기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon의 작업, 리소스 및 조건 키 RDS
Amazon RDS (서비스 접두사:rds
) 은 권한 정책에 사용할 수 있는 다음과 같은 서비스별 리소스, 작업 및 조건 컨텍스트 키를 제공합니다. IAM
참조:
-
이 서비스를 구성하는 방법을 알아봅니다.
-
이 서비스에 사용할 수 있는 API 작업 목록을 확인하십시오.
-
IAM권한 정책을 사용하여 이 서비스와 해당 리소스를 보호하는 방법을 알아보십시오.
아마존에서 정의한 조치 RDS
IAM정책 설명의 Action
요소에 다음 작업을 지정할 수 있습니다. 정책을 사용하여 작업을 수행할 권한을 부여합니다. AWS. 정책에서 작업을 사용할 때는 일반적으로 같은 이름의 API 작업이나 CLI 명령에 대한 액세스를 허용하거나 거부합니다. 그러나 경우에 따라 하나의 작업으로 둘 이상의 작업에 대한 액세스가 제어됩니다. 또는 일부 작업을 수행하려면 다양한 작업이 필요합니다.
작업 테이블의 리소스 유형 열에는 각 작업이 리소스 수준 권한을 지원하는지 여부가 표시됩니다. 리소스 열에 값이 없으면 정책 문의 Resource
요소에서 정책이 적용되는 모든 리소스("*")를 지정해야 합니다. 열에 리소스 유형이 포함된 경우 해당 작업이 포함된 명령문에 해당 ARN 유형의 리소스를 지정할 수 있습니다. 작업에 필요한 리소스가 하나 이상 있는 경우, 호출자에게 해당 리소스와 함께 작업을 사용할 수 있는 권한이 있어야 합니다. 필수 리소스는 테이블에서 별표(*)로 표시됩니다. IAM정책의 Resource
요소로 리소스 액세스를 제한하는 경우 각 필수 리소스 유형에 대해 ARN 또는 패턴을 포함해야 합니다. 일부 작업은 다수의 리소스 유형을 지원합니다. 리소스 유형이 옵션(필수 리소스로 표시되지 않은 경우)인 경우에는 선택적 리소스 유형 중 하나를 사용하도록 선택할 수 있습니다.
작업 테이블의 조건 키 열에는 정책 설명의 Condition
요소에서 지정할 수 있는 키가 포함됩니다. 서비스의 리소스와 연결된 조건 키에 대한 자세한 내용은 리소스 유형 테이블의 조건 키 열을 참조하세요.
참고
리소스 조건 키는 리소스 유형 표에 나열되어 있습니다. 작업에 적용되는 리소스 유형에 대한 링크는 리소스 유형(*필수) 작업 표의 열에서 찾을 수 있습니다. 리소스 유형 테이블의 리소스 유형에는 조건 키 열이 포함되고 이는 작업 표의 작업에 적용되는 리소스 조건 키입니다.
다음 테이블의 열에 대한 자세한 내용은 작업 테이블을 참조하세요.
작업 | 설명 | 액세스 레벨 | 리소스 유형(*필수) | 조건 키 | 종속 작업 |
---|---|---|---|---|---|
AddRoleToDBCluster | Aurora DB 클러스터의 ID 및 Access Management (IAM) 역할을 연결할 권한을 부여합니다. | 쓰기 |
iam:PassRole |
||
AddRoleToDBInstance | 연결할 권한을 부여합니다. AWS DB 인스턴스의 ID 및 Access Management (IAM) 역할 | 쓰기 |
iam:PassRole |
||
AddSourceIdentifierToSubscription | 기존 RDS 이벤트 알림 구독에 소스 식별자를 추가할 수 있는 권한을 부여합니다. | 쓰기 | |||
AddTagsToResource | Amazon RDS 리소스에 메타데이터 태그를 추가할 권한을 부여합니다. | 태그 지정 | |||
ApplyPendingMaintenanceAction | 대기 중인 유지 관리 작업을 리소스에 적용할 수 있는 권한을 부여합니다. | 쓰기 | |||
AuthorizeDBSecurityGroupIngress | 두 가지 권한 부여 형식 중 하나를 DBSecurityGroup 사용하여 수신을 활성화할 수 있는 권한을 부여합니다. | 권한 관리 | |||
BacktrackDBCluster | 새 DB 클러스터를 생성하지 않고 특정 시점으로 DB 클러스터를 역추적할 수 있는 권한을 부여합니다. | Write | |||
CancelExportTask | 진행 중인 내보내기 작업을 취소할 수 있는 권한을 부여합니다. | 쓰기 | |||
CopyCustomDBEngineVersion [권한만 해당] | 커스텀 엔진 버전을 복사할 수 있는 권한을 부여합니다. | 쓰기 | |||
CopyDBClusterParameterGroup | 지정된 DB 클러스터 파라미터 그룹을 복사할 수 있는 권한을 부여합니다. | Write |
rds:AddTagsToResource |
||
CopyDBClusterSnapshot | DB 클러스터의 스냅샷을 생성할 수 있는 권한을 부여합니다. | Write |
rds:AddTagsToResource |
||
CopyDBParameterGroup | 지정된 DB 파라미터 그룹을 복사할 수 있는 권한을 부여합니다. | Write |
rds:AddTagsToResource |
||
CopyDBSnapshot | 지정된 DB 스냅샷을 복사할 수 있는 권한을 부여합니다. | Write |
rds:AddTagsToResource rds:CopyCustomDBEngineVersion |
||
CopyOptionGroup | 지정된 옵션 그룹을 복사할 수 있는 권한을 부여합니다. | 쓰기 |
rds:AddTagsToResource |
||
CreateBlueGreenDeployment | 지정된 소스 클러스터 또는 인스턴스에 블루/그린 배포를 생성할 수 있는 권한을 부여합니다. | 쓰기 |
rds:AddTagsToResource rds:CreateDBCluster rds:CreateDBClusterEndpoint rds:CreateDBInstance rds:CreateDBInstanceReadReplica |
||
CreateCustomDBEngineVersion | 사용자 지정 엔진 버전을 생성할 수 있는 권한을 부여합니다. | 쓰기 |
