Amazon의 작업, 리소스 및 조건 키 RDS - 서비스 승인 참조

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon의 작업, 리소스 및 조건 키 RDS

Amazon RDS (서비스 접두사:rds) 은 권한 정책에 사용할 수 있는 다음과 같은 서비스별 리소스, 작업 및 조건 컨텍스트 키를 제공합니다. IAM

참조:

아마존에서 정의한 조치 RDS

IAM정책 설명의 Action 요소에 다음 작업을 지정할 수 있습니다. 정책을 사용하여 작업을 수행할 권한을 부여합니다. AWS. 정책에서 작업을 사용할 때는 일반적으로 같은 이름의 API 작업이나 CLI 명령에 대한 액세스를 허용하거나 거부합니다. 그러나 경우에 따라 하나의 작업으로 둘 이상의 작업에 대한 액세스가 제어됩니다. 또는 일부 작업을 수행하려면 다양한 작업이 필요합니다.

작업 테이블의 리소스 유형 열에는 각 작업이 리소스 수준 권한을 지원하는지 여부가 표시됩니다. 리소스 열에 값이 없으면 정책 문의 Resource 요소에서 정책이 적용되는 모든 리소스("*")를 지정해야 합니다. 열에 리소스 유형이 포함된 경우 해당 작업이 포함된 명령문에 해당 ARN 유형의 리소스를 지정할 수 있습니다. 작업에 필요한 리소스가 하나 이상 있는 경우, 호출자에게 해당 리소스와 함께 작업을 사용할 수 있는 권한이 있어야 합니다. 필수 리소스는 테이블에서 별표(*)로 표시됩니다. IAM정책의 Resource 요소로 리소스 액세스를 제한하는 경우 각 필수 리소스 유형에 대해 ARN 또는 패턴을 포함해야 합니다. 일부 작업은 다수의 리소스 유형을 지원합니다. 리소스 유형이 옵션(필수 리소스로 표시되지 않은 경우)인 경우에는 선택적 리소스 유형 중 하나를 사용하도록 선택할 수 있습니다.

작업 테이블의 조건 키 열에는 정책 설명의 Condition 요소에서 지정할 수 있는 키가 포함됩니다. 서비스의 리소스와 연결된 조건 키에 대한 자세한 내용은 리소스 유형 테이블의 조건 키 열을 참조하세요.

참고

리소스 조건 키는 리소스 유형 표에 나열되어 있습니다. 작업에 적용되는 리소스 유형에 대한 링크는 리소스 유형(*필수) 작업 표의 열에서 찾을 수 있습니다. 리소스 유형 테이블의 리소스 유형에는 조건 키 열이 포함되고 이는 작업 표의 작업에 적용되는 리소스 조건 키입니다.

다음 테이블의 열에 대한 자세한 내용은 작업 테이블을 참조하세요.

작업 설명 액세스 레벨 리소스 유형(*필수) 조건 키 종속 작업
AddRoleToDBCluster Aurora DB 클러스터의 ID 및 Access Management (IAM) 역할을 연결할 권한을 부여합니다. 쓰기

cluster*

iam:PassRole

AddRoleToDBInstance 연결할 권한을 부여합니다. AWS DB 인스턴스의 ID 및 Access Management (IAM) 역할 쓰기

db*

iam:PassRole

AddSourceIdentifierToSubscription 기존 RDS 이벤트 알림 구독에 소스 식별자를 추가할 수 있는 권한을 부여합니다. 쓰기

es*

AddTagsToResource Amazon RDS 리소스에 메타데이터 태그를 추가할 권한을 부여합니다. 태그 지정

cev

cluster

cluster-endpoint

cluster-pg

cluster-snapshot

db

deployment

es

integration

og

pg

proxy

proxy-endpoint

ri

secgrp

snapshot

snapshot-tenant-database

subgrp

target-group

tenant-database

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

ApplyPendingMaintenanceAction 대기 중인 유지 관리 작업을 리소스에 적용할 수 있는 권한을 부여합니다. 쓰기

cluster

db

AuthorizeDBSecurityGroupIngress 두 가지 권한 부여 형식 중 하나를 DBSecurityGroup 사용하여 수신을 활성화할 수 있는 권한을 부여합니다. 권한 관리

secgrp*

BacktrackDBCluster 새 DB 클러스터를 생성하지 않고 특정 시점으로 DB 클러스터를 역추적할 수 있는 권한을 부여합니다. Write

cluster*

CancelExportTask 진행 중인 내보내기 작업을 취소할 수 있는 권한을 부여합니다. 쓰기
CopyCustomDBEngineVersion [권한만 해당] 커스텀 엔진 버전을 복사할 수 있는 권한을 부여합니다. 쓰기

cev*

CopyDBClusterParameterGroup 지정된 DB 클러스터 파라미터 그룹을 복사할 수 있는 권한을 부여합니다. Write

cluster-pg*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

CopyDBClusterSnapshot DB 클러스터의 스냅샷을 생성할 수 있는 권한을 부여합니다. Write

cluster-snapshot*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

CopyDBParameterGroup 지정된 DB 파라미터 그룹을 복사할 수 있는 권한을 부여합니다. Write

pg*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

CopyDBSnapshot 지정된 DB 스냅샷을 복사할 수 있는 권한을 부여합니다. Write

snapshot*

rds:AddTagsToResource

rds:CopyCustomDBEngineVersion

aws:RequestTag/${TagKey}

aws:TagKeys

rds:CopyOptionGroup

CopyOptionGroup 지정된 옵션 그룹을 복사할 수 있는 권한을 부여합니다. 쓰기

og*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

CreateBlueGreenDeployment 지정된 소스 클러스터 또는 인스턴스에 블루/그린 배포를 생성할 수 있는 권한을 부여합니다. 쓰기

deployment*

rds:AddTagsToResource

rds:CreateDBCluster

rds:CreateDBClusterEndpoint

rds:CreateDBInstance

rds:CreateDBInstanceReadReplica

cluster

cluster-pg

db

pg

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

rds:cluster-tag/${TagKey}

rds:cluster-pg-tag/${TagKey}

rds:db-tag/${TagKey}

rds:pg-tag/${TagKey}

rds:req-tag/${TagKey}

rds:DatabaseEngine

rds:DatabaseName

rds:StorageEncrypted

rds:DatabaseClass

rds:StorageSize

rds:MultiAz

rds:Piops

rds:Vpc

CreateCustomDBEngineVersion 사용자 지정 엔진 버전을 생성할 수 있는 권한을 부여합니다. 쓰기

cev*

iam:CreateServiceLinkedRole

mediaimport:CreateDatabaseBinarySnapshot

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDBCluster 새 DB 클러스터를 생성할 권한을 부여합니다. 쓰기

