンドポイントを作成するアクセス許可を付与 書き込み

proxy*

proxy-endpoint*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDBSecurityGroup DB セキュリティグループを作成する許可を付与。DB セキュリティグループは、DB インスタンスへのアクセスを制御します。 書き込み

secgrp*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBShardGroup 新しい Aurora Limitless Database DB シャードグループを作成するアクセス許可を付与します 書き込み

cluster*

shardgrp*

CreateDBSnapshot DBSnapshot を作成する許可を付与。 書き込み

db*

rds:AddTagsToResource

snapshot*

snapshot-tenant-database*

rds:BackupTarget

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBSubnetGroup 新しい DB サブネットグループを作成する許可を付与。 書き込み

subgrp*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateEventSubscription RDS イベント通知サブスクリプションを作成する許可を付与。 書き込み

es*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateGlobalCluster 複数のリージョンにまたがる Aurora グローバルデータベースまたは DocumentDB グローバルデータベースを作成するアクセス許可を付与します 書き込み

cluster*

global-cluster*

CreateIntegration Redshift との Aurora ゼロ ETL 統合を作成する許可を付与 書き込み

cluster*

kms:CreateGrant

kms:DescribeKey

rds:AddTagsToResource

integration*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateOptionGroup 新しいオプショングループを作成する許可を付与。 書き込み

og*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateTenantDatabase 新しいテナントデータベースを作成する許可を付与 書き込み

db*

rds:AddTagsToResource

tenant-database*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:TenantDatabaseName

CrossRegionCommunication [許可のみ] クロスリージョンスナップショットコピーやクロスリージョンリードレプリカの作成など、クロスリージョンオペレーションを実行するときにリモートリージョン内のリソースにアクセスする許可を付与。 書き込み
DeleteBlueGreenDeployment ブルーグリーンデプロイメントを削除する許可を付与 書き込み

deployment*

rds:DeleteDBCluster

rds:DeleteDBClusterEndpoint

rds:DeleteDBInstance

aws:ResourceTag/${TagKey}

DeleteCustomDBEngineVersion 既存のカスタムエンジンバージョンを削除するためのアクセス許可を付与 書き込み

cev*

DeleteDBCluster 以前にプロビジョニングされた DB クラスターを削除する許可を付与。 書き込み

cluster*

rds:DeleteDBInstance

cluster-snapshot*

DeleteDBClusterAutomatedBackup ソースクラスター DbClusterResourceId の値または復元可能なクラスターのリソース ID に基づいてクラスターの自動バックアップを削除するアクセス許可を付与します 書き込み

cluster-auto-backup*

DeleteDBClusterEndpoint カスタムエンドポイントを削除し、Amazon Aurora DB クラスターまたは Amazon DocumentDB クラスターから削除するアクセス許可を付与します 書き込み

cluster-endpoint*

DeleteDBClusterParameterGroup 指定された DB クラスターパラメータグループを削除する許可を付与。 書き込み

cluster-pg*

DeleteDBClusterSnapshot DB クラスタースナップショットを削除する許可を付与。 書き込み

cluster-snapshot*

DeleteDBInstance 以前にプロビジョニングされた DB インスタンスを削除する許可を付与。 書き込み

db*

rds:DeleteTenantDatabase

DeleteDBInstanceAutomatedBackup ソースインスタンス DbiResourceId の値または復元可能なインスタンスのリソース ID に基づいて自動バックアップを削除するアクセス許可を付与します 書き込み