iam:CreateServiceLinkedRole mediaimport:CreateDatabaseBinarySnapshot rds:AddTagsToResource |
||
CreateDBCluster | 새 DB 클러스터를 생성할 권한을 부여합니다. | 쓰기 |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateDBInstance secretsmanager:CreateSecret secretsmanager:TagResource |
||
CreateDBClusterEndpoint | 새 사용자 지정 엔드포인트를 생성하고 이를 Amazon Aurora DB 클러스터 또는 Amazon DocumentDB 클러스터와 연결할 수 있는 권한을 부여합니다. | 쓰기 |
rds:AddTagsToResource |
||
CreateDBClusterParameterGroup | 새 DB 클러스터 파라미터 그룹을 생성할 수 있는 권한을 부여합니다. | Write |
rds:AddTagsToResource |
||
CreateDBClusterSnapshot | DB 클러스터의 스냅샷을 생성할 수 있는 권한을 부여합니다. | Write |
rds:AddTagsToResource |
||
CreateDBInstance | 새 DB 인스턴스를 생성할 수 있는 권한을 부여합니다. | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateTenantDatabase secretsmanager:CreateSecret secretsmanager:TagResource |
||
CreateDBInstanceReadReplica | 소스 DB 인스턴스의 읽기 전용 복제본의 역할을 하는 DB 인스턴스를 생성할 수 있는 권한을 부여합니다. | Write |
iam:PassRole rds:AddTagsToResource |
||
CreateDBParameterGroup | 새 DB 파라미터 그룹을 생성할 수 있는 권한을 부여합니다. | Write |
rds:AddTagsToResource |
||
CreateDBProxy | 데이터베이스 프록시를 생성할 수 있는 권한을 부여합니다. | Write |
iam:PassRole |
||
CreateDBProxyEndpoint | 데이터베이스 프록시 엔드포인트를 생성할 수 있는 권한을 부여합니다. | Write | |||
CreateDBSecurityGroup | 새 DB 보안 그룹을 생성할 수 있는 권한을 부여합니다. DB 보안 그룹은 DB 인스턴스에 대한 액세스를 제어합니다. | 쓰기 |
rds:AddTagsToResource |
||
CreateDBShardGroup | 새 Aurora Limitless 데이터베이스 DB 샤드 그룹을 생성할 권한을 부여합니다. | 쓰기 | |||
CreateDBSnapshot | 생성 권한을 부여합니다. DBSnapshot | 쓰기 |
rds:AddTagsToResource |
||
CreateDBSubnetGroup | 새 DB 서브넷 그룹을 생성할 수 있는 권한을 부여합니다. | 쓰기 |
rds:AddTagsToResource |
||
CreateEventSubscription | RDS이벤트 알림 구독을 생성할 권한을 부여합니다. | 쓰기 |
rds:AddTagsToResource |
||
CreateGlobalCluster | 여러 지역에 분산된 Aurora 글로벌 데이터베이스 또는 DocumentDB 글로벌 데이터베이스를 생성할 수 있는 권한을 부여합니다. | 쓰기 | |||
CreateIntegration | Redshift와 Aurora 제로 ETL 통합을 만들 수 있는 권한을 부여합니다. | 쓰기 |
kms:CreateGrant kms:DescribeKey rds:AddTagsToResource |
||
CreateOptionGroup | 새 옵션 그룹을 생성할 수 있는 권한을 부여합니다. | 쓰기 |
rds:AddTagsToResource |
||
CreateTenantDatabase | 새 테넌트 데이터베이스를 생성할 수 있는 권한을 부여합니다. | 쓰기 |
rds:AddTagsToResource |
||
CrossRegionCommunication [권한만 해당] | 교차 리전 스냅샷 복사 또는 교차 리전 읽기 전용 복제본 생성과 같은 교차 리전 작업을 실행할 때 원격 리전의 리소스에 액세스할 수 있는 권한을 부여합니다. | 쓰기 | |||
DeleteBlueGreenDeployment | 블루/그린 배포를 삭제할 수 있는 권한을 부여합니다. | 쓰기 |
rds:DeleteDBCluster rds:DeleteDBClusterEndpoint rds:DeleteDBInstance rds:PromoteReadReplica rds:PromoteReadReplicaDBCluster |
||
DeleteCustomDBEngineVersion | 기존 사용자 지정 엔진 버전을 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
DeleteDBCluster | 이전에 프로비저닝된 DB 클러스터를 삭제할 수 있는 권한을 부여합니다. | 쓰기 |
rds:AddTagsToResource rds:CreateDBClusterSnapshot rds:DeleteDBInstance |
||
DeleteDBClusterAutomatedBackup | 소스 클러스터의 DbClusterResourceId 값 또는 복원 가능한 클러스터의 리소스 ID를 기반으로 클러스터 자동 백업을 삭제할 권한을 부여합니다. | 쓰기 | |||
DeleteDBClusterEndpoint | 사용자 지정 엔드포인트를 삭제할 권한을 부여하고 Amazon Aurora DB 클러스터 또는 Amazon DocumentDB 클러스터에서 제거합니다. | 쓰기 | |||
