Amazon RDS のアクション、リソース、および条件キー - サービス認証リファレンス

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

Amazon RDS のアクション、リソース、および条件キー

Amazon RDS (サービスプレフィックス: rds) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

Amazon RDS で定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AddRoleToDBCluster Aurora DB クラスターから Identity and Access Management (IAM) ロールを関連付けるアクセス許可を付与します。 書き込み

cluster*

iam:PassRole

AddRoleToDBInstance AWS Identity and Access Management (IAM) ロールを DB インスタンスに関連付けるアクセス許可を付与します。 書き込み

db*

iam:PassRole

AddSourceIdentifierToSubscription 既存の RDS イベント通知サブスクリプションにソース識別子を追加するアクセス許可を付与します。 書き込み

es*

AddTagsToResource Amazon RDS リソースにメタデータタグを追加するアクセス許可を付与します。 タグ付け

db

es

og

pg

proxy

proxy-endpoint

ri

secgrp

snapshot

subgrp

target-group

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

ApplyPendingMaintenanceAction 保留中のメンテナンスアクションをリソースに適用するアクセス許可を付与します。 書き込み

cluster

db

AuthorizeDBSecurityGroupIngress 2 つの認証形式のいずれかを使用して、DBSecurityGroup への入力を有効にするアクセス許可を付与します。 アクセス権限の管理

secgrp*

BacktrackDBCluster 新しい DB クラスターを作成せずに、DB クラスターを特定時点にバックトラックするためのアクセス許可を付与します。 書き込み

cluster*

CancelExportTask 進行中のエクスポートタスクをキャンセルするアクセス許可を付与します。 書き込み
CopyDBClusterParameterGroup 指定された DB クラスターパラメータグループをコピーするアクセス許可を付与します。 書き込み

cluster-pg*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

CopyDBClusterSnapshot DB クラスターのスナップショットを作成するアクセス許可を付与します。 書き込み

cluster-snapshot*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

CopyDBParameterGroup 指定された DB パラメータグループをコピーするアクセス許可を付与します。 書き込み

pg*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

CopyDBSnapshot 指定された DB スナップショットをコピーするアクセス許可を付与します。 書き込み

snapshot*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

CopyOptionGroup 指定されたオプショングループをコピーするアクセス許可を付与します。 書き込み

og*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDBCluster 新しい Amazon Aurora DB クラスターを作成するアクセス許可を付与します。 書き込み

cluster*

iam:PassRole

rds:AddTagsToResource

cluster-pg*

og*

subgrp*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:DatabaseEngine

rds:DatabaseName

rds:StorageEncrypted

CreateDBClusterEndpoint 新しいカスタムエンドポイントを作成するアクセス許可を付与し、それを Amazon Aurora DB クラスターに関連付けます。 書き込み

cluster*

rds:AddTagsToResource

cluster-endpoint*

rds:EndpointType

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDBClusterParameterGroup 新しい DB クラスターパラメータグループを作成するアクセス許可を付与します。 書き込み

cluster-pg*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBClusterSnapshot DB クラスターのスナップショットを作成するアクセス許可を付与します。 書き込み

cluster*

rds:AddTagsToResource

cluster-snapshot*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBInstance 新しい DB インスタンスを作成するアクセス許可を付与します。 書き込み

db*

iam:PassRole

rds:AddTagsToResource

og*

pg*

secgrp*

subgrp*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBInstanceReadReplica ソース DB インスタンスのリードレプリカとして動作する DB インスタンスを作成するためのアクセス許可を付与します。 書き込み

db*

iam:PassRole

rds:AddTagsToResource

og*

subgrp*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBParameterGroup 新しい DB パラメータグループを作成するアクセス許可を付与します。 書き込み

pg*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBProxy データベースプロキシを作成するアクセス許可を付与します。 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