auto-backup*

DeleteDBParameterGroup 指定された DB を削除する許可を付与ParameterGroup 書き込み

pg*

DeleteDBProxy データベースプロキシを削除する許可を付与。 書き込み

proxy*

DeleteDBProxyEndpoint データベースプロキシエンドポイントを削除するアクセス許可を付与 書き込み

proxy-endpoint*

DeleteDBSecurityGroup DB セキュリティグループを削除する許可を付与。 書き込み

secgrp*

DeleteDBShardGroup Aurora Limitless Database DB シャードグループを削除するアクセス許可を付与します 書き込み

shardgrp*

DeleteDBSnapshot DBSnapshot を削除する許可を付与。 書き込み

snapshot*

DeleteDBSubnetGroup DB サブネットグループを削除する許可を付与。 書き込み

subgrp*

DeleteEventSubscription RDS イベント通知サブスクリプションを削除する許可を付与。 書き込み

es*

DeleteGlobalCluster グローバルデータベースクラスターを削除する許可を付与。 書き込み

global-cluster*

DeleteIntegration Redshift との Aurora ゼロ ETL 統合を削除する許可を付与 書き込み

integration*

DeleteOptionGroup 既存のオプショングループを削除する許可を付与。 書き込み

og*

DeleteTenantDatabase テナントデータベースを削除する許可を付与 書き込み

db*

tenant-database*

DeregisterDBProxyTargets データベースプロキシターゲットグループからターゲットを削除する許可を付与。 書き込み

cluster*

db*

proxy*

target-group*

DescribeAccountAttributes お客様のアカウントの属性をすべて一覧表示する許可を付与。 リスト
DescribeBlueGreenDeployments ブルーグリーンデプロイメントを記述する許可を付与 リスト

deployment

DescribeCertificates このために Amazon RDS によって提供される CA 証明書のセットを一覧表示するアクセス許可を付与します AWS アカウント リスト
DescribeDBClusterAutomatedBackups 現在のクラスターと削除されたクラスターの両方について、クラスターの自動バックアップのリストを返す許可を付与 リスト

cluster-auto-backup*

cluster

DescribeDBClusterBacktracks DB クラスターのバックトラックに関する情報を返すアクセス許可を付与 リスト

cluster*

DescribeDBClusterEndpoints Amazon Aurora DB クラスターのエンドポイントに関する情報を返すアクセス許可を付与 リスト

cluster-endpoint*

cluster

DescribeDBClusterParameterGroups DB ClusterParameterGroup の説明のリストを返すアクセス許可を付与します リスト

cluster-pg*

DescribeDBClusterParameters 特定の DB クラスターパラメータグループの詳細なパラメータリストを返すアクセス許可を付与 リスト

cluster-pg*

DescribeDBClusterSnapshotAttributes 手動の DB クラスタースナップショットの DB クラスタースナップショットの属性名と値のリストを返すアクセス許可を付与 リスト

cluster-snapshot*

DescribeDBClusterSnapshots DB クラスターのスナップショットに関する情報を返すアクセス許可を付与 リスト

cluster-snapshot*

DescribeDBClusters プロビジョニングされた Aurora DB クラスターまたは DocumentDB クラスターに関する情報を返すアクセス許可を付与します リスト

cluster*

DescribeDBEngineVersions 使用可能な DB エンジンのリストを返すアクセス許可を付与 リスト
DescribeDBInstanceAutomatedBackups 現在のインスタンスと削除されたインスタンスの両方について、自動バックアップのリストを返すアクセス許可を付与 リスト

auto-backup

db

DescribeDBInstances プロビジョニングされた RDS インスタンスに関する情報を返すアクセス許可を付与 リスト

db*

DescribeDBLogFiles DB インスタンスの DB ログファイルのリストを返すアクセス許可を付与 リスト

db*

DescribeDBParameterGroups DB ParameterGroup の説明のリストを返すアクセス許可を付与します リスト

pg*

DescribeDBParameters 特定の DB パラメータグループの詳細なパラメータリストを返すアクセス許可を付与 リスト

pg*

DescribeDBProxies プロキシを表示する許可を付与。 リスト

proxy*

DescribeDBProxyEndpoints プロキシエンドポイントを表示するアクセス許可を付与 リスト

proxy*

proxy-endpoint*

DescribeDBProxyTargetGroups データベースプロキシターゲットグループの詳細を表示する許可を付与。 リスト

proxy*

DescribeDBProxyTargets データベースプロキシターゲットの詳細を表示する許可を付与。 リスト

proxy*

target-group*

DescribeDBRecommendations 奨励事項の詳細を一覧表示する許可を付与 リスト
DescribeDBSecurityGroups DB SecurityGroup の説明のリストを返すアクセス許可を付与します リスト