cluster*

iam:PassRole

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

rds:AddTagsToResource

rds:CreateDBInstance

secretsmanager:CreateSecret

secretsmanager:TagResource

cluster-pg*

og*

subgrp*

db

global-cluster

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:DatabaseEngine

rds:DatabaseName

rds:StorageEncrypted

rds:DatabaseClass

rds:StorageSize

rds:Piops

rds:ManageMasterUserPassword

CreateDBClusterEndpoint 새 사용자 지정 엔드포인트를 생성하고 이를 Amazon Aurora DB 클러스터 또는 Amazon DocumentDB 클러스터와 연결할 수 있는 권한을 부여합니다. 쓰기

cluster*

rds:AddTagsToResource

cluster-endpoint*

rds:EndpointType

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDBClusterParameterGroup 새 DB 클러스터 파라미터 그룹을 생성할 수 있는 권한을 부여합니다. Write

cluster-pg*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBClusterSnapshot DB 클러스터의 스냅샷을 생성할 수 있는 권한을 부여합니다. Write

cluster*

rds:AddTagsToResource

cluster-snapshot*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBInstance 새 DB 인스턴스를 생성할 수 있는 권한을 부여합니다. Write

db*

iam:PassRole

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

rds:AddTagsToResource

rds:CreateTenantDatabase

secretsmanager:CreateSecret

secretsmanager:TagResource

cluster

og

pg

secgrp

subgrp

rds:BackupTarget

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:ManageMasterUserPassword

CreateDBInstanceReadReplica 소스 DB 인스턴스의 읽기 전용 복제본의 역할을 하는 DB 인스턴스를 생성할 수 있는 권한을 부여합니다. Write

cluster*

iam:PassRole

rds:AddTagsToResource

db*

og*

pg*

subgrp*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBParameterGroup 새 DB 파라미터 그룹을 생성할 수 있는 권한을 부여합니다. Write

pg*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBProxy 데이터베이스 프록시를 생성할 수 있는 권한을 부여합니다. Write

aws:RequestTag/${TagKey}

aws:TagKeys

iam:PassRole

CreateDBProxyEndpoint 데이터베이스 프록시 엔드포인트를 생성할 수 있는 권한을 부여합니다. Write

proxy*

proxy-endpoint*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateDBSecurityGroup 새 DB 보안 그룹을 생성할 수 있는 권한을 부여합니다. DB 보안 그룹은 DB 인스턴스에 대한 액세스를 제어합니다. 쓰기

secgrp*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBShardGroup 새 Aurora Limitless 데이터베이스 DB 샤드 그룹을 생성할 권한을 부여합니다. 쓰기

cluster*

shardgrp*

CreateDBSnapshot 생성 권한을 부여합니다. DBSnapshot 쓰기

db*

rds:AddTagsToResource

snapshot*

snapshot-tenant-database*

rds:BackupTarget

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateDBSubnetGroup 새 DB 서브넷 그룹을 생성할 수 있는 권한을 부여합니다. 쓰기

subgrp*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateEventSubscription RDS이벤트 알림 구독을 생성할 권한을 부여합니다. 쓰기

es*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateGlobalCluster 여러 지역에 분산된 Aurora 글로벌 데이터베이스 또는 DocumentDB 글로벌 데이터베이스를 생성할 수 있는 권한을 부여합니다. 쓰기

cluster*

global-cluster*

CreateIntegration Redshift와 Aurora 제로 ETL 통합을 만들 수 있는 권한을 부여합니다. 쓰기

cluster*

kms:CreateGrant

kms:DescribeKey

rds:AddTagsToResource

integration*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateOptionGroup 새 옵션 그룹을 생성할 수 있는 권한을 부여합니다. 쓰기

og*

rds:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

CreateTenantDatabase 새 테넌트 데이터베이스를 생성할 수 있는 권한을 부여합니다. 쓰기

db*

rds:AddTagsToResource

tenant-database*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:TenantDatabaseName

CrossRegionCommunication [권한만 해당] 교차 리전 스냅샷 복사 또는 교차 리전 읽기 전용 복제본 생성과 같은 교차 리전 작업을 실행할 때 원격 리전의 리소스에 액세스할 수 있는 권한을 부여합니다. 쓰기
DeleteBlueGreenDeployment 블루/그린 배포를 삭제할 수 있는 권한을 부여합니다. 쓰기

deployment*

rds:DeleteDBCluster

rds:DeleteDBClusterEndpoint

rds:DeleteDBInstance

rds:PromoteReadReplica

rds:PromoteReadReplicaDBCluster

aws:ResourceTag/${TagKey}

DeleteCustomDBEngineVersion 기존 사용자 지정 엔진 버전을 삭제할 수 있는 권한을 부여합니다. 쓰기

cev*

DeleteDBCluster 이전에 프로비저닝된 DB 클러스터를 삭제할 수 있는 권한을 부여합니다. 쓰기

cluster*

rds:AddTagsToResource

rds:CreateDBClusterSnapshot

rds:DeleteDBInstance

cluster-snapshot*

DeleteDBClusterAutomatedBackup 소스 클러스터의 DbClusterResourceId 값 또는 복원 가능한 클러스터의 리소스 ID를 기반으로 클러스터 자동 백업을 삭제할 권한을 부여합니다. 쓰기