DeleteDBClusterParameterGroup | 지정된 DB 클러스터 파라미터 그룹을 삭제할 수 있는 권한을 부여합니다. | Write | |||
DeleteDBClusterSnapshot | DB 클러스터 스냅샷을 삭제할 수 있는 권한을 부여합니다. | Write | |||
DeleteDBInstance | 이전에 프로비저닝된 DB 인스턴스를 삭제할 수 있는 권한을 부여합니다. | 쓰기 |
rds:AddTagsToResource rds:CreateDBSnapshot rds:DeleteTenantDatabase |
||
DeleteDBInstanceAutomatedBackup | 원본 인스턴스의 DbiResourceId 값 또는 복원 가능한 인스턴스의 리소스 ID를 기반으로 자동 백업을 삭제할 권한을 부여합니다. | 쓰기 | |||
DeleteDBParameterGroup | 지정된 항목을 삭제할 권한을 부여합니다. DBParameterGroup | 쓰기 | |||
DeleteDBProxy | 데이터베이스 프록시를 삭제할 수 있는 권한을 부여합니다. | Write | |||
DeleteDBProxyEndpoint | 데이터베이스 프록시 엔드포인트를 삭제할 수 있는 권한을 부여합니다. | Write | |||
DeleteDBSecurityGroup | DB 보안 그룹을 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
DeleteDBShardGroup | Aurora 리미트리스 데이터베이스 DB 샤드 그룹을 삭제할 권한을 부여합니다. | 쓰기 | |||
DeleteDBSnapshot | 삭제 권한을 부여합니다. DBSnapshot | 쓰기 | |||
DeleteDBSubnetGroup | DB 서브넷 그룹을 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
DeleteEventSubscription | RDS이벤트 알림 구독을 삭제할 권한을 부여합니다. | 쓰기 | |||
DeleteGlobalCluster | 글로벌 데이터베이스 클러스터를 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
DeleteIntegration | Redshift와의 Aurora 제로 ETL 통합을 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
DeleteOptionGroup | 기존 옵션 그룹을 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
DeleteTenantDatabase | 테넌트 데이터베이스를 삭제할 수 있는 권한을 부여합니다. | 쓰기 |
rds:AddTagsToResource rds:CreateDBSnapshot |
||
DeregisterDBProxyTargets | 데이터베이스 프록시 대상 그룹에서 대상을 제거할 수 있는 권한을 부여합니다. | Write | |||
DescribeAccountAttributes | 고객 계정에 대한 모든 속성을 나열할 수 있는 권한을 부여합니다. | 나열 | |||
DescribeBlueGreenDeployments | 블루/그린 배포를 설명할 수 있는 권한을 부여합니다. | 나열 | |||
DescribeCertificates | 이를 RDS 위해 Amazon에서 제공한 CA 인증서 세트를 나열할 권한을 부여합니다. AWS 계정 | 나열 | |||
DescribeDBClusterAutomatedBackups | 현재 인스턴스와 삭제된 인스턴스 모두에 대한 자동 백업의 목록을 반환할 수 있는 권한 부여 | 나열 | |||
DescribeDBClusterBacktracks | DB 클러스터의 역추적에 대한 정보를 반환할 수 있는 권한을 부여합니다. | 나열 | |||
DescribeDBClusterEndpoints | Amazon Aurora DB 클러스터의 엔드포인트에 대한 정보를 반환할 수 있는 권한을 부여합니다. | 나열 | |||
DescribeDBClusterParameterGroups | DBClusterParameterGroup설명 목록을 반환할 권한을 부여합니다. | 나열 | |||
DescribeDBClusterParameters | 특정 DB 클러스터 파라미터 그룹에 대한 세부 파라미터 목록을 반환할 수 있는 권한을 부여합니다. | 나열 | |||
DescribeDBClusterSnapshotAttributes | 수동 DB 클러스터 스냅샷에 대한 DB 클러스터 스냅샷 속성 이름 및 값의 목록을 반환할 수 있는 권한을 부여합니다. | 나열 | |||
DescribeDBClusterSnapshots | DB 클러스터 스냅샷에 대한 정보를 반환할 수 있는 권한을 부여합니다. | 나열 | |||
DescribeDBClusters | 프로비저닝된 Aurora DB 클러스터 또는 DocumentDB 클러스터에 대한 정보를 반환할 권한을 부여합니다. | 나열 | |||
DescribeDBEngineVersions | 사용 가능한 DB 엔진 목록을 반환할 수 있는 권한을 부여합니다. | 나열 | |||
DescribeDBInstanceAutomatedBackups | 현재 인스턴스와 삭제된 인스턴스 모두에 대한 자동 백업의 목록을 반환할 수 있는 권한을 부여합니다. | 나열 | |||
DescribeDBInstances | 프로비저닝된 인스턴스에 대한 정보를 반환할 권한을 부여합니다. RDS | 나열 | |||
DescribeDBLogFiles | DB 인스턴스에 대한 DB 로그 파일의 목록을 반환할 수 있는 권한을 부여합니다. | 나열 | |||
DescribeDBParameterGroups | 설명 목록을 반환할 권한을 부여합니다. DBParameterGroup | 나열 | |||
DescribeDBParameters | 특정 DB 파라미터 그룹에 대한 세부 파라미터 목록을 반환할 수 있는 권한을 부여합니다. | 나열 | |||