iam:PassRole

CreateDBProxyEndpoint データベースプロキシエンドポイントを作成するアクセス権限を付与します 書き込み

proxy*

proxy-endpoint*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDBSecurityGroup DB セキュリティグループを作成するアクセス許可を付与します。DB セキュリティグループは、DB インスタンスへのアクセスを制御します。 書き込み

secgrp*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBSnapshot DBSnapshot を作成するアクセス許可を付与します。 書き込み

db*

rds:AddTagsToResource

snapshot*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBSubnetGroup 新しい DB サブネットグループを作成するアクセス許可を付与します。 書き込み

subgrp*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateEventSubscription RDS イベント通知サブスクリプションを作成するアクセス許可を付与します。 書き込み

es*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateGlobalCluster 複数のリージョンにまたがる Aurora グローバルデータベースを作成するアクセス許可を付与します。 書き込み

cluster*

global-cluster*

CreateOptionGroup 新しいオプショングループを作成するアクセス許可を付与します。 書き込み

og*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CrossRegionCommunication [アクセス許可のみ] クロスリージョンスナップショットコピーやクロスリージョンリードレプリカの作成など、クロスリージョンオペレーションを実行するときにリモートリージョン内のリソースにアクセスするアクセス許可を付与します。 書き込み
DeleteDBCluster 以前にプロビジョニングされた DB クラスターを削除するアクセス許可を付与します。 書き込み

cluster*

cluster-snapshot*

DeleteDBClusterEndpoint カスタムエンドポイントを削除するアクセス許可を付与し、Amazon Aurora DB クラスターから削除します。 書き込み

cluster-endpoint*

DeleteDBClusterParameterGroup 指定された DB クラスターパラメータグループを削除するアクセス許可を付与します。 書き込み

cluster-pg*

DeleteDBClusterSnapshot DB クラスタースナップショットを削除するアクセス許可を付与します。 書き込み

cluster-snapshot*

DeleteDBInstance 以前にプロビジョニングされた DB インスタンスを削除するアクセス許可を付与します。 書き込み

db*

DeleteDBInstanceAutomatedBackup ソースインスタンスの DbiResourceId 値または復元可能なインスタンスのリソース ID に基づいて、自動バックアップを削除するアクセス許可を付与します。 書き込み
DeleteDBParameterGroup 指定された DBParameterGroup を削除するアクセス許可を付与します。 書き込み

pg*

DeleteDBProxy データベースプロキシを削除するアクセス許可を付与します。 書き込み

proxy*

DeleteDBProxyEndpoint データベースプロキシエンドポイントを削除するアクセス権限を付与します 書き込み

proxy-endpoint*

DeleteDBSecurityGroup DB セキュリティグループを削除するアクセス許可を付与します。 書き込み

secgrp*

DeleteDBSnapshot DBSnapshot を削除するアクセス許可を付与します。 書き込み

snapshot*

DeleteDBSubnetGroup DB サブネットグループを削除するアクセス許可を付与します。 書き込み

subgrp*

DeleteEventSubscription RDS イベント通知サブスクリプションを削除するアクセス許可を付与します。 書き込み

es*

DeleteGlobalCluster グローバルデータベースクラスターを削除するアクセス許可を付与します。 書き込み

global-cluster*

DeleteOptionGroup 既存のオプショングループを削除するアクセス許可を付与します。 書き込み

og*

DeregisterDBProxyTargets データベースプロキシターゲットグループからターゲットを削除するアクセス許可を付与します。 書き込み

cluster*

db*

proxy*

target-group*

DescribeAccountAttributes お客様のアカウントの属性をすべて一覧表示するアクセス許可を付与します。 リスト
DescribeCertificates Amazon RDS によってこの AWS アカウント用に提供されている CA 証明書のセットを一覧表示します。 リスト
DescribeDBClusterBacktracks DB クラスターのバックトラックに関する情報を返すアクセス許可を付与します。 リスト

cluster*

DescribeDBClusterEndpoints Amazon Aurora DB クラスターのエンドポイントに関する情報を返すアクセス許可を付与します。 リスト