cluster-auto-backup*

DeleteDBClusterEndpoint 사용자 지정 엔드포인트를 삭제할 권한을 부여하고 Amazon Aurora DB 클러스터 또는 Amazon DocumentDB 클러스터에서 제거합니다. 쓰기

cluster-endpoint*

DeleteDBClusterParameterGroup 지정된 DB 클러스터 파라미터 그룹을 삭제할 수 있는 권한을 부여합니다. Write

cluster-pg*

DeleteDBClusterSnapshot DB 클러스터 스냅샷을 삭제할 수 있는 권한을 부여합니다. Write

cluster-snapshot*

DeleteDBInstance 이전에 프로비저닝된 DB 인스턴스를 삭제할 수 있는 권한을 부여합니다. 쓰기

db*

rds:AddTagsToResource

rds:CreateDBSnapshot

rds:DeleteTenantDatabase

DeleteDBInstanceAutomatedBackup 원본 인스턴스의 DbiResourceId 값 또는 복원 가능한 인스턴스의 리소스 ID를 기반으로 자동 백업을 삭제할 권한을 부여합니다. 쓰기

auto-backup*

DeleteDBParameterGroup 지정된 항목을 삭제할 권한을 부여합니다. DBParameterGroup 쓰기

pg*

DeleteDBProxy 데이터베이스 프록시를 삭제할 수 있는 권한을 부여합니다. Write

proxy*

DeleteDBProxyEndpoint 데이터베이스 프록시 엔드포인트를 삭제할 수 있는 권한을 부여합니다. Write

proxy-endpoint*

DeleteDBSecurityGroup DB 보안 그룹을 삭제할 수 있는 권한을 부여합니다. 쓰기

secgrp*

DeleteDBShardGroup Aurora 리미트리스 데이터베이스 DB 샤드 그룹을 삭제할 권한을 부여합니다. 쓰기

shardgrp*

DeleteDBSnapshot 삭제 권한을 부여합니다. DBSnapshot 쓰기

snapshot*

DeleteDBSubnetGroup DB 서브넷 그룹을 삭제할 수 있는 권한을 부여합니다. 쓰기

subgrp*

DeleteEventSubscription RDS이벤트 알림 구독을 삭제할 권한을 부여합니다. 쓰기

es*

DeleteGlobalCluster 글로벌 데이터베이스 클러스터를 삭제할 수 있는 권한을 부여합니다. 쓰기

global-cluster*

DeleteIntegration Redshift와의 Aurora 제로 ETL 통합을 삭제할 수 있는 권한을 부여합니다. 쓰기

integration*

DeleteOptionGroup 기존 옵션 그룹을 삭제할 수 있는 권한을 부여합니다. 쓰기

og*

DeleteTenantDatabase 테넌트 데이터베이스를 삭제할 수 있는 권한을 부여합니다. 쓰기

db*

rds:AddTagsToResource

rds:CreateDBSnapshot

tenant-database*

DeregisterDBProxyTargets 데이터베이스 프록시 대상 그룹에서 대상을 제거할 수 있는 권한을 부여합니다. Write

cluster*

db*

proxy*

target-group*

DescribeAccountAttributes 고객 계정에 대한 모든 속성을 나열할 수 있는 권한을 부여합니다. 나열
DescribeBlueGreenDeployments 블루/그린 배포를 설명할 수 있는 권한을 부여합니다. 나열

deployment

DescribeCertificates 이를 RDS 위해 Amazon에서 제공한 CA 인증서 세트를 나열할 권한을 부여합니다. AWS 계정 나열
DescribeDBClusterAutomatedBackups 현재 인스턴스와 삭제된 인스턴스 모두에 대한 자동 백업의 목록을 반환할 수 있는 권한 부여 나열

cluster-auto-backup*

cluster

DescribeDBClusterBacktracks DB 클러스터의 역추적에 대한 정보를 반환할 수 있는 권한을 부여합니다. 나열

cluster*

DescribeDBClusterEndpoints Amazon Aurora DB 클러스터의 엔드포인트에 대한 정보를 반환할 수 있는 권한을 부여합니다. 나열

cluster

cluster-endpoint

DescribeDBClusterParameterGroups DBClusterParameterGroup설명 목록을 반환할 권한을 부여합니다. 나열

cluster-pg*

DescribeDBClusterParameters 특정 DB 클러스터 파라미터 그룹에 대한 세부 파라미터 목록을 반환할 수 있는 권한을 부여합니다. 나열

cluster-pg*

DescribeDBClusterSnapshotAttributes 수동 DB 클러스터 스냅샷에 대한 DB 클러스터 스냅샷 속성 이름 및 값의 목록을 반환할 수 있는 권한을 부여합니다. 나열

cluster-snapshot*

DescribeDBClusterSnapshots DB 클러스터 스냅샷에 대한 정보를 반환할 수 있는 권한을 부여합니다. 나열

cluster

cluster-snapshot

DescribeDBClusters 프로비저닝된 Aurora DB 클러스터 또는 DocumentDB 클러스터에 대한 정보를 반환할 권한을 부여합니다. 나열

cluster*

DescribeDBEngineVersions 사용 가능한 DB 엔진 목록을 반환할 수 있는 권한을 부여합니다. 나열
DescribeDBInstanceAutomatedBackups 현재 인스턴스와 삭제된 인스턴스 모두에 대한 자동 백업의 목록을 반환할 수 있는 권한을 부여합니다. 나열