DescribeDBProxies | 프록시를 볼 수 있는 권한을 부여합니다. | 나열 | |||
DescribeDBProxyEndpoints | 프록시 엔드포인트를 볼 수 있는 권한을 부여합니다. | 나열 | |||
DescribeDBProxyTargetGroups | 데이터베이스 프록시 대상 그룹 세부 정보를 볼 수 있는 권한을 부여합니다. | 나열 | |||
DescribeDBProxyTargets | 데이터베이스 프록시 대상 세부 정보를 볼 수 있는 권한을 부여합니다. | 나열 | |||
DescribeDBRecommendations | 추천 세부 정보를 나열할 수 있는 권한 부여 | 나열 | |||
DescribeDBSecurityGroups | DBSecurityGroup설명 목록을 반환할 권한을 부여합니다. | 나열 | |||
DescribeDBShardGroups | 이 계정의 모든 Aurora Limitless 데이터베이스 DB 샤드 그룹에 대한 정보를 반환할 권한을 부여합니다. 샤드 그룹별로 필터링할 수 있습니다. | 나열 | |||
DescribeDBSnapshotAttributes | 수동 DB 스냅샷에 대한 DB 스냅샷 속성 이름 및 값의 목록을 반환할 수 있는 권한을 부여합니다. | 나열 | |||
DescribeDBSnapshotTenantDatabases | DB 스냅샷의 테넌트 데이터베이스에 대한 정보를 반환할 수 있는 권한을 부여합니다. 지역 또는 스냅샷별로 필터링할 수 있습니다. | 나열 | |||
DescribeDBSnapshots | DB 스냅샷에 대한 정보를 반환할 수 있는 권한을 부여합니다. | 나열 | |||
DescribeDBSubnetGroups | 설명 목록을 DBSubnetGroup 반환할 권한을 부여합니다. | 나열 | |||
DescribeEngineDefaultClusterParameters | 클러스터 데이터베이스 엔진에 대한 기본 엔진 및 시스템 파라미터 정보를 반환할 수 있는 권한을 부여합니다. | 나열 | |||
DescribeEngineDefaultParameters | 지정된 데이터베이스 엔진에 대한 기본 엔진 및 시스템 파라미터 정보를 반환할 수 있는 권한을 부여합니다. | 나열 | |||
DescribeEventCategories | 모든 이벤트 소스 유형 또는 지정된 경우 지정된 소스 유형에 대한 범주 목록을 표시할 수 있는 권한을 부여합니다. | 나열 | |||
DescribeEventSubscriptions | 고객 계정의 모든 구독 설명을 나열할 수 있는 권한을 부여합니다. | 나열 | |||
DescribeEvents | 지난 14일 동안의 DB 인스턴스, DB 보안 그룹, DB 스냅샷 및 DB 파라미터 그룹과 관련된 이벤트를 반환할 수 있는 권한을 부여합니다. | 나열 | |||
DescribeExportTasks | 내보내기 작업에 대한 정보를 반환할 수 있는 권한을 부여합니다. | 나열 | |||
DescribeGlobalClusters | Aurora 글로벌 데이터베이스 클러스터 또는 DocumentDB 글로벌 데이터베이스 클러스터에 대한 정보를 반환할 권한을 부여합니다. | 나열 | |||
DescribeIntegrations | Redshift와의 Aurora 제로 ETL 통합을 설명할 수 있는 권한을 부여합니다. | 나열 | |||
DescribeOptionGroupOptions | 사용 가능한 모든 옵션을 설명할 수 있는 권한을 부여합니다. | 나열 | |||
DescribeOptionGroups | 사용 가능한 옵션 그룹을 설명할 수 있는 권한을 부여합니다. | 나열 | |||
DescribeOrderableDBInstanceOptions | 지정된 엔진에 대해 명령 가능한 DB 인스턴스 옵션의 목록을 반환할 수 있는 권한을 부여합니다. | 나열 | |||
DescribePendingMaintenanceActions | 대기 중인 유지 관리 작업이 하나 이상 있는 리소스(예: DB 인스턴스)의 목록을 반환할 수 있는 권한을 부여합니다. | 나열 | |||
DescribeRecommendationGroups [권한만 해당] | 권장 사항 그룹에 대한 정보를 반환할 수 있는 권한을 부여합니다. | 읽기 | |||
DescribeRecommendations [권한만 해당] | 권장 사항에 대한 정보를 반환할 수 있는 권한을 부여합니다. | 읽기 | |||
DescribeReservedDBInstances | 이 계정에 대한 예약 DB 인스턴스에 대한 정보 또는 지정된 예약 DB 인스턴스에 대한 정보를 반환할 수 있는 권한을 부여합니다. | 나열 | |||
DescribeReservedDBInstancesOfferings | 사용 가능한 예약 DB 인스턴스 상품을 나열할 수 있는 권한을 부여합니다. | 나열 | |||
DescribeSourceRegions | 소스 목록을 반환할 권한을 부여합니다. AWS 리전 어디서, 현재 AWS 리전 읽기 전용 복제본을 만들거나 DB 스냅샷을 복사할 수 있습니다. | 나열 | |||
DescribeTenantDatabases | 프로비저닝된 테넌트 데이터베이스에 대한 정보를 반환할 수 있는 권한을 부여합니다. 지역 또는 스냅샷별로 필터링할 수 있습니다. | 나열 | |||
DescribeValidDBInstanceModifications | DB 인스턴스에서 가능한 수정 사항을 나열할 수 있는 권한을 부여합니다. | 나열 | |||
DisableHttpEndpoint | DB 클러스터의 http 엔드포인트를 비활성화할 수 있는 권한 부여 | 쓰기 | |||
DownloadCompleteDBLogFile | 지정된 로그 파일을 다운로드할 수 있는 권한을 부여합니다. | 읽기 | |||