cluster-endpoint*

cluster

DescribeDBClusterParameterGroups DBClusterParameterGroup の説明のリストを返すアクセス許可を付与します。 リスト

cluster-pg*

DescribeDBClusterParameters 特定の DB クラスターパラメータグループの詳細なパラメータリストを返すアクセス許可を付与します。 リスト

cluster-pg*

DescribeDBClusterSnapshotAttributes 手動の DB クラスタースナップショットの DB クラスタースナップショットの属性名と値のリストを返すアクセス許可を付与します。 リスト

cluster-snapshot*

DescribeDBClusterSnapshots DB クラスターのスナップショットに関する情報を返すアクセス許可を付与します。 リスト

cluster-snapshot*

DescribeDBClusters プロビジョニングされた Aurora DB クラスターに関する情報を返すアクセス許可を付与します。 リスト

cluster*

DescribeDBEngineVersions 使用可能な DB エンジンのリストを返すアクセス許可を付与します。 リスト
DescribeDBInstanceAutomatedBackups 現在のインスタンスと削除されたインスタンスの両方について、自動バックアップのリストを返すアクセス許可を付与します。 リスト

db

DescribeDBInstances プロビジョニングされた RDS インスタンスに関する情報を返すアクセス許可を付与します。 リスト

db*

DescribeDBLogFiles DB インスタンスの DB ログファイルのリストを返すアクセス許可を付与します。 リスト

db*

DescribeDBParameterGroups DBParameterGroup の説明のリストを返すアクセス許可を付与します。 リスト

pg*

DescribeDBParameters 特定の DB パラメータグループの詳細なパラメータリストを返すアクセス許可を付与します。 リスト

pg*

DescribeDBProxies プロキシを表示するアクセス許可を付与します。 リスト

proxy*

DescribeDBProxyEndpoints プロキシエンドポイントを表示するアクセス権限を付与します リスト

proxy*

proxy-endpoint*

DescribeDBProxyTargetGroups データベースプロキシターゲットグループの詳細を表示するアクセス許可を付与します。 リスト

proxy*

DescribeDBProxyTargets データベースプロキシターゲットの詳細を表示するアクセス許可を付与します。 リスト

cluster*

db*

proxy*

target-group*

DescribeDBSecurityGroups DBSecurityGroup の説明のリストを返すアクセス許可を付与します。 リスト

secgrp*

DescribeDBSnapshotAttributes 手動 DB スナップショットの DB スナップショットの属性名と値のリストを返すアクセス許可を付与します。 リスト

snapshot*

DescribeDBSnapshots DB スナップショットに関する情報を返すアクセス許可を付与します。 リスト

snapshot*

db

DescribeDBSubnetGroups DBSubnetGroup の説明のリストを返すアクセス許可を付与します。 リスト

subgrp*

DescribeEngineDefaultClusterParameters クラスターのデータベースエンジンのデフォルトのエンジンおよびシステムパラメータ情報を返すアクセス許可を付与します。 リスト
DescribeEngineDefaultParameters 指定されたデータベースエンジンのデフォルトのエンジンおよびシステムパラメータ情報を返すアクセス許可を付与します。 リスト
DescribeEventCategories すべてのイベントソースタイプか、指定されている場合は、指定されたソースタイプのイベントカテゴリのリストを表示するアクセス許可を付与します。 リスト
DescribeEventSubscriptions お客様アカウントのサブスクリプションの説明をすべて表示するアクセス許可を付与します。 リスト

es*

DescribeEvents DB インスタンス、DB セキュリティグループ、DB スナップショット、DB パラメータグループに関連する過去 14 日間のイベントを返すアクセス許可を付与します。 リスト
DescribeExportTasks エクスポートタスクに関する情報を返すアクセス許可を付与します。 リスト
DescribeGlobalClusters Aurora グローバルデータベースクラスターに関する情報を返すアクセス許可を付与します。 リスト