auto-backup

db

DescribeDBInstances 프로비저닝된 인스턴스에 대한 정보를 반환할 권한을 부여합니다. RDS 나열

db*

DescribeDBLogFiles DB 인스턴스에 대한 DB 로그 파일의 목록을 반환할 수 있는 권한을 부여합니다. 나열

db*

DescribeDBParameterGroups 설명 목록을 반환할 권한을 부여합니다. DBParameterGroup 나열

pg*

DescribeDBParameters 특정 DB 파라미터 그룹에 대한 세부 파라미터 목록을 반환할 수 있는 권한을 부여합니다. 나열

pg*

DescribeDBProxies 프록시를 볼 수 있는 권한을 부여합니다. 나열

proxy*

DescribeDBProxyEndpoints 프록시 엔드포인트를 볼 수 있는 권한을 부여합니다. 나열

proxy*

proxy-endpoint*

DescribeDBProxyTargetGroups 데이터베이스 프록시 대상 그룹 세부 정보를 볼 수 있는 권한을 부여합니다. 나열

proxy*

DescribeDBProxyTargets 데이터베이스 프록시 대상 세부 정보를 볼 수 있는 권한을 부여합니다. 나열

proxy*

target-group*

DescribeDBRecommendations 추천 세부 정보를 나열할 수 있는 권한 부여 나열
DescribeDBSecurityGroups DBSecurityGroup설명 목록을 반환할 권한을 부여합니다. 나열

secgrp*

DescribeDBShardGroups 이 계정의 모든 Aurora Limitless 데이터베이스 DB 샤드 그룹에 대한 정보를 반환할 권한을 부여합니다. 샤드 그룹별로 필터링할 수 있습니다. 나열

shardgrp*

DescribeDBSnapshotAttributes 수동 DB 스냅샷에 대한 DB 스냅샷 속성 이름 및 값의 목록을 반환할 수 있는 권한을 부여합니다. 나열

snapshot*

DescribeDBSnapshotTenantDatabases DB 스냅샷의 테넌트 데이터베이스에 대한 정보를 반환할 수 있는 권한을 부여합니다. 지역 또는 스냅샷별로 필터링할 수 있습니다. 나열

snapshot-tenant-database*

db

snapshot

DescribeDBSnapshots DB 스냅샷에 대한 정보를 반환할 수 있는 권한을 부여합니다. 나열

db

snapshot

DescribeDBSubnetGroups 설명 목록을 DBSubnetGroup 반환할 권한을 부여합니다. 나열

subgrp*

DescribeEngineDefaultClusterParameters 클러스터 데이터베이스 엔진에 대한 기본 엔진 및 시스템 파라미터 정보를 반환할 수 있는 권한을 부여합니다. 나열
DescribeEngineDefaultParameters 지정된 데이터베이스 엔진에 대한 기본 엔진 및 시스템 파라미터 정보를 반환할 수 있는 권한을 부여합니다. 나열
DescribeEventCategories 모든 이벤트 소스 유형 또는 지정된 경우 지정된 소스 유형에 대한 범주 목록을 표시할 수 있는 권한을 부여합니다. 나열
DescribeEventSubscriptions 고객 계정의 모든 구독 설명을 나열할 수 있는 권한을 부여합니다. 나열

es*

DescribeEvents 지난 14일 동안의 DB 인스턴스, DB 보안 그룹, DB 스냅샷 및 DB 파라미터 그룹과 관련된 이벤트를 반환할 수 있는 권한을 부여합니다. 나열
DescribeExportTasks 내보내기 작업에 대한 정보를 반환할 수 있는 권한을 부여합니다. 나열

cluster

cluster-snapshot

snapshot

DescribeGlobalClusters Aurora 글로벌 데이터베이스 클러스터 또는 DocumentDB 글로벌 데이터베이스 클러스터에 대한 정보를 반환할 권한을 부여합니다. 나열

global-cluster*

DescribeIntegrations Redshift와의 Aurora 제로 ETL 통합을 설명할 수 있는 권한을 부여합니다. 나열

integration*

aws:ResourceTag/${TagKey}

DescribeOptionGroupOptions 사용 가능한 모든 옵션을 설명할 수 있는 권한을 부여합니다. 나열
DescribeOptionGroups 사용 가능한 옵션 그룹을 설명할 수 있는 권한을 부여합니다. 나열

og*

DescribeOrderableDBInstanceOptions 지정된 엔진에 대해 명령 가능한 DB 인스턴스 옵션의 목록을 반환할 수 있는 권한을 부여합니다. 나열
DescribePendingMaintenanceActions 대기 중인 유지 관리 작업이 하나 이상 있는 리소스(예: DB 인스턴스)의 목록을 반환할 수 있는 권한을 부여합니다. 나열

cluster

db

DescribeRecommendationGroups [권한만 해당] 권장 사항 그룹에 대한 정보를 반환할 수 있는 권한을 부여합니다. 읽기
DescribeRecommendations [권한만 해당] 권장 사항에 대한 정보를 반환할 수 있는 권한을 부여합니다. 읽기
DescribeReservedDBInstances 이 계정에 대한 예약 DB 인스턴스에 대한 정보 또는 지정된 예약 DB 인스턴스에 대한 정보를 반환할 수 있는 권한을 부여합니다. 나열

ri*

DescribeReservedDBInstancesOfferings 사용 가능한 예약 DB 인스턴스 상품을 나열할 수 있는 권한을 부여합니다. 나열
DescribeSourceRegions 소스 목록을 반환할 권한을 부여합니다. AWS 리전 어디서, 현재 AWS 리전 읽기 전용 복제본을 만들거나 DB 스냅샷을 복사할 수 있습니다. 나열
DescribeTenantDatabases 프로비저닝된 테넌트 데이터베이스에 대한 정보를 반환할 수 있는 권한을 부여합니다. 지역 또는 스냅샷별로 필터링할 수 있습니다. 나열