secgrp*

DescribeDBShardGroups このアカウントのすべての Aurora Limitless Database DB シャードグループに関する情報を返すアクセス許可を付与します。シャードグループでフィルタリングできます (複数可) リスト

shardgrp*

DescribeDBSnapshotAttributes 手動 DB スナップショットの DB スナップショットの属性名と値のリストを返すアクセス許可を付与 リスト

snapshot*

DescribeDBSnapshots DB スナップショットに関する情報を返すアクセス許可を付与 リスト

snapshot*

db

DescribeDBSubnetGroups DB SubnetGroup の説明のリストを返すアクセス許可を付与します リスト

subgrp*

DescribeDbSnapshotTenantDatabases DB スナップショット内のテナントデータベースに関する情報を返す許可を付与 リージョンまたはスナップショットでフィルタリングできます リスト

snapshot-tenant-database*

db

snapshot

DescribeEngineDefaultClusterParameters クラスターのデータベースエンジンのデフォルトのエンジンおよびシステムパラメータ情報を返すアクセス許可を付与 リスト
DescribeEngineDefaultParameters 指定されたデータベースエンジンのデフォルトのエンジンおよびシステムパラメータ情報を返すアクセス許可を付与 リスト
DescribeEventCategories すべてのイベントソースタイプか、指定されている場合は、指定されたソースタイプのイベントカテゴリのリストを表示する許可を付与。 リスト
DescribeEventSubscriptions お客様アカウントのサブスクリプションの説明をすべて表示する許可を付与。 リスト

es*

DescribeEvents DB インスタンス、DB セキュリティグループ、DB スナップショット、DB パラメータグループに関連する過去 14 日間のイベントを返すアクセス許可を付与 リスト
DescribeExportTasks エクスポートタスクに関する情報を返すアクセス許可を付与 リスト
DescribeGlobalClusters Aurora グローバルデータベースクラスターまたは DocumentDB グローバルデータベースクラスターに関する情報を返すアクセス許可を付与します リスト

global-cluster*

DescribeIntegrations Redshift との Aurora ゼロ ETL 統合を記述する許可を付与 リスト

integration*

aws:ResourceTag/${TagKey}

DescribeOptionGroupOptions 使用可能なすべてのオプションを記述する許可を付与。 リスト

og*

DescribeOptionGroups 使用可能なオプショングループを記述する許可を付与。 リスト

og*

DescribeOrderableDBInstanceOptions 指定されたエンジンの注文可能な DB インスタンスオプションのリストを返すアクセス許可を付与 リスト
DescribePendingMaintenanceActions 少なくとも 1 つの保留中のメンテナンスアクションを含むリソース (例: DB インスタンス) のリストを返すアクセス許可を付与 リスト

cluster

db

DescribeRecommendationGroups [許可のみ] 推奨事項グループに関する情報を返すためのアクセス許可を付与 読み込み
DescribeRecommendations [許可のみ] 推奨事項に関する情報を返すためのアクセス許可を付与 読み込み
DescribeReservedDBInstances このアカウントのリザーブド DB インスタンス、または指定されたリザーブド DB インスタンスに関する情報を返すアクセス許可を付与 リスト

ri*

DescribeReservedDBInstancesOfferings 利用可能なリザーブド DB インスタンスを一覧表示する許可を付与。 リスト
DescribeSourceRegions 現在の AWS リージョン がリードレプリカを作成したり、DB スナップショットをコピー AWS リージョン したりできるソースのリストを返すアクセス許可を付与します リスト
DescribeTenantDatabases プロビジョニングされたテナントデータベースに関する情報を返す許可を付与 リージョンまたはスナップショットでフィルタリングできます リスト