global-cluster*

DescribeOptionGroupOptions 使用可能なすべてのオプションを記述するアクセス許可を付与します。 リスト

og*

DescribeOptionGroups 使用可能なオプショングループを記述するアクセス許可を付与します。 リスト

og*

DescribeOrderableDBInstanceOptions 指定されたエンジンの注文可能な DB インスタンスオプションのリストを返すアクセス許可を付与します。 リスト
DescribePendingMaintenanceActions 少なくとも 1 つの保留中のメンテナンスアクションを含むリソース (例: DB インスタンス) のリストを返すアクセス許可を付与します。 リスト

cluster

db

DescribeReservedDBInstances このアカウントのリザーブド DB インスタンス、または指定されたリザーブド DB インスタンスに関する情報を返すアクセス許可を付与します。 リスト

ri*

DescribeReservedDBInstancesOfferings 利用可能なリザーブド DB インスタンスを一覧表示するアクセス許可を付与します。 リスト
DescribeSourceRegions 現在の AWS リージョンがリードレプリカを作成できる、または DB スナップショットのコピー元にすることができる、ソース AWS リージョンのリストを返すアクセス許可を付与します。 リスト
DescribeValidDBInstanceModifications DB インスタンスに対して実行可能な変更を一覧表示するアクセス許可を付与します。 リスト

db*

DownloadDBLogFilePortion 指定されたログファイルのすべてまたは一部 (最大サイズは 1 MB) をダウンロードするアクセス許可を付与します。 Read

db*

FailoverDBCluster DB クラスターのフェイルオーバーを強制するアクセス許可を付与します。 書き込み

cluster*

FailoverGlobalCluster グローバルクラスターをフェイルオーバーするアクセス許可を付与します 書き込み

cluster*

global-cluster*

ListTagsForResource Amazon RDS リソースのすべてのタグを一覧表示するアクセス許可を付与します。 Read

db

es

og

pg

proxy

proxy-endpoint

ri

secgrp

snapshot

subgrp

target-group

ModifyCurrentDBClusterCapacity Amazon Aurora Severless DB クラスターの現在のクラスター容量を変更するアクセス許可を付与します。 書き込み

cluster*

ModifyDBCluster Amazon Aurora DB クラスターの設定を変更するアクセス許可を付与します。 書き込み

cluster*

iam:PassRole

cluster-pg*

og*

ModifyDBClusterEndpoint Amazon Aurora DB クラスターのエンドポイントのプロパティを変更するアクセス許可を付与します。 書き込み

cluster-endpoint*

ModifyDBClusterParameterGroup DB クラスターのパラメータグループのパラメータを変更するアクセス許可を付与します。 書き込み

cluster-pg*

ModifyDBClusterSnapshotAttribute 属性および値を、手動 DB クラスタースナップショットに追加するか、ここから属性および値を削除するアクセス許可を付与します。 書き込み

cluster-snapshot*

ModifyDBInstance DB インスタンスの設定を変更するアクセス許可を付与します。 書き込み

db*

iam:PassRole

og*

pg*

secgrp*

ModifyDBParameterGroup DB パラメータグループのパラメータを変更するアクセス許可を付与します。 書き込み

pg*

ModifyDBProxy データベースプロキシを変更するアクセス許可を付与します。 書き込み

proxy*

iam:PassRole

ModifyDBProxyEndpoint データベースプロキシエンドポイントを変更するアクセス権限を付与します 書き込み

proxy-endpoint*

ModifyDBProxyTargetGroup データベースプロキシのターゲットグループを変更するアクセス許可を付与します。 書き込み

target-group*

ModifyDBSnapshot 暗号化可能かどうかにかかわらず、手動の DB スナップショットを新しいエンジンバージョンで更新するアクセス許可を付与します。 書き込み

snapshot*

ModifyDBSnapshotAttribute 属性および値を、手動 DB スナップショットに追加するか、ここから属性および値を削除するアクセス許可を付与します。 書き込み