tenant-database*

db

DescribeValidDBInstanceModifications DB 인스턴스에서 가능한 수정 사항을 나열할 수 있는 권한을 부여합니다. 나열

db*

DisableHttpEndpoint DB 클러스터의 http 엔드포인트를 비활성화할 수 있는 권한 부여 쓰기

cluster*

DownloadCompleteDBLogFile 지정된 로그 파일을 다운로드할 수 있는 권한을 부여합니다. 읽기

db*

DownloadDBLogFilePortion 지정된 로그 파일의 전체 또는 일부를 다운로드(최대 1MB)할 수 있는 권한을 부여합니다. 읽기

db*

EnableHttpEndpoint DB 클러스터의 http 엔드포인트를 활성화할 수 있는 권한 부여 쓰기

cluster*

FailoverDBCluster DB 클러스터에 대해 강제로 장애 조치를 수행할 수 있는 권한을 부여합니다. Write

cluster*

FailoverGlobalCluster 글로벌 클러스터를 장애 조치할 수 있는 권한을 부여합니다. 쓰기

cluster*

global-cluster*

ListTagsForResource Amazon RDS 리소스의 모든 태그를 나열할 권한을 부여합니다. 읽기

cev

cluster

cluster-endpoint

cluster-pg

cluster-snapshot

db

es

integration

og

pg

proxy

proxy-endpoint

ri

secgrp

snapshot

snapshot-tenant-database

subgrp

target-group

tenant-database

ModifyActivityStream 데이터베이스 활동 스트림을 수정하는 권한을 부여합니다. 쓰기

db*

ModifyCertificates 새 DB 인스턴스에 대해 Amazon용 시스템 기본 보안 소켓 계층/전송 계층 보안 (/SSL) TLS 인증서를 수정할 권한을 부여합니다. RDS 쓰기
ModifyCurrentDBClusterCapacity Amazon Aurora 서버리스 DB 클러스터의 현재 클러스터 용량을 수정할 수 있는 권한을 부여합니다. 쓰기

cluster*

ModifyCustomDBEngineVersion 기존 사용자 지정 엔진 버전을 수정할 수 있는 권한을 부여합니다. 쓰기

cev*

ModifyDBCluster Amazon Aurora DB 클러스터 또는 Amazon DocumentDB 클러스터의 설정을 수정할 권한을 부여합니다. 쓰기

cluster*

iam:PassRole

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

rds:ModifyDBInstance

secretsmanager:CreateSecret

secretsmanager:RotateSecret

secretsmanager:TagResource

cluster-pg

og

pg

rds:DatabaseClass

rds:StorageSize

rds:Piops

rds:ManageMasterUserPassword

ModifyDBClusterEndpoint Amazon Aurora DB 클러스터 또는 Amazon DocumentDB 클러스터의 엔드포인트 속성을 수정할 수 있는 권한을 부여합니다. 쓰기

cluster-endpoint*

ModifyDBClusterParameterGroup DB 클러스터 파라미터 그룹의 파라미터를 수정할 수 있는 권한을 부여합니다. Write

cluster-pg*

ModifyDBClusterSnapshotAttribute 속성 및 값을 수동 DB 클러스터 스냅샷에 추가하거나, 수동 DB 클러스터 스냅샷에서 속성 및 값을 제거할 수 있는 권한을 부여합니다. Write

cluster-snapshot*

ModifyDBInstance DB 인스턴스에 대한 설정을 수정할 수 있는 권한을 부여합니다. Write

db*

iam:PassRole

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

rds:AddTagsToResource

rds:CreateTenantDatabase

secretsmanager:CreateSecret

secretsmanager:RotateSecret

secretsmanager:TagResource

og

pg

secgrp

subgrp

rds:ManageMasterUserPassword

ModifyDBParameterGroup DB 파라미터 그룹의 파라미터를 수정할 수 있는 권한을 부여합니다. Write

pg*

ModifyDBProxy 데이터베이스 프록시를 수정할 수 있는 권한을 부여합니다. Write

proxy*

iam:PassRole

ModifyDBProxyEndpoint 데이터베이스 프록시 엔드포인트를 수정할 수 있는 권한을 부여합니다. Write

proxy-endpoint*

ModifyDBProxyTargetGroup 데이터베이스 프록시에 대한 대상 그룹을 수정할 수 있는 권한을 부여합니다. 쓰기

target-group*

ModifyDBRecommendation 추천을 수정할 수 있는 권한을 부여합니다. 쓰기
ModifyDBShardGroup Aurora Limitless 데이터베이스 DB 샤드 그룹의 속성을 수정할 수 있는 권한을 부여합니다. 쓰기

shardgrp*

ModifyDBSnapshot 수동 DB 스냅샷(암호화 가능 또는 불가능)을 새 엔진 버전으로 업데이트할 수 있는 권한을 부여합니다. Write

snapshot*

og

ModifyDBSnapshotAttribute 속성 및 값을 수동 DB 스냅샷에 추가하거나, 수동 DB 스냅샷에서 속성 및 값을 제거할 수 있는 권한을 부여합니다. Write

snapshot*

ModifyDBSubnetGroup 기존 DB 서브넷 그룹을 수정할 수 있는 권한을 부여합니다. 쓰기

subgrp*

ModifyEventSubscription 기존 RDS 이벤트 알림 구독을 수정할 권한을 부여합니다. 쓰기

es*

ModifyGlobalCluster Amazon Aurora 글로벌 클러스터 또는 Amazon DocumentDB 글로벌 클러스터의 설정을 수정할 권한을 부여합니다. 쓰기

global-cluster*

ModifyIntegration Redshift와의 Aurora 제로 ETL 통합을 수정할 수 있는 권한을 부여합니다. 쓰기

integration*

ModifyOptionGroup 기존 옵션 그룹을 수정할 수 있는 권한을 부여합니다. 쓰기

og*

iam:PassRole

ModifyRecommendation [권한만 해당] 권장 사항을 수정할 수 있는 권한을 부여합니다. 쓰기
ModifyTenantDatabase 테넌트 데이터베이스를 수정할 수 있는 권한을 부여합니다. 쓰기