DownloadDBLogFilePortion | 지정된 로그 파일의 전체 또는 일부를 다운로드(최대 1MB)할 수 있는 권한을 부여합니다. | 읽기 | |||
EnableHttpEndpoint | DB 클러스터의 http 엔드포인트를 활성화할 수 있는 권한 부여 | 쓰기 | |||
FailoverDBCluster | DB 클러스터에 대해 강제로 장애 조치를 수행할 수 있는 권한을 부여합니다. | Write | |||
FailoverGlobalCluster | 글로벌 클러스터를 장애 조치할 수 있는 권한을 부여합니다. | 쓰기 | |||
ListTagsForResource | Amazon RDS 리소스의 모든 태그를 나열할 권한을 부여합니다. | 읽기 | |||
ModifyActivityStream | 데이터베이스 활동 스트림을 수정하는 권한을 부여합니다. | 쓰기 | |||
ModifyCertificates | 새 DB 인스턴스에 대해 Amazon용 시스템 기본 보안 소켓 계층/전송 계층 보안 (/SSL) TLS 인증서를 수정할 권한을 부여합니다. RDS | 쓰기 | |||
ModifyCurrentDBClusterCapacity | Amazon Aurora 서버리스 DB 클러스터의 현재 클러스터 용량을 수정할 수 있는 권한을 부여합니다. | 쓰기 | |||
ModifyCustomDBEngineVersion | 기존 사용자 지정 엔진 버전을 수정할 수 있는 권한을 부여합니다. | 쓰기 | |||
ModifyDBCluster | Amazon Aurora DB 클러스터 또는 Amazon DocumentDB 클러스터의 설정을 수정할 권한을 부여합니다. | 쓰기 |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:ModifyDBInstance secretsmanager:CreateSecret secretsmanager:RotateSecret secretsmanager:TagResource |
||
ModifyDBClusterEndpoint | Amazon Aurora DB 클러스터 또는 Amazon DocumentDB 클러스터의 엔드포인트 속성을 수정할 수 있는 권한을 부여합니다. | 쓰기 | |||
ModifyDBClusterParameterGroup | DB 클러스터 파라미터 그룹의 파라미터를 수정할 수 있는 권한을 부여합니다. | Write | |||
ModifyDBClusterSnapshotAttribute | 속성 및 값을 수동 DB 클러스터 스냅샷에 추가하거나, 수동 DB 클러스터 스냅샷에서 속성 및 값을 제거할 수 있는 권한을 부여합니다. | Write | |||
ModifyDBInstance | DB 인스턴스에 대한 설정을 수정할 수 있는 권한을 부여합니다. | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateTenantDatabase secretsmanager:CreateSecret secretsmanager:RotateSecret secretsmanager:TagResource |
||
ModifyDBParameterGroup | DB 파라미터 그룹의 파라미터를 수정할 수 있는 권한을 부여합니다. | Write | |||
ModifyDBProxy | 데이터베이스 프록시를 수정할 수 있는 권한을 부여합니다. | Write |
iam:PassRole |
||
ModifyDBProxyEndpoint | 데이터베이스 프록시 엔드포인트를 수정할 수 있는 권한을 부여합니다. | Write | |||
ModifyDBProxyTargetGroup | 데이터베이스 프록시에 대한 대상 그룹을 수정할 수 있는 권한을 부여합니다. | 쓰기 | |||
ModifyDBRecommendation | 추천을 수정할 수 있는 권한을 부여합니다. | 쓰기 | |||
ModifyDBShardGroup | Aurora Limitless 데이터베이스 DB 샤드 그룹의 속성을 수정할 수 있는 권한을 부여합니다. | 쓰기 | |||
ModifyDBSnapshot | 수동 DB 스냅샷(암호화 가능 또는 불가능)을 새 엔진 버전으로 업데이트할 수 있는 권한을 부여합니다. | Write | |||
ModifyDBSnapshotAttribute | 속성 및 값을 수동 DB 스냅샷에 추가하거나, 수동 DB 스냅샷에서 속성 및 값을 제거할 수 있는 권한을 부여합니다. | Write | |||
ModifyDBSubnetGroup | 기존 DB 서브넷 그룹을 수정할 수 있는 권한을 부여합니다. | 쓰기 | |||
ModifyEventSubscription | 기존 RDS 이벤트 알림 구독을 수정할 권한을 부여합니다. | 쓰기 | |||
ModifyGlobalCluster | Amazon Aurora 글로벌 클러스터 또는 Amazon DocumentDB 글로벌 클러스터의 설정을 수정할 권한을 부여합니다. | 쓰기 | |||
ModifyIntegration | Redshift와의 Aurora 제로 ETL 통합을 수정할 수 있는 권한을 부여합니다. | 쓰기 | |||
ModifyOptionGroup | 기존 옵션 그룹을 수정할 수 있는 권한을 부여합니다. | 쓰기 |
iam:PassRole |
||
ModifyRecommendation [권한만 해당] | 권장 사항을 수정할 수 있는 권한을 부여합니다. | 쓰기 | |||
ModifyTenantDatabase | 테넌트 데이터베이스를 수정할 수 있는 권한을 부여합니다. | 쓰기 | |||
PromoteReadReplica | 읽기 전용 복제본 DB 인스턴스를 독립 실행형 DB 인스턴스로 승격할 수 있는 권한을 부여합니다. | Write | |||
PromoteReadReplicaDBCluster | 읽기 전용 복제본 DB 클러스터를 독립 실행형 DB 클러스터로 승격할 수 있는 권한을 부여합니다. | Write | |||
PurchaseReservedDBInstancesOffering | 예약 DB 인스턴스 상품을 구매할 수 있는 권한을 부여합니다. | 쓰기 | |||