tenant-database*

db

DescribeValidDBInstanceModifications DB インスタンスに対して実行可能な変更を一覧表示する許可を付与。 リスト

db*

DisableHttpEndpoint DB クラスターの HTTP エンドポイントを無効にする許可を付与 書き込み

cluster*

DownloadCompleteDBLogFile 指定されたログファイルをダウンロードする許可を付与 読み込み

db*

DownloadDBLogFilePortion 指定されたログファイルのすべてまたは一部 (最大サイズは 1 MB) をダウンロードする許可を付与。 読み取り

db*

EnableHttpEndpoint DB クラスターの HTTP エンドポイントを有効にする許可を付与 書き込み

cluster*

FailoverDBCluster DB クラスターのフェイルオーバーを強制する許可を付与。 書き込み

cluster*

FailoverGlobalCluster グローバルクラスターをフェイルオーバーする許可を付与 書き込み

cluster*

global-cluster*

ListTagsForResource Amazon RDS リソースのすべてのタグを一覧表示する許可を付与。 読み取り

cev

cluster

cluster-endpoint

cluster-pg

cluster-snapshot

db

es

integration

og

pg

proxy

proxy-endpoint

ri

secgrp

snapshot

snapshot-tenant-database

subgrp

target-group

tenant-database

ModifyActivityStream データベースアクティビティストリームを変更する許可を付与 書き込み

db*

ModifyCertificates 新しい DB インスタンスの Amazon RDS のシステムのデフォルトの Secure Sockets Layer/Transport Layer Security (SSL/TLS) 証明書を変更する許可を付与 書き込み
ModifyCurrentDBClusterCapacity Amazon Aurora Serverless DB クラスターの現在のクラスター容量を変更するアクセス許可を付与します 書き込み

cluster*

ModifyCustomDBEngineVersion 既存のカスタムエンジンバージョンを変更するためのアクセス許可を付与 書き込み

cev*

ModifyDBCluster Amazon Aurora DB クラスターまたは Amazon DocumentDB クラスターの設定を変更するアクセス許可を付与します 書き込み

cluster*

iam:PassRole

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

rds:ModifyDBInstance

secretsmanager:CreateSecret

secretsmanager:RotateSecret

secretsmanager:TagResource

cluster-pg*

og*

rds:DatabaseClass

rds:StorageSize

rds:Piops

rds:ManageMasterUserPassword

ModifyDBClusterEndpoint Amazon Aurora DB クラスターまたは Amazon DocumentDB クラスター内のエンドポイントのプロパティを変更するアクセス許可を付与します 書き込み

cluster-endpoint*

ModifyDBClusterParameterGroup DB クラスターのパラメータグループのパラメータを変更する許可を付与。 書き込み

cluster-pg*

ModifyDBClusterSnapshotAttribute 属性および値を、手動 DB クラスタースナップショットに追加するか、ここから属性および値を削除する許可を付与。 書き込み

cluster-snapshot*

ModifyDBInstance DB インスタンスの設定を変更する許可を付与。 書き込み

db*

iam:PassRole

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

rds:AddTagsToResource

rds:CreateTenantDatabase

secretsmanager:CreateSecret

secretsmanager:RotateSecret

secretsmanager:TagResource

og*

pg*

secgrp*

rds:ManageMasterUserPassword

rds:MultiTenant

ModifyDBParameterGroup DB パラメータグループのパラメータを変更する許可を付与。 書き込み

pg*

ModifyDBProxy データベースプロキシを変更する許可を付与。 書き込み

proxy*

iam:PassRole

ModifyDBProxyEndpoint データベースプロキシエンドポイントを変更するアクセス許可を付与 書き込み

proxy-endpoint*

ModifyDBProxyTargetGroup データベースプロキシのターゲットグループを変更する許可を付与。 書き込み

target-group*

ModifyDBRecommendation 推奨事項を変更するためのアクセス許可を付与 書き込み
ModifyDBShardGroup Aurora Limitless Database DB シャードグループのプロパティを変更するアクセス許可を付与します 書き込み

shardgrp*

ModifyDBSnapshot 暗号化可能かどうかにかかわらず、手動の DB スナップショットを新しいエンジンバージョンで更新する許可を付与。 書き込み

snapshot*

og

ModifyDBSnapshotAttribute 属性および値を、手動 DB スナップショットに追加するか、ここから属性および値を削除する許可を付与。 書き込み

