기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon RDS에 사용되는 작업, 리소스 및 조건 키
Amazon RDS(서비스 접두사: rds)는 IAM 권한 정책에 사용할 수 있는 다음과 같은 서비스별 리소스, 작업 및 조건 컨텍스트 키를 제공합니다.
참조:
-
이 서비스를 구성하는 방법을 알아봅니다.
-
이 서비스에 사용 가능한 API 작업의 목록을 봅니다.
-
IAM 권한 정책을 사용하여 이 서비스와 리소스를 보호하는 방법을 알아봅니다.
Amazon RDS에서 정의한 작업
IAM 정책 설명의 Action 요소에서는 다음 작업을 지정할 수 있습니다. 정책을 사용하여 AWS에서 작업할 수 있는 권한을 부여합니다. 정책에서 작업을 사용하면 일반적으로 이름이 같은 API 작업 또는 CLI 명령에 대한 액세스를 허용하거나 거부합니다. 그러나 경우에 따라 하나의 작업으로 둘 이상의 작업에 대한 액세스가 제어됩니다. 또는 일부 작업을 수행하려면 다양한 작업이 필요합니다.
작업 테이블의 액세스 수준 열은 작업이 분류되는 방식(목록, 읽기, 권한 관리 또는 태그 지정)을 설명합니다. 이 분류는 정책에서 사용하는 작업이 부여하는 액세스 레벨을 이해하는 데 도움이 될 수 있습니다. 액세스 수준에 대한 자세한 내용은 정책 요약의 액세스 수준을 참조하세요.
작업 테이블의 리소스 유형 열에는 각 작업이 리소스 수준 권한을 지원하는지 여부가 표시됩니다. 리소스 열에 값이 없으면 정책 문의 Resource 요소에서 정책이 적용되는 모든 리소스("*")를 지정해야 합니다. 리소스 열에 리소스 유형이 포함되어 있으면 해당 작업 시 문에서 해당 유형의 ARN을 지정할 수 있습니다. 작업에 필요한 리소스가 하나 이상 있는 경우, 호출자에게 해당 리소스와 함께 작업을 사용할 수 있는 권한이 있어야 합니다. 필수 리소스는 테이블에서 별표(*)로 표시됩니다. IAM 정책의 Resource 요소로 리소스 액세스를 제한하는 경우, 각 필수 리소스 유형에 대해 ARN 또는 패턴을 포함해야 합니다. 일부 작업은 다수의 리소스 유형을 지원합니다. 리소스 유형이 옵션(필수 리소스로 표시되지 않은 경우)인 경우에는 선택적 리소스 유형 중 하나를 사용하도록 선택할 수 있습니다.
작업 테이블의 조건 키 열에는 정책 설명의 Condition 요소에서 지정할 수 있는 키가 포함됩니다. 서비스의 리소스와 연결된 조건 키에 대한 자세한 내용은 리소스 유형 테이블의 조건 키 열을 참조하세요.
작업 테이블의 종속 작업 열에는 작업을 성공적으로 호출하는 데 필요할 수 있는 추가 권한이 표시됩니다. 이러한 권한은 작업 자체에 대한 권한 외에 추가로 필요할 수 있습니다. 작업이 종속 작업을 지정하는 경우 해당 종속성은 테이블에 나열된 첫 번째 리소스뿐만 아니라 해당 작업에 정의된 추가 리소스에도 적용될 수 있습니다.
참고
리소스 조건 키는 리소스 유형 표에 나열되어 있습니다. 작업에 적용되는 리소스 유형에 대한 링크는 리소스 유형(*필수) 작업 표의 열에서 찾을 수 있습니다. 리소스 유형 테이블의 리소스 유형에는 조건 키 열이 포함되고 이는 작업 표의 작업에 적용되는 리소스 조건 키입니다.
다음 테이블의 열에 대한 자세한 내용은 작업 테이블을 참조하세요.