RebootDBCluster | 이전에 프로비저닝된 DB 클러스터를 재부팅할 수 있는 권한을 부여합니다. | 쓰기 |
rds:RebootDBInstance |
||
RebootDBInstance | 데이터베이스 엔진 서비스를 다시 시작할 수 있는 권한을 부여합니다. | 쓰기 | |||
RebootDBShardGroup | Aurora 리미트리스 데이터베이스 DB 샤드 그룹을 재부팅할 수 있는 권한을 부여합니다. | 쓰기 | |||
RegisterDBProxyTargets | 데이터베이스 프록시 대상 그룹에 대상을 추가할 수 있는 권한을 부여합니다. | 쓰기 | |||
RemoveFromGlobalCluster | Aurora 글로벌 데이터베이스 클러스터 또는 DocumentDB 글로벌 클러스터에서 Aurora 보조 클러스터를 분리할 수 있는 권한을 부여합니다. | 쓰기 | |||
RemoveRoleFromDBCluster | 연결을 끊을 수 있는 권한을 부여합니다. AWS Amazon Aurora DB 클러스터의 ID 및 액세스 관리 (IAM) 역할 | 쓰기 |
iam:PassRole |
||
RemoveRoleFromDBInstance | 연결을 끊을 수 있는 권한을 부여합니다. AWS DB 인스턴스의 ID 및 Access Management (IAM) 역할 | 쓰기 |
iam:PassRole |
||
RemoveSourceIdentifierFromSubscription | 기존 RDS 이벤트 알림 구독에서 소스 식별자를 제거할 권한을 부여합니다. | 쓰기 | |||
RemoveTagsFromResource | Amazon RDS 리소스에서 메타데이터 태그를 제거할 권한을 부여합니다. | 태그 지정 | |||
ResetDBClusterParameterGroup | DB 클러스터 파라미터 그룹의 파라미터를 기본값으로 수정할 수 있는 권한을 부여합니다. | Write | |||
ResetDBParameterGroup | DB 파라미터 그룹의 파라미터를 엔진/시스템 기본값으로 수정할 수 있는 권한을 부여합니다. | Write | |||
RestoreDBClusterFromS3 | Amazon S3 버킷에 저장된 데이터에서 Amazon Aurora DB 클러스터를 생성할 수 있는 권한을 부여합니다. | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource secretsmanager:CreateSecret secretsmanager:TagResource |
||
RestoreDBClusterFromSnapshot | DB 클러스터 스냅샷에서 새 DB 클러스터를 생성할 수 있는 권한을 부여합니다. | Write |
iam:PassRole rds:AddTagsToResource rds:CreateDBInstance |
||
RestoreDBClusterToPointInTime | DB 클러스터를 임의의 시점으로 복원할 수 있는 권한을 부여합니다. | Write |
iam:PassRole rds:AddTagsToResource rds:CreateDBInstance |
||
RestoreDBInstanceFromDBSnapshot | DB 스냅샷에서 새 DB 인스턴스를 생성할 수 있는 권한을 부여합니다. | Write |
iam:PassRole rds:AddTagsToResource rds:CreateTenantDatabase |
||
RestoreDBInstanceFromS3 | Amazon S3 버킷에서 새 DB 인스턴스를 생성할 수 있는 권한을 부여합니다. | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource secretsmanager:CreateSecret secretsmanager:TagResource |
||
RestoreDBInstanceToPointInTime | DB 인스턴스를 임의의 시점으로 복원할 수 있는 권한을 부여합니다. | 쓰기 |
iam:PassRole rds:AddTagsToResource rds:CreateTenantDatabase |
||
RevokeDBSecurityGroupIngress | 이전에 승인된 IP 범위 또는 EC2 보안 그룹의 DBSecurityGroup 수신을 취소할 권한을 부여합니다. VPC | 쓰기 | |||
StartActivityStream | 활동 스트림을 시작할 수 있는 권한을 부여합니다. | 쓰기 | |||
StartDBCluster | DB 클러스터를 시작할 수 있는 권한을 부여합니다. | 쓰기 | |||
StartDBInstance | DB 인스턴스를 시작할 수 있는 권한을 부여합니다. | 쓰기 | |||
StartDBInstanceAutomatedBackupsReplication | 자동 백업을 다른 백업으로 복제하기 시작할 수 있는 권한을 부여합니다. AWS 리전 | 쓰기 | |||
StartExportTask | DB 스냅샷에 대한 새 내보내기 작업을 시작할 수 있는 권한을 부여합니다. | Write |
iam:PassRole |
||
StopActivityStream | 활동 스트림을 중지할 수 있는 권한을 부여합니다. | Write | |||
StopDBCluster | DB 클러스터를 중지할 수 있는 권한을 부여합니다. | Write | |||
StopDBInstance | DB 인스턴스를 중지할 수 있는 권한을 부여합니다. | Write |
rds:AddTagsToResource rds:CreateDBSnapshot |
||
StopDBInstanceAutomatedBackupsReplication | DB 인스턴스에 대한 자동 백업 복제를 중지할 수 있는 권한을 부여합니다. | 쓰기 | |||
SwitchoverBlueGreenDeployment | 소스 인스턴스 또는 클러스터에서 대상으로 블루/그린 배포를 전환할 수 있는 권한을 부여합니다. | 쓰기 |