db*

tenant-database*

rds:TenantDatabaseName

PromoteReadReplica 읽기 전용 복제본 DB 인스턴스를 독립 실행형 DB 인스턴스로 승격할 수 있는 권한을 부여합니다. Write

db*

PromoteReadReplicaDBCluster 읽기 전용 복제본 DB 클러스터를 독립 실행형 DB 클러스터로 승격할 수 있는 권한을 부여합니다. Write

cluster*

PurchaseReservedDBInstancesOffering 예약 DB 인스턴스 상품을 구매할 수 있는 권한을 부여합니다. 쓰기

ri*

aws:RequestTag/${TagKey}

aws:TagKeys

RebootDBCluster 이전에 프로비저닝된 DB 클러스터를 재부팅할 수 있는 권한을 부여합니다. 쓰기

cluster*

rds:RebootDBInstance

RebootDBInstance 데이터베이스 엔진 서비스를 다시 시작할 수 있는 권한을 부여합니다. 쓰기

db*

RebootDBShardGroup Aurora 리미트리스 데이터베이스 DB 샤드 그룹을 재부팅할 수 있는 권한을 부여합니다. 쓰기

shardgrp*

RegisterDBProxyTargets 데이터베이스 프록시 대상 그룹에 대상을 추가할 수 있는 권한을 부여합니다. 쓰기

target-group*

RemoveFromGlobalCluster Aurora 글로벌 데이터베이스 클러스터 또는 DocumentDB 글로벌 클러스터에서 Aurora 보조 클러스터를 분리할 수 있는 권한을 부여합니다. 쓰기

cluster*

global-cluster*

RemoveRoleFromDBCluster 연결을 끊을 수 있는 권한을 부여합니다. AWS Amazon Aurora DB 클러스터의 ID 및 액세스 관리 (IAM) 역할 쓰기

cluster*

iam:PassRole

RemoveRoleFromDBInstance 연결을 끊을 수 있는 권한을 부여합니다. AWS DB 인스턴스의 ID 및 Access Management (IAM) 역할 쓰기

db*

iam:PassRole

RemoveSourceIdentifierFromSubscription 기존 RDS 이벤트 알림 구독에서 소스 식별자를 제거할 권한을 부여합니다. 쓰기

es*

RemoveTagsFromResource Amazon RDS 리소스에서 메타데이터 태그를 제거할 권한을 부여합니다. 태그 지정

cev

cluster

cluster-endpoint

cluster-pg

cluster-snapshot

db

deployment

es

integration

og

pg

proxy

proxy-endpoint

ri

secgrp

snapshot

snapshot-tenant-database

subgrp

target-group

tenant-database

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

ResetDBClusterParameterGroup DB 클러스터 파라미터 그룹의 파라미터를 기본값으로 수정할 수 있는 권한을 부여합니다. Write

cluster-pg*

ResetDBParameterGroup DB 파라미터 그룹의 파라미터를 엔진/시스템 기본값으로 수정할 수 있는 권한을 부여합니다. Write

pg*

RestoreDBClusterFromS3 Amazon S3 버킷에 저장된 데이터에서 Amazon Aurora DB 클러스터를 생성할 수 있는 권한을 부여합니다. Write

cluster*

iam:PassRole

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

rds:AddTagsToResource

secretsmanager:CreateSecret

secretsmanager:TagResource

cluster-pg*

og*

subgrp*

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:DatabaseEngine

rds:DatabaseName

rds:StorageEncrypted

rds:ManageMasterUserPassword

RestoreDBClusterFromSnapshot DB 클러스터 스냅샷에서 새 DB 클러스터를 생성할 수 있는 권한을 부여합니다. Write

cluster*

iam:PassRole

rds:AddTagsToResource

rds:CreateDBInstance

cluster-pg*

og*

subgrp*

cluster-snapshot

snapshot

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:DatabaseClass

rds:StorageSize

rds:Piops

RestoreDBClusterToPointInTime DB 클러스터를 임의의 시점으로 복원할 수 있는 권한을 부여합니다. Write

cluster*

iam:PassRole

rds:AddTagsToResource

rds:CreateDBInstance

cluster-pg*

og*

subgrp*

cluster-auto-backup

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:DatabaseClass

rds:StorageSize

rds:Piops

RestoreDBInstanceFromDBSnapshot DB 스냅샷에서 새 DB 인스턴스를 생성할 수 있는 권한을 부여합니다. Write

db*

iam:PassRole

rds:AddTagsToResource

rds:CreateTenantDatabase

og*

pg*

subgrp*

cluster-snapshot

snapshot

rds:BackupTarget

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

RestoreDBInstanceFromS3 Amazon S3 버킷에서 새 DB 인스턴스를 생성할 수 있는 권한을 부여합니다. Write

db*

iam:PassRole

kms:CreateGrant

kms:Decrypt

kms:DescribeKey

kms:GenerateDataKey

rds:AddTagsToResource

secretsmanager:CreateSecret

secretsmanager:TagResource

og*

pg*

subgrp*

secgrp

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

rds:ManageMasterUserPassword

RestoreDBInstanceToPointInTime DB 인스턴스를 임의의 시점으로 복원할 수 있는 권한을 부여합니다. 쓰기

db*

iam:PassRole

rds:AddTagsToResource

rds:CreateTenantDatabase

og*

pg*

subgrp*

auto-backup

rds:BackupTarget

aws:RequestTag/${TagKey}

aws:TagKeys

rds:req-tag/${TagKey}

RevokeDBSecurityGroupIngress 이전에 승인된 IP 범위 또는 EC2 보안 그룹의 DBSecurityGroup 수신을 취소할 권한을 부여합니다. VPC 쓰기

secgrp*

StartActivityStream 활동 스트림을 시작할 수 있는 권한을 부여합니다. 쓰기

cluster

db

StartDBCluster DB 클러스터를 시작할 수 있는 권한을 부여합니다. 쓰기

cluster*

StartDBInstance DB 인스턴스를 시작할 수 있는 권한을 부여합니다. 쓰기

db*

StartDBInstanceAutomatedBackupsReplication 자동 백업을 다른 백업으로 복제하기 시작할 수 있는 권한을 부여합니다. AWS 리전 쓰기