snapshot*

ModifyDBSubnetGroup 既存の DB サブネットグループを変更する許可を付与。 書き込み

subgrp*

ModifyEventSubscription 既存の RDS イベント通知サブスクリプションを変更する許可を付与。 書き込み

es*

ModifyGlobalCluster Amazon Aurora グローバルクラスターまたは Amazon DocumentDB グローバルクラスターの設定を変更するアクセス許可を付与します 書き込み

global-cluster*

ModifyIntegration Redshift との Aurora ゼロ ETL 統合を変更するアクセス許可を付与します 書き込み

integration*

ModifyOptionGroup 既存のオプショングループを変更する許可を付与。 書き込み

og*

iam:PassRole

ModifyRecommendation [許可のみ] 推奨事項を変更するためのアクセス許可を付与 書き込み
ModifyTenantDatabase テナントデータベースを変更する許可を付与 書き込み

db*

tenant-database*

rds:TenantDatabaseName

PromoteReadReplica リードレプリカ DB インスタンスをスタンドアロン DB インスタンスに昇格させるアクセス許可を付与 書き込み

db*

PromoteReadReplicaDBCluster リードレプリカ DB クラスターをスタンドアロン DB クラスターに昇格させるアクセス許可を付与 書き込み

cluster*

PurchaseReservedDBInstancesOffering リザーブド DB インスタンスを購入する許可を付与。 書き込み

ri*

aws:RequestTag/${TagKey}

aws:TagKeys

RebootDBCluster 以前にプロビジョニングされた DB クラスターを再起動する許可を付与 書き込み

cluster*

rds:RebootDBInstance

RebootDBInstance データベースエンジンサービスを再起動する許可を付与。 書き込み

db*

RebootDBShardGroup Aurora Limitless Database DB シャードグループを再起動するアクセス許可を付与します 書き込み

shardgrp*

RegisterDBProxyTargets データベースプロキシターゲットグループにターゲットを追加する許可を付与。 書き込み

target-group*

RemoveFromGlobalCluster Aurora グローバルデータベースクラスターまたは DocumentDB グローバルクラスターから Aurora セカンダリクラスターをデタッチするアクセス許可を付与します 書き込み

cluster*

global-cluster*

RemoveRoleFromDBCluster Amazon Aurora DB クラスターから AWS Identity and Access Management (IAM) ロールの関連付けを解除するアクセス許可を付与します 書き込み

cluster*

iam:PassRole

RemoveRoleFromDBInstance AWS Identity and Access Management (IAM) ロールと DB インスタンスの関連付けを解除するアクセス許可を付与します 書き込み

db*

iam:PassRole

RemoveSourceIdentifierFromSubscription 既存の RDS イベント通知サブスクリプションからソース識別子を削除する許可を付与。 書き込み

es*

RemoveTagsFromResource Amazon RDS リソースからメタデータタグを削除する許可を付与。 タグ付け

cev

cluster

cluster-endpoint

cluster-pg

cluster-snapshot

db

deployment

es

integration

og

pg

proxy

proxy-endpoint

ri

secgrp

snapshot

snapshot-tenant-database

subgrp

target-group

tenant-database

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

ResetDBClusterParameterGroup DB クラスターパラメータグループのパラメータをデフォルト値に変更する許可を付与。 書き込み

cluster-pg*

ResetDBParameterGroup DB パラメータグループのパラメータをエンジン/システムのデフォルト値に変更する許可を付与。 書き込み

pg*

RestoreDBClusterFromS3 Amazon S3 バケットに格納されたデータから Amazon Aurora DB クラスターを作成する許可を付与。 書き込み