| 작업 | 설명 | 액세스 레벨 | 리소스 유형(*필수) | 조건 키 | 종속 작업 |
|---|---|---|---|---|---|
| AddRoleToDBCluster | Aurora DB 클러스터에서 Identity and Access Management(IAM) 역할을 연결할 수 있는 권한을 부여합니다. | 쓰기 |
iam:PassRole |
||
| AddRoleToDBInstance | AWS Identity and Access Management(IAM) 역할을 DB 인스턴스와 연결할 수 있는 권한을 부여합니다. | 쓰기 |
iam:PassRole |
||
| AddSourceIdentifierToSubscription | 소스 식별자를 기존 RDS 이벤트 알림 구독에 추가할 수 있는 권한을 부여합니다. | Write | |||
| AddTagsToResource | Amazon RDS 리소스에 메타데이터 태그를 추가할 수 있는 권한을 부여합니다. | 태그 지정 | |||
| ApplyPendingMaintenanceAction | 대기 중인 유지 관리 작업을 리소스에 적용할 수 있는 권한을 부여합니다. | Write | |||
| AuthorizeDBSecurityGroupIngress | 두 가지 권한 부여 형식 중 하나를 사용하여 DBSecurityGroup에 대한 수신을 활성화할 수 있는 권한을 부여합니다. | 권한 관리 | |||
| BacktrackDBCluster | 새 DB 클러스터를 생성하지 않고 특정 시점으로 DB 클러스터를 역추적할 수 있는 권한을 부여합니다. | Write | |||
| CancelExportTask | 진행 중인 내보내기 작업을 취소할 수 있는 권한을 부여합니다. | 쓰기 | |||
| CopyCustomDBEngineVersion [권한만 해당] | 사용자 지정 엔진 버전을 복사할 수 있는 권한을 부여합니다. | 쓰기 | |||
| CopyDBClusterParameterGroup | 지정된 DB 클러스터 파라미터 그룹을 복사할 수 있는 권한을 부여합니다. | Write |
rds:AddTagsToResource |
||
| CopyDBClusterSnapshot | DB 클러스터의 스냅샷을 생성할 수 있는 권한을 부여합니다. | Write |
rds:AddTagsToResource |
||
| CopyDBParameterGroup | 지정된 DB 파라미터 그룹을 복사할 수 있는 권한을 부여합니다. | Write |
rds:AddTagsToResource |
||
| CopyDBSnapshot | 지정된 DB 스냅샷을 복사할 수 있는 권한을 부여합니다. | Write |
rds:AddTagsToResource rds:CopyCustomDBEngineVersion |
||
| CopyOptionGroup | 지정된 옵션 그룹을 복사할 수 있는 권한을 부여합니다. | 쓰기 |
rds:AddTagsToResource |
||
| CreateBlueGreenDeployment | 지정된 소스 클러스터 또는 인스턴스에 블루/그린 배포를 생성할 수 있는 권한을 부여합니다. | 쓰기 |
rds:AddTagsToResource rds:CreateDBCluster rds:CreateDBClusterEndpoint rds:CreateDBInstance rds:CreateDBInstanceReadReplica |
||
| CreateCustomDBEngineVersion | 사용자 지정 엔진 버전을 생성할 수 있는 권한을 부여합니다. | 쓰기 |
iam:CreateServiceLinkedRole mediaimport:CreateDatabaseBinarySnapshot rds:AddTagsToResource |
||
| CreateDBCluster | 새로운 DB 클러스터를 생성할 수 있는 권한을 부여합니다. | 쓰기 |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateDBInstance secretsmanager:CreateSecret secretsmanager:TagResource |
||
| CreateDBClusterEndpoint | 새 사용자 지정 엔드포인트를 생성하여 Amazon Aurora DB 클러스터 또는 Amazon DocumentDB 클러스터와 연결할 수 있는 권한을 부여합니다. | 쓰기 |
rds:AddTagsToResource |
||
| CreateDBClusterParameterGroup | 새 DB 클러스터 파라미터 그룹을 생성할 수 있는 권한을 부여합니다. | Write |
rds:AddTagsToResource |
||
| CreateDBClusterSnapshot | DB 클러스터의 스냅샷을 생성할 수 있는 권한을 부여합니다. | Write |
rds:AddTagsToResource |
||
| CreateDBInstance | 새 DB 인스턴스를 생성할 수 있는 권한을 부여합니다. | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateTenantDatabase secretsmanager:CreateSecret secretsmanager:TagResource |
||
| CreateDBInstanceReadReplica | 소스 DB 인스턴스의 읽기 전용 복제본의 역할을 하는 DB 인스턴스를 생성할 수 있는 권한을 부여합니다. | Write |
iam:PassRole rds:AddTagsToResource |
||
| CreateDBParameterGroup | 새 DB 파라미터 그룹을 생성할 수 있는 권한을 부여합니다. | Write |
rds:AddTagsToResource |
||
| CreateDBProxy | 데이터베이스 프록시를 생성할 수 있는 권한을 부여합니다. | Write |
iam:PassRole rds:AddTagsToResource |
||
| CreateDBProxyEndpoint | 데이터베이스 프록시 엔드포인트를 생성할 수 있는 권한을 부여합니다. | Write |
rds:AddTagsToResource |
||
| CreateDBSecurityGroup | 새 DB 보안 그룹을 생성할 수 있는 권한을 부여합니다. DB 보안 그룹은 DB 인스턴스에 대한 액세스를 제어합니다. | 쓰기 |