rds:ModifyDBCluster rds:ModifyDBInstance rds:PromoteReadReplica rds:PromoteReadReplicaDBCluster |
||
SwitchoverGlobalCluster | 글로벌 클러스터를 전환할 수 있는 권한 부여 | 쓰기 | |||
SwitchoverReadReplica | 읽기 전용 복제본을 전환하여 새로운 기본 데이터베이스로 만드는 권한을 부여합니다. | 쓰기 |
Amazon에서 정의한 리소스 유형 RDS
다음 리소스 유형은 이 서비스에 의해 정의되며 IAM 권한 정책 설명의 Resource
요소에 사용될 수 있습니다. 작업 테이블의 각 작업에서 해당 작업으로 지정할 수 있는 리소스 유형을 식별합니다. 리소스 유형은 정책에 포함할 수 있는 조건 키를 정의할 수도 있습니다. 이러한 키는 테이블의 마지막 열에 표시됩니다. 다음 테이블의 열에 대한 자세한 내용은 리소스 유형 테이블을 참조하세요.
리소스 유형 | ARN | 조건 키 |
---|---|---|
cluster |
arn:${Partition}:rds:${Region}:${Account}:cluster:${DbClusterInstanceName}
|
|
shardgrp |
arn:${Partition}:rds:${Region}:${Account}:shard-group:${DbShardGroupResourceId}
|
|
cluster-auto-backup |
arn:${Partition}:rds:${Region}:${Account}:cluster-auto-backup:${DbClusterAutomatedBackupId}
|
|
auto-backup |
arn:${Partition}:rds:${Region}:${Account}:auto-backup:${DbInstanceAutomatedBackupId}
|
|
cluster-endpoint |
arn:${Partition}:rds:${Region}:${Account}:cluster-endpoint:${DbClusterEndpoint}
|
|
cluster-pg |
arn:${Partition}:rds:${Region}:${Account}:cluster-pg:${ClusterParameterGroupName}
|
|
cluster-snapshot |
arn:${Partition}:rds:${Region}:${Account}:cluster-snapshot:${ClusterSnapshotName}
|
|
db |
arn:${Partition}:rds:${Region}:${Account}:db:${DbInstanceName}
|
|
es |
arn:${Partition}:rds:${Region}:${Account}:es:${SubscriptionName}
|
|
global-cluster |
arn:${Partition}:rds::${Account}:global-cluster:${GlobalCluster}
|
|
og |
arn:${Partition}:rds:${Region}:${Account}:og:${OptionGroupName}
|
|
pg |
arn:${Partition}:rds:${Region}:${Account}:pg:${ParameterGroupName}
|
|
proxy |
arn:${Partition}:rds:${Region}:${Account}:db-proxy:${DbProxyId}
|
|
proxy-endpoint |
arn:${Partition}:rds:${Region}:${Account}:db-proxy-endpoint:${DbProxyEndpointId}
|
|
ri |
arn:${Partition}:rds:${Region}:${Account}:ri:${ReservedDbInstanceName}
|
|
secgrp |
arn:${Partition}:rds:${Region}:${Account}:secgrp:${SecurityGroupName}
|
|
snapshot |
arn:${Partition}:rds:${Region}:${Account}:snapshot:${SnapshotName}
|
|
subgrp |
arn:${Partition}:rds:${Region}:${Account}:subgrp:${SubnetGroupName}
|
|
target-group |
arn:${Partition}:rds:${Region}:${Account}:target-group:${TargetGroupId}
|
|
cev |
arn:${Partition}:rds:${Region}:${Account}:cev:${Engine}/${EngineVersion}/${CustomDbEngineVersionId}
|
|
deployment |
arn:${Partition}:rds:${Region}:${Account}:deployment:${BlueGreenDeploymentIdentifier}
|
|
integration |
arn:${Partition}:rds:${Region}:${Account}:integration:${IntegrationIdentifier}
|
|
snapshot-tenant-database |
arn:${Partition}:rds:${Region}:${Account}:snapshot-tenant-database:${SnapshotName}:${TenantResourceId}
|
|
tenant-database |
arn:${Partition}:rds:${Region}:${Account}:tenant-database:${TenantResourceId}
|
아마존용 조건 키 RDS
Amazon은 IAM 정책 Condition
요소에 사용할 수 있는 다음과 같은 조건 키를 RDS 정의합니다. 이러한 키를 사용하여 정책 설명이 적용되는 조건을 보다 상세하게 설정할 수 있습니다. 다음 테이블의 열에 대한 자세한 내용은 조건 키 테이블을 참조하세요.