snapshot*

ModifyDBSubnetGroup 既存の DB サブネットグループを変更するアクセス許可を付与します。 書き込み

subgrp*

ModifyEventSubscription 既存の RDS イベント通知サブスクリプションを変更するアクセス許可を付与します。 書き込み

es*

ModifyGlobalCluster Amazon Aurora グローバルクラスターの設定を変更するアクセス許可を付与します。 書き込み

global-cluster*

ModifyOptionGroup 既存のオプショングループを変更するアクセス許可を付与します。 書き込み

og*

iam:PassRole

PromoteReadReplica リードレプリカ DB インスタンスをスタンドアロン DB インスタンスに昇格させるアクセス許可を付与します。 書き込み

db*

PromoteReadReplicaDBCluster リードレプリカ DB クラスターをスタンドアロン DB クラスターに昇格させるアクセス許可を付与します。 書き込み

cluster*

PurchaseReservedDBInstancesOffering リザーブド DB インスタンスを購入するアクセス許可を付与します。 書き込み

ri*

aws:RequestTag/${TagKey}

aws:TagKeys

RebootDBInstance データベースエンジンサービスを再起動するアクセス許可を付与します。 書き込み

db*

RegisterDBProxyTargets データベースプロキシターゲットグループにターゲットを追加するアクセス許可を付与します。 書き込み

target-group*

RemoveFromGlobalCluster Aurora グローバルデータベースクラスターから Aurora セカンダリクラスターをデタッチするアクセス許可を付与します。 書き込み

cluster*

global-cluster*

RemoveRoleFromDBCluster Amazon Aurora DB クラスターから AWS Identity and Access Management (IAM) ロールを関連付けるアクセス許可を付与します。 書き込み

cluster*

iam:PassRole

RemoveRoleFromDBInstance DB インスタンスから AWS Identity and Access Management (IAM) ロールの関連付けを解除するアクセス許可を付与します。 書き込み

db*

iam:PassRole

RemoveSourceIdentifierFromSubscription 既存の RDS イベント通知サブスクリプションからソース識別子を削除するアクセス許可を付与します。 書き込み

es*

RemoveTagsFromResource Amazon RDS リソースからメタデータタグを削除するアクセス許可を付与します。 タグ付け

db

es

og

pg

proxy

proxy-endpoint

ri

secgrp

snapshot

subgrp

target-group

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

ResetDBClusterParameterGroup DB クラスターパラメータグループのパラメータをデフォルト値に変更するアクセス許可を付与します。 書き込み

cluster-pg*

ResetDBParameterGroup DB パラメータグループのパラメータをエンジン/システムのデフォルト値に変更するアクセス許可を付与します。 書き込み

pg*

RestoreDBClusterFromS3 Amazon S3 バケットに格納されたデータから Amazon Aurora DB クラスターを作成するアクセス許可を付与します。 書き込み

cluster*

iam:PassRole

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:DatabaseEngine

rds:DatabaseName

rds:StorageEncrypted

RestoreDBClusterFromSnapshot DB クラスタースナップショットから新しい DB クラスターを作成するアクセス許可を付与します。 書き込み

cluster*

iam:PassRole

rds:AddTagsToResource

cluster-snapshot*

og*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

RestoreDBClusterToPointInTime DB クラスターを任意の時点に復元するアクセス許可を付与します。 書き込み

cluster*

iam:PassRole

rds:AddTagsToResource

og*

subgrp*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

RestoreDBInstanceFromDBSnapshot DB スナップショットから新しい DB インスタンスを作成するアクセス許可を付与します。 書き込み