cluster*

iam:PassRole

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

rds:AddTagsToResource

secretsmanager:CreateSecret

secretsmanager:TagResource

cluster-pg*

og*

subgrp*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:DatabaseEngine

rds:DatabaseName

rds:StorageEncrypted

rds:ManageMasterUserPassword

RestoreDBClusterFromSnapshot DB クラスタースナップショットから新しい DB クラスターを作成する許可を付与。 書き込み

cluster*

iam:PassRole

rds:AddTagsToResource

rds:CreateDBInstance

cluster-pg*

cluster-snapshot*

og*

subgrp*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:DatabaseClass

rds:StorageSize

rds:Piops

RestoreDBClusterToPointInTime DB クラスターを任意の時点に復元する許可を付与。 書き込み

cluster*

iam:PassRole

rds:AddTagsToResource

rds:CreateDBInstance

cluster-pg*

og*

subgrp*

cluster-auto-backup

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:DatabaseClass

rds:StorageSize

rds:Piops

RestoreDBInstanceFromDBSnapshot DB スナップショットから新しい DB インスタンスを作成する許可を付与。 書き込み

db*

iam:PassRole

rds:AddTagsToResource

rds:CreateTenantDatabase

og*

pg*

snapshot*

subgrp*

rds:BackupTarget

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

RestoreDBInstanceFromS3 Amazon S3 バケットから新しい DB インスタンスを作成する許可を付与。 書き込み

db*

iam:PassRole

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

rds:AddTagsToResource

secretsmanager:CreateSecret

secretsmanager:TagResource

og*

pg*

subgrp*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:ManageMasterUserPassword

RestoreDBInstanceToPointInTime DB インスタンスを任意の時点に復元する許可を付与。 書き込み

db*

iam:PassRole

rds:AddTagsToResource

rds:CreateTenantDatabase

og*

pg*

subgrp*

auto-backup

rds:BackupTarget

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

RevokeDBSecurityGroupIngress SecurityGroup 以前に承認された IP 範囲または EC2 または VPC セキュリティグループの DB から進入を取り消すアクセス許可を付与します 書き込み

secgrp*

StartActivityStream アクティビティストリームを開始する許可を付与。 書き込み

cluster

db

StartDBCluster DB クラスターを開始するためのアクセス許可を付与 書き込み

cluster*

StartDBInstance DB インスタンスを起動する許可を付与。 書き込み

db*

StartDBInstanceAutomatedBackupsReplication 別の への自動バックアップのレプリケーションを開始する許可を付与 AWS リージョン 書き込み

auto-backup*

db*

StartExportTask DB スナップショットの新しいエクスポートタスクを開始する許可を付与。 書き込み

iam:PassRole

StopActivityStream アクティビティストリームを停止する許可を付与。 書き込み

cluster

db

StopDBCluster DB クラスターを停止する許可を付与。 書き込み

cluster*

StopDBInstance DB インスタンスを停止する許可を付与。 書き込み

db*

StopDBInstanceAutomatedBackupsReplication DB インスタンスの自動バックアップレプリケーションを停止する許可を付与 書き込み

db*

SwitchoverBlueGreenDeployment ブルーグリーンデプロイメントをソースクラスターまたはインスタンスからターゲットに切り替える許可を付与 書き込み

deployment*

rds:ModifyDBCluster

rds:ModifyDBInstance

rds:PromoteReadReplica

rds:PromoteReadReplicaDBCluster

aws:ResourceTag/${TagKey}

SwitchoverGlobalCluster グローバルクラスターをスイッチオーバーする許可を付与 書き込み

cluster*

global-cluster*

SwitchoverReadReplica リードレプリカを切り替える許可を付与し、新しいプライマリデータベースにします 書き込み

db*

Amazon RDS で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
cluster arn:${Partition}:rds:${Region}:${Account}:cluster:${DbClusterInstanceName}

aws:ResourceTag/${TagKey}

rds:cluster-tag/${TagKey}

shardgrp arn:${Partition}:rds:${Region}:${Account}:shard-group:${DbShardGroupResourceId}
cluster-auto-backup arn:${Partition}:rds:${Region}:${Account}:cluster-auto-backup:${DbClusterAutomatedBackupId}
auto-backup arn:${Partition}:rds:${Region}:${Account}:auto-backup:${DbInstanceAutomatedBackupId}
cluster-endpoint arn:${Partition}:rds:${Region}:${Account}:cluster-endpoint:${DbClusterEndpoint}