auto-backup*

db*

StartExportTask DB 스냅샷에 대한 새 내보내기 작업을 시작할 수 있는 권한을 부여합니다. Write

cluster

iam:PassRole

cluster-snapshot

snapshot

StopActivityStream 활동 스트림을 중지할 수 있는 권한을 부여합니다. Write

cluster

db

StopDBCluster DB 클러스터를 중지할 수 있는 권한을 부여합니다. Write

cluster*

StopDBInstance DB 인스턴스를 중지할 수 있는 권한을 부여합니다. Write

db*

rds:AddTagsToResource

rds:CreateDBSnapshot

snapshot

StopDBInstanceAutomatedBackupsReplication DB 인스턴스에 대한 자동 백업 복제를 중지할 수 있는 권한을 부여합니다. 쓰기

db*

SwitchoverBlueGreenDeployment 소스 인스턴스 또는 클러스터에서 대상으로 블루/그린 배포를 전환할 수 있는 권한을 부여합니다. 쓰기

deployment*

rds:ModifyDBCluster

rds:ModifyDBInstance

rds:PromoteReadReplica

rds:PromoteReadReplicaDBCluster

aws:ResourceTag/${TagKey}

SwitchoverGlobalCluster 글로벌 클러스터를 전환할 수 있는 권한 부여 쓰기

cluster*

global-cluster*

SwitchoverReadReplica 읽기 전용 복제본을 전환하여 새로운 기본 데이터베이스로 만드는 권한을 부여합니다. 쓰기

db*

Amazon에서 정의한 리소스 유형 RDS

다음 리소스 유형은 이 서비스에 의해 정의되며 IAM 권한 정책 설명의 Resource 요소에 사용될 수 있습니다. 작업 테이블의 각 작업에서 해당 작업으로 지정할 수 있는 리소스 유형을 식별합니다. 리소스 유형은 정책에 포함할 수 있는 조건 키를 정의할 수도 있습니다. 이러한 키는 테이블의 마지막 열에 표시됩니다. 다음 테이블의 열에 대한 자세한 내용은 리소스 유형 테이블을 참조하세요.

리소스 유형 ARN 조건 키
cluster arn:${Partition}:rds:${Region}:${Account}:cluster:${DbClusterInstanceName}

aws:ResourceTag/${TagKey}

rds:cluster-tag/${TagKey}

shardgrp arn:${Partition}:rds:${Region}:${Account}:shard-group:${DbShardGroupResourceId}
cluster-auto-backup arn:${Partition}:rds:${Region}:${Account}:cluster-auto-backup:${DbClusterAutomatedBackupId}
auto-backup arn:${Partition}:rds:${Region}:${Account}:auto-backup:${DbInstanceAutomatedBackupId}
cluster-endpoint arn:${Partition}:rds:${Region}:${Account}:cluster-endpoint:${DbClusterEndpoint}

aws:ResourceTag/${TagKey}

cluster-pg arn:${Partition}:rds:${Region}:${Account}:cluster-pg:${ClusterParameterGroupName}

aws:ResourceTag/${TagKey}

rds:cluster-pg-tag/${TagKey}

cluster-snapshot arn:${Partition}:rds:${Region}:${Account}:cluster-snapshot:${ClusterSnapshotName}

aws:ResourceTag/${TagKey}

rds:cluster-snapshot-tag/${TagKey}

db arn:${Partition}:rds:${Region}:${Account}:db:${DbInstanceName}

aws:ResourceTag/${TagKey}

rds:DatabaseClass

rds:DatabaseEngine

rds:DatabaseName

rds:MultiAz

rds:Piops

rds:StorageEncrypted

rds:StorageSize

rds:Vpc

rds:db-tag/${TagKey}

es arn:${Partition}:rds:${Region}:${Account}:es:${SubscriptionName}

aws:ResourceTag/${TagKey}

rds:es-tag/${TagKey}

global-cluster arn:${Partition}:rds::${Account}:global-cluster:${GlobalCluster}
og arn:${Partition}:rds:${Region}:${Account}:og:${OptionGroupName}

aws:ResourceTag/${TagKey}

rds:og-tag/${TagKey}

pg arn:${Partition}:rds:${Region}:${Account}:pg:${ParameterGroupName}

aws:ResourceTag/${TagKey}

rds:pg-tag/${TagKey}

proxy arn:${Partition}:rds:${Region}:${Account}:db-proxy:${DbProxyId}

aws:ResourceTag/${TagKey}

proxy-endpoint arn:${Partition}:rds:${Region}:${Account}:db-proxy-endpoint:${DbProxyEndpointId}

aws:ResourceTag/${TagKey}

ri arn:${Partition}:rds:${Region}:${Account}:ri:${ReservedDbInstanceName}

aws:ResourceTag/${TagKey}

rds:ri-tag/${TagKey}

secgrp arn:${Partition}:rds:${Region}:${Account}:secgrp:${SecurityGroupName}

aws:ResourceTag/${TagKey}

rds:secgrp-tag/${TagKey}

snapshot arn:${Partition}:rds:${Region}:${Account}:snapshot:${SnapshotName}

aws:ResourceTag/${TagKey}

rds:snapshot-tag/${TagKey}

subgrp arn:${Partition}:rds:${Region}:${Account}:subgrp:${SubnetGroupName}

aws:ResourceTag/${TagKey}

rds:subgrp-tag/${TagKey}

target-group arn:${Partition}:rds:${Region}:${Account}:target-group:${TargetGroupId}

aws:ResourceTag/${TagKey}

cev arn:${Partition}:rds:${Region}:${Account}:cev:${Engine}/${EngineVersion}/${CustomDbEngineVersionId}

aws:ResourceTag/${TagKey}

deployment arn:${Partition}:rds:${Region}:${Account}:deployment:${BlueGreenDeploymentIdentifier}