모든 서비스에 사용할 수 있는 글로벌 조건 키를 보려면 사용 가능한 글로벌 조건 키를 참조하세요.
조건 키 | 설명 | 유형 |
---|---|---|
aws:RequestTag/${TagKey} | 요청의 태그 키-값 페어 집합을 기준으로 액세스를 필터링합니다. | String |
aws:ResourceTag/${TagKey} | 리소스에 연결된 태그 키-값 페어 집합을 기준으로 액세스를 필터링합니다. | String |
aws:TagKeys | 요청의 태그 키 세트를 기준으로 액세스를 필터링합니다. | ArrayOfString |
rds:BackupTarget | 백업 대상의 유형을 기준으로 액세스를 필터링합니다. 다음 중 하나: 지역, 전초 기지 | String |
rds:CopyOptionGroup | C opyDBSnapshot 작업에 DB 옵션 그룹 복사가 필요한지 여부를 지정하는 값을 기준으로 액세스를 필터링합니다. | 부울 |
rds:DatabaseClass | DB 인스턴스 클래스 유형을 기준으로 액세스를 필터링합니다. | 문자열 |
rds:DatabaseEngine | 데이터베이스 엔진을 기준으로 액세스를 필터링합니다. 가능한 값은 C의 엔진 파라미터를 참조하십시오. reateDBInstance API | String |
rds:DatabaseName | DB 인스턴스에 있는 데이터베이스의 사용자 정의 이름을 기준으로 액세스를 필터링합니다. | 문자열 |
rds:EndpointType | 엔드포인트 유형을 기준으로 액세스를 필터링합니다. 다음 중 하나: READERWRITER, CUSTOM | String |
rds:ManageMasterUserPassword | 에서 마스터 사용자 암호를 RDS 관리할지 여부를 지정하는 값을 기준으로 액세스를 필터링합니다. AWS DB 인스턴스 또는 클러스터용 Secrets Manager | 부울 |
rds:MultiAz | DB 인스턴스를 여러 가용 영역에서 실행할지 여부를 지정하는 값을 기준으로 액세스를 필터링합니다. DB 인스턴스가 다중 AZ를 사용하고 있음을 나타내려면 true를 지정합니다. | 부울 |
rds:Piops | 인스턴스가 지원하는 Provisioned IOPS (PIOPS) 수를 포함하는 값을 기준으로 액세스를 필터링합니다. PIOPS활성화되지 않은 DB 인스턴스를 나타내려면 0을 지정하십시오. | 숫자 |
rds:StorageEncrypted | DB 인스턴스 스토리지를 암호화해야 하는지 지정하는 값을 기준으로 액세스를 필터링합니다. 스토리지 암호화를 적용하려면 true를 지정합니다. | 부울 |
rds:StorageSize | 스토리지 볼륨 크기(GB)를 기준으로 액세스를 필터링합니다. | 숫자 |
rds:TenantDatabaseName | 내 테넌트 데이터베이스 이름 CreateTenantDatabase 및 새 테넌트 데이터베이스 이름을 기준으로 액세스를 필터링합니다. ModifyTenantDatabase | String |
rds:Vpc | DB 인스턴스가 Amazon Virtual Private Cloud (AmazonVPC) 에서 실행되는지 여부를 지정하는 값을 기준으로 액세스를 필터링합니다. DB 인스턴스가 VPC Amazon에서 실행되고 있음을 나타내려면 true를 지정하십시오. | 부울 |
rds:cluster-pg-tag/${TagKey} | DB 클러스터 파라미터 그룹에 연결된 태그를 기준으로 액세스를 필터링합니다. | 문자열 |
rds:cluster-snapshot-tag/${TagKey} | DB 클러스터 스냅샷에 연결된 태그를 기준으로 액세스를 필터링합니다. | 문자열 |
rds:cluster-tag/${TagKey} | DB 클러스터에 연결된 태그를 기준으로 액세스를 필터링합니다. | 문자열 |
rds:db-tag/${TagKey} | DB 인스턴스에 연결된 태그를 기준으로 액세스를 필터링합니다. | 문자열 |
rds:es-tag/${TagKey} | 이벤트 구독에 연결된 태그를 기준으로 액세스를 필터링합니다. | 문자열 |
rds:og-tag/${TagKey} | DB 옵션 그룹에 연결된 태그를 기준으로 액세스를 필터링합니다. | 문자열 |
rds:pg-tag/${TagKey} | DB 파라미터 그룹에 연결된 태그를 기준으로 액세스를 필터링합니다. | 문자열 |
rds:req-tag/${TagKey} | 리소스에 태그 지정하는 데 사용할 수 있는 태그 키와 값 집합을 기준으로 액세스를 필터링합니다. | 문자열 |
rds:ri-tag/${TagKey} | 예약 DB 인스턴스에 연결된 태그를 기준으로 액세스를 필터링합니다. | 문자열 |
rds:secgrp-tag/${TagKey} | DB 보안 그룹에 연결된 태그를 기준으로 액세스를 필터링합니다. | 문자열 |
rds:snapshot-tag/${TagKey} | DB 스냅샷에 연결된 태그를 기준으로 액세스를 필터링합니다. | 문자열 |
rds:subgrp-tag/${TagKey} | DB 서브넷 그룹에 연결된 태그를 기준으로 액세스를 필터링합니다. | String |