aws:ResourceTag/${TagKey}

cluster-pg arn:${Partition}:rds:${Region}:${Account}:cluster-pg:${ClusterParameterGroupName}

aws:ResourceTag/${TagKey}

rds:cluster-pg-tag/${TagKey}

cluster-snapshot arn:${Partition}:rds:${Region}:${Account}:cluster-snapshot:${ClusterSnapshotName}

aws:ResourceTag/${TagKey}

rds:cluster-snapshot-tag/${TagKey}

db arn:${Partition}:rds:${Region}:${Account}:db:${DbInstanceName}

aws:ResourceTag/${TagKey}

rds:DatabaseClass

rds:DatabaseEngine

rds:DatabaseName

rds:MultiAz

rds:Piops

rds:StorageEncrypted

rds:StorageSize

rds:Vpc

rds:db-tag/${TagKey}

es arn:${Partition}:rds:${Region}:${Account}:es:${SubscriptionName}

aws:ResourceTag/${TagKey}

rds:es-tag/${TagKey}

global-cluster arn:${Partition}:rds::${Account}:global-cluster:${GlobalCluster}
og arn:${Partition}:rds:${Region}:${Account}:og:${OptionGroupName}

aws:ResourceTag/${TagKey}

rds:og-tag/${TagKey}

pg arn:${Partition}:rds:${Region}:${Account}:pg:${ParameterGroupName}

aws:ResourceTag/${TagKey}

rds:pg-tag/${TagKey}

proxy arn:${Partition}:rds:${Region}:${Account}:db-proxy:${DbProxyId}

aws:ResourceTag/${TagKey}

proxy-endpoint arn:${Partition}:rds:${Region}:${Account}:db-proxy-endpoint:${DbProxyEndpointId}

aws:ResourceTag/${TagKey}

ri arn:${Partition}:rds:${Region}:${Account}:ri:${ReservedDbInstanceName}

aws:ResourceTag/${TagKey}

rds:ri-tag/${TagKey}

secgrp arn:${Partition}:rds:${Region}:${Account}:secgrp:${SecurityGroupName}

aws:ResourceTag/${TagKey}

rds:secgrp-tag/${TagKey}

snapshot arn:${Partition}:rds:${Region}:${Account}:snapshot:${SnapshotName}

aws:ResourceTag/${TagKey}

rds:snapshot-tag/${TagKey}

subgrp arn:${Partition}:rds:${Region}:${Account}:subgrp:${SubnetGroupName}

aws:ResourceTag/${TagKey}

rds:subgrp-tag/${TagKey}

target-group arn:${Partition}:rds:${Region}:${Account}:target-group:${TargetGroupId}

aws:ResourceTag/${TagKey}

cev arn:${Partition}:rds:${Region}:${Account}:cev:${Engine}/${EngineVersion}/${CustomDbEngineVersionId}

aws:ResourceTag/${TagKey}

deployment arn:${Partition}:rds:${Region}:${Account}:deployment:${BlueGreenDeploymentIdentifier}

aws:ResourceTag/${TagKey}

integration arn:${Partition}:rds:${Region}:${Account}:integration:${IntegrationIdentifier}

aws:ResourceTag/${TagKey}

snapshot-tenant-database arn:${Partition}:rds:${Region}:${Account}:snapshot-tenant-database:${SnapshotName}:${TenantResourceId}

aws:ResourceTag/${TagKey}

tenant-database arn:${Partition}:rds:${Region}:${Account}:tenant-database:${TenantResourceId}