aws:ResourceTag/${TagKey}

integration arn:${Partition}:rds:${Region}:${Account}:integration:${IntegrationIdentifier}

aws:ResourceTag/${TagKey}

snapshot-tenant-database arn:${Partition}:rds:${Region}:${Account}:snapshot-tenant-database:${SnapshotName}:${TenantResourceId}

aws:ResourceTag/${TagKey}

tenant-database arn:${Partition}:rds:${Region}:${Account}:tenant-database:${TenantResourceId}

aws:ResourceTag/${TagKey}

아마존용 조건 키 RDS

Amazon은 IAM 정책 Condition 요소에 사용할 수 있는 다음과 같은 조건 키를 RDS 정의합니다. 이러한 키를 사용하여 정책 설명이 적용되는 조건을 보다 상세하게 설정할 수 있습니다. 다음 테이블의 열에 대한 자세한 내용은 조건 키 테이블을 참조하세요.

모든 서비스에 사용할 수 있는 글로벌 조건 키를 보려면 사용 가능한 글로벌 조건 키를 참조하세요.

조건 키 설명 유형
aws:RequestTag/${TagKey} 요청의 태그 키-값 페어 집합을 기준으로 액세스를 필터링합니다. String
aws:ResourceTag/${TagKey} 리소스에 연결된 태그 키-값 페어 집합을 기준으로 액세스를 필터링합니다. String
aws:TagKeys 요청의 태그 키 세트를 기준으로 액세스를 필터링합니다. ArrayOfString
rds:BackupTarget 백업 대상의 유형을 기준으로 액세스를 필터링합니다. 다음 중 하나: 지역, 전초 기지 String
rds:CopyOptionGroup C opyDBSnapshot 작업에 DB 옵션 그룹 복사가 필요한지 여부를 지정하는 값을 기준으로 액세스를 필터링합니다. 부울
rds:DatabaseClass DB 인스턴스 클래스 유형을 기준으로 액세스를 필터링합니다. 문자열
rds:DatabaseEngine 데이터베이스 엔진을 기준으로 액세스를 필터링합니다. 가능한 값은 C의 엔진 파라미터를 참조하십시오. reateDBInstance API String
rds:DatabaseName DB 인스턴스에 있는 데이터베이스의 사용자 정의 이름을 기준으로 액세스를 필터링합니다. 문자열
rds:EndpointType 엔드포인트 유형을 기준으로 액세스를 필터링합니다. 다음 중 하나: READERWRITER, CUSTOM String
rds:ManageMasterUserPassword 에서 마스터 사용자 암호를 RDS 관리할지 여부를 지정하는 값을 기준으로 액세스를 필터링합니다. AWS DB 인스턴스 또는 클러스터용 Secrets Manager 부울
rds:MultiAz DB 인스턴스를 여러 가용 영역에서 실행할지 여부를 지정하는 값을 기준으로 액세스를 필터링합니다. DB 인스턴스가 다중 AZ를 사용하고 있음을 나타내려면 true를 지정합니다. 부울
rds:Piops 인스턴스가 지원하는 Provisioned IOPS (PIOPS) 수를 포함하는 값을 기준으로 액세스를 필터링합니다. PIOPS활성화되지 않은 DB 인스턴스를 나타내려면 0을 지정하십시오. 숫자
rds:StorageEncrypted DB 인스턴스 스토리지를 암호화해야 하는지 지정하는 값을 기준으로 액세스를 필터링합니다. 스토리지 암호화를 적용하려면 true를 지정합니다. 부울
rds:StorageSize 스토리지 볼륨 크기(GB)를 기준으로 액세스를 필터링합니다. 숫자
rds:TenantDatabaseName 내 테넌트 데이터베이스 이름 CreateTenantDatabase 및 새 테넌트 데이터베이스 이름을 기준으로 액세스를 필터링합니다. ModifyTenantDatabase String
rds:Vpc DB 인스턴스가 Amazon Virtual Private Cloud (AmazonVPC) 에서 실행되는지 여부를 지정하는 값을 기준으로 액세스를 필터링합니다. DB 인스턴스가 VPC Amazon에서 실행되고 있음을 나타내려면 true를 지정하십시오. 부울
rds:cluster-pg-tag/${TagKey} DB 클러스터 파라미터 그룹에 연결된 태그를 기준으로 액세스를 필터링합니다. 문자열
rds:cluster-snapshot-tag/${TagKey} DB 클러스터 스냅샷에 연결된 태그를 기준으로 액세스를 필터링합니다. 문자열
rds:cluster-tag/${TagKey} DB 클러스터에 연결된 태그를 기준으로 액세스를 필터링합니다. 문자열
rds:db-tag/${TagKey} DB 인스턴스에 연결된 태그를 기준으로 액세스를 필터링합니다. 문자열
rds:es-tag/${TagKey} 이벤트 구독에 연결된 태그를 기준으로 액세스를 필터링합니다. 문자열
rds:og-tag/${TagKey} DB 옵션 그룹에 연결된 태그를 기준으로 액세스를 필터링합니다. 문자열
rds:pg-tag/${TagKey} DB 파라미터 그룹에 연결된 태그를 기준으로 액세스를 필터링합니다. 문자열
rds:req-tag/${TagKey} 리소스에 태그 지정하는 데 사용할 수 있는 태그 키와 값 집합을 기준으로 액세스를 필터링합니다. 문자열
rds:ri-tag/${TagKey} 예약 DB 인스턴스에 연결된 태그를 기준으로 액세스를 필터링합니다. 문자열
rds:secgrp-tag/${TagKey} DB 보안 그룹에 연결된 태그를 기준으로 액세스를 필터링합니다. 문자열
rds:snapshot-tag/${TagKey} DB 스냅샷에 연결된 태그를 기준으로 액세스를 필터링합니다. 문자열
rds:subgrp-tag/${TagKey} DB 서브넷 그룹에 연결된 태그를 기준으로 액세스를 필터링합니다. String