db*

iam:PassRole

rds:AddTagsToResource

og*

snapshot*

subgrp*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

RestoreDBInstanceFromS3 Amazon S3 バケットから新しい DB インスタンスを作成するアクセス許可を付与します。 書き込み

db*

iam:PassRole

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

RestoreDBInstanceToPointInTime DB インスタンスを任意の時点に復元するアクセス許可を付与します。 書き込み

db*

iam:PassRole

rds:AddTagsToResource

og*

subgrp*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

RevokeDBSecurityGroupIngress 以前に承認された IP 範囲の DBSecurityGroup、または EC2 か VPC のセキュリティグループの進入を取り消すアクセス許可を付与します。 書き込み

secgrp*

StartActivityStream アクティビティストリームを開始するアクセス許可を付与します。 書き込み

cluster*

StartDBCluster DB クラスターを起動します。 書き込み

cluster*

StartDBInstance DB インスタンスを起動するアクセス許可を付与します。 書き込み

db*

StartExportTask DB スナップショットの新しいエクスポートタスクを開始するアクセス許可を付与します。 書き込み

iam:PassRole

StopActivityStream アクティビティストリームを停止するアクセス許可を付与します。 書き込み

cluster*

StopDBCluster DB クラスターを停止するアクセス許可を付与します。 書き込み

cluster*

StopDBInstance DB インスタンスを停止するアクセス許可を付与します。 書き込み

db*

Amazon RDS で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
cluster arn:${Partition}:rds:${Region}:${Account}:cluster:${DbClusterInstanceName}

aws:ResourceTag/${TagKey}

rds:cluster-tag/${TagKey}

cluster-endpoint arn:${Partition}:rds:${Region}:${Account}:cluster-endpoint:${DbClusterEndpoint}

aws:ResourceTag/${TagKey}

cluster-pg arn:${Partition}:rds:${Region}:${Account}:cluster-pg:${ClusterParameterGroupName}

aws:ResourceTag/${TagKey}

rds:cluster-pg-tag/${TagKey}

cluster-snapshot arn:${Partition}:rds:${Region}:${Account}:cluster-snapshot:${ClusterSnapshotName}

aws:ResourceTag/${TagKey}

rds:cluster-snapshot-tag/${TagKey}

db arn:${Partition}:rds:${Region}:${Account}:db:${DbInstanceName}

aws:ResourceTag/${TagKey}

rds:DatabaseClass

rds:DatabaseEngine

rds:DatabaseName

rds:MultiAz

rds:Piops

rds:StorageEncrypted

rds:StorageSize

rds:Vpc

rds:db-tag/${TagKey}

es arn:${Partition}:rds:${Region}:${Account}:es:${SubscriptionName}

aws:ResourceTag/${TagKey}

rds:es-tag/${TagKey}

global-cluster arn:${Partition}:rds::${Account}:global-cluster:${GlobalCluster}
og arn:${Partition}:rds:${Region}:${Account}:og:${OptionGroupName}

aws:ResourceTag/${TagKey}

rds:og-tag/${TagKey}

pg arn:${Partition}:rds:${Region}:${Account}:pg:${ParameterGroupName}

aws:ResourceTag/${TagKey}

rds:pg-tag/${TagKey}

proxy arn:${Partition}:rds:${Region}:${Account}:db-proxy:${DbProxyId}

aws:ResourceTag/${TagKey}

proxy-endpoint arn:${Partition}:rds:${Region}:${Account}:db-proxy-endpoint:${DbProxyEndpointId}

aws:ResourceTag/${TagKey}

ri arn:${Partition}:rds:${Region}:${Account}:ri:${ReservedDbInstanceName}

aws:ResourceTag/${TagKey}

rds:ri-tag/${TagKey}

secgrp arn:${Partition}:rds:${Region}:${Account}:secgrp:${SecurityGroupName}

aws:ResourceTag/${TagKey}

rds:secgrp-tag/${TagKey}

snapshot arn:${Partition}:rds:${Region}:${Account}:snapshot:${SnapshotName}

aws:ResourceTag/${TagKey}

rds:snapshot-tag/${TagKey}

subgrp arn:${Partition}:rds:${Region}:${Account}:subgrp:${SubnetGroupName}

aws:ResourceTag/${TagKey}

rds:subgrp-tag/${TagKey}

target arn:${Partition}:rds:${Region}:${Account}:target:${TargetId}
target-group arn:${Partition}:rds:${Region}:${Account}:target-group:${TargetGroupId}