aws:ResourceTag/${TagKey}

Amazon RDS の条件キー

Amazon RDS では、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 [Type] (タイプ)
aws:RequestTag/${TagKey} リクエスト内のタグキーおよび値のペアによるアクセスをフィルタリングします。 文字列
aws:ResourceTag/${TagKey} リソースにアタッチされているタグのキーおよび値のペアによってアクセスをフィルタリングします。 文字列
aws:TagKeys リクエスト内のタグキーのセットでアクセスをフィルタリングします。 ArrayOfString
rds:BackupTarget バックアップターゲットのタイプでアクセスをフィルタリングします。地域および辺境の地:のいづれか 文字列
rds:CopyOptionGroup CopyDBSnapshot のアクションによる DB オプショングループのコピーが必要かどうかを指定する値でアクセスをフィルタリング Bool
rds:DatabaseClass DB インスタンスクラスのタイプでアクセスをフィルタリングします。 文字列
rds:DatabaseEngine データベースエンジンでアクセスをフィルタリングします。可能な値については、CreateDBInstance API のエンジンパラメータを参照してください。 文字列
rds:DatabaseName DB インスタンス上のデータベースのユーザー定義名でアクセスをフィルタリングします。 文字列
rds:EndpointType エンドポイントのタイプでアクセスをフィルタリングします。READER、WRITER、CUSTOM のいずれか。 文字列
rds:ManageMasterUserPassword RDS が DB インスタンスまたはクラスターの AWS Secrets Manager でマスターユーザーパスワードを管理するかどうかを指定する値でアクセスをフィルタリングします Bool
rds:MultiAz DB インスタンスが複数のアベイラビリティーゾーンで実行されるかどうかを指定する値でアクセスをフィルタリングします。DB インスタンスがマルチ AZ を使用していることを示すには、true を指定します。 Bool
rds:MultiTenant DB インスタンスがマルチテナント構成かどうかを指定する値でアクセスをフィルタリング 文字列
rds:Piops インスタンスでサポートされているプロビジョンド IOPS (PIOPS) の数を含む値でアクセスをフィルタリングします。PIOPS が有効になっていない DB インスタンスを示すには、0 を指定します。 数値
rds:StorageEncrypted DB インスタンスストレージを暗号化するかどうかを指定する値でアクセスをフィルタリングします。ストレージの暗号化を適用するには、true を指定します。 Bool
rds:StorageSize ストレージボリュームのサイズ (GB 単位) でアクセスをフィルタリングします。 数値
rds:TenantDatabaseName のテナントデータベース名 CreateTenantDatabase と の新しいテナントデータベース名でアクセスをフィルタリングします ModifyTenantDatabase 文字列
rds:Vpc DB インスタンスを Amazon Virtual Private Cloud (Amazon VPC) で実行するかどうかを指定する値でアクセスをフィルタリングします。DB インスタンスが Amazon VPC で実行されていることを示すには、true を指定します。 Bool
rds:cluster-pg-tag/${TagKey} DB クラスターパラメータグループにアタッチされたタグでアクセスをフィルタリングします。 文字列
rds:cluster-snapshot-tag/${TagKey} DB クラスタースナップショットにアタッチされたタグでアクセスをフィルタリングします。 文字列
rds:cluster-tag/${TagKey} DB クラスターにアタッチされたタグでアクセスをフィルタリングします。 文字列
rds:db-tag/${TagKey} DB インスタンスにアタッチされたタグでアクセスをフィルタリングします。 文字列
rds:es-tag/${TagKey} イベントサブスクリプションにアタッチされたタグでアクセスをフィルタリングします。 文字列
rds:og-tag/${TagKey} DB オプショングループにアタッチされたタグでアクセスをフィルタリングします 文字列
rds:pg-tag/${TagKey} DB パラメータグループにアタッチされたタグでアクセスをフィルタリングします。 文字列
rds:req-tag/${TagKey} リソースにタグを付けるために使用できるタグキーと値のセットでアクセスをフィルタリングします。 文字列
rds:ri-tag/${TagKey} リザーブド DB インスタンスにアタッチされたタグでアクセスをフィルタリングします。 文字列
rds:secgrp-tag/${TagKey} DB セキュリティグループにアタッチされたタグでアクセスをフィルタリングします。 文字列
rds:snapshot-tag/${TagKey} DB スナップショットにアタッチされたタグでアクセスをフィルタリングします 文字列
rds:subgrp-tag/${TagKey} DB サブネットグループにアタッチされたタグでアクセスをフィルタリングします。 文字列