aws:ResourceTag/${TagKey}

Amazon RDS の条件キー

Amazon RDS では、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キーを参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} リクエスト内のタグキーと値のペアのプレゼンスに基づいてアクセスをフィルタリングします。 文字列
aws:ResourceTag/${TagKey} リソースにアタッチされているタグキーと値のペアに基づいてアクセスをフィルタリングします。 文字列
aws:TagKeys リクエスト内のタグキーのプレゼンスに基づいてアクセスをフィルタリングします 文字列
rds:DatabaseClass DB インスタンスクラスのタイプでアクセスをフィルタリングします。 文字列
rds:DatabaseEngine データベースエンジンでアクセスをフィルタリングします。可能な値については、CreateDBInstance API のエンジンパラメータを参照してください。 文字列
rds:DatabaseName DB インスタンス上のデータベースのユーザー定義名でアクセスをフィルタリングします。 文字列
rds:EndpointType エンドポイントのタイプでアクセスをフィルタリングします。READER、WRITER、CUSTOM のいずれか。 文字列
rds:MultiAz DB インスタンスが複数のアベイラビリティーゾーンで実行されるかどうかを指定する値でアクセスをフィルタリングします。DB インスタンスがマルチ AZ を使用していることを示すには、true を指定します。 ブール値
rds:Piops インスタンスでサポートされているプロビジョンド IOPS (PIOPS) の数を含む値でアクセスをフィルタリングします。PIOPS が有効になっていない DB インスタンスを示すには、0 を指定します。 数値
rds:StorageEncrypted DB インスタンスストレージを暗号化するかどうかを指定する値でアクセスをフィルタリングします。ストレージの暗号化を適用するには、true を指定します。 ブール値
rds:StorageSize ストレージボリュームのサイズ (GB 単位) でアクセスをフィルタリングします。 数値
rds:Vpc DB インスタンスを Amazon Virtual Private Cloud (Amazon VPC) で実行するかどうかを指定する値でアクセスをフィルタリングします。DB インスタンスが Amazon VPC で実行されていることを示すには、true を指定します。 ブール値
rds:cluster-pg-tag/${TagKey} DB クラスターパラメータグループにアタッチされたタグでアクセスをフィルタリングします。 文字列
rds:cluster-snapshot-tag/${TagKey} DB クラスタースナップショットにアタッチされたタグでアクセスをフィルタリングします。 文字列
rds:cluster-tag/${TagKey} DB クラスターにアタッチされたタグでアクセスをフィルタリングします。 文字列
rds:db-tag/${TagKey} DB インスタンスにアタッチされたタグでアクセスをフィルタリングします。 文字列
rds:es-tag/${TagKey} イベントサブスクリプションにアタッチされたタグでアクセスをフィルタリングします。 文字列
rds:og-tag/${TagKey} DB オプショングループにアタッチされたタグでアクセスをフィルタリングします 文字列
rds:pg-tag/${TagKey} DB パラメータグループにアタッチされたタグでアクセスをフィルタリングします。 文字列
rds:req-tag/${TagKey} リソースにタグを付けるために使用できるタグキーと値のセットでアクセスをフィルタリングします。 文字列
rds:ri-tag/${TagKey} リザーブド DB インスタンスにアタッチされたタグでアクセスをフィルタリングします。 文字列
rds:secgrp-tag/${TagKey} DB セキュリティグループにアタッチされたタグでアクセスをフィルタリングします。 文字列
rds:snapshot-tag/${TagKey} DB スナップショットにアタッチされたタグでアクセスをフィルタリングします 文字列
rds:subgrp-tag/${TagKey} DB サブネットグループにアタッチされたタグでアクセスをフィルタリングします。 文字列