rds:AddTagsToResource |
||
| CreateDBShardGroup | 새로운 Aurora Limitless Database DB 샤드 그룹을 생성할 수 있는 권한을 부여합니다. | 쓰기 |
rds:AddTagsToResource |
||
| CreateDBSnapshot | DBSnapshot을 생성할 수 있는 권한을 부여합니다. | Write |
rds:AddTagsToResource |
||
| CreateDBSubnetGroup | 새 DB 서브넷 그룹을 생성할 수 있는 권한을 부여합니다. | Write |
rds:AddTagsToResource |
||
| CreateEventSubscription | RDS 이벤트 알림 구독을 생성할 수 있는 권한을 부여합니다. | 쓰기 |
rds:AddTagsToResource |
||
| CreateGlobalCluster | 여러 리전에 분산하여 Aurora 글로벌 데이터베이스 또는 DocumentDB 글로벌 데이터베이스를 생성할 수 있는 권한을 부여합니다. | 쓰기 |
rds:AddTagsToResource |
||
| CreateIntegration | Redshift와의 Aurora 제로 ETL 통합을 만들 수 있는 권한을 부여합니다. | 쓰기 |
kms:CreateGrant kms:DescribeKey rds:AddTagsToResource |
||
| CreateOptionGroup | 새 옵션 그룹을 생성할 수 있는 권한을 부여합니다. | 쓰기 |
rds:AddTagsToResource |
||
| CreateTenantDatabase | 새 테넌트 데이터베이스를 생성할 수 있는 권한을 부여합니다. | 쓰기 |
rds:AddTagsToResource |
||
| CrossRegionCommunication [권한만 해당] | 교차 리전 스냅샷 복사 또는 교차 리전 읽기 전용 복제본 생성과 같은 교차 리전 작업을 실행할 때 원격 리전의 리소스에 액세스할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DeleteBlueGreenDeployment | 블루/그린 배포를 삭제할 수 있는 권한을 부여합니다. | 쓰기 |
rds:DeleteDBCluster rds:DeleteDBClusterEndpoint rds:DeleteDBInstance rds:PromoteReadReplica rds:PromoteReadReplicaDBCluster |
||
| DeleteCustomDBEngineVersion | 기존 사용자 지정 엔진 버전을 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DeleteDBCluster | 이전에 프로비저닝된 DB 클러스터를 삭제할 수 있는 권한을 부여합니다. | 쓰기 |
rds:AddTagsToResource rds:CreateDBClusterSnapshot rds:DeleteDBInstance |
||
| DeleteDBClusterAutomatedBackup | 소스 클러스터의 DbClusterResourceId 값 또는 복원 가능한 클러스터의 리소스 ID를 기반으로 클러스터 자동 백업을 삭제할 수 있는 권한 부여 | 쓰기 | |||
| DeleteDBClusterEndpoint | 사용자 지정 엔드포인트를 삭제하고 Amazon Aurora DB 클러스터 또는 Amazon DocumentDB 클러스터에서 제거할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DeleteDBClusterParameterGroup | 지정된 DB 클러스터 파라미터 그룹을 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteDBClusterSnapshot | DB 클러스터 스냅샷을 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteDBInstance | 이전에 프로비저닝된 DB 인스턴스를 삭제할 수 있는 권한을 부여합니다. | 쓰기 |
rds:AddTagsToResource rds:CreateDBSnapshot rds:DeleteTenantDatabase |
||
| DeleteDBInstanceAutomatedBackup | 소스 인스턴스의 DbiResourceId 값 또는 복원 가능 인스턴스의 리소스 ID를 기반으로 자동 백업을 삭제할 수 있는 권한 부여 | 쓰기 | |||
| DeleteDBParameterGroup | 지정된 DBParameterGroup을 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteDBProxy | 데이터베이스 프록시를 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteDBProxyEndpoint | 데이터베이스 프록시 엔드포인트를 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteDBSecurityGroup | DB 보안 그룹을 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DeleteDBShardGroup | Aurora Limitless Database DB 샤드 그룹을 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DeleteDBSnapshot | DBSnapshot을 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteDBSubnetGroup | DB 서브넷 그룹을 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteEventSubscription | RDS 이벤트 알림 구독을 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteGlobalCluster | 글로벌 데이터베이스 클러스터를 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DeleteIntegration | Redshift와의 Aurora 제로 ETL 통합을 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DeleteOptionGroup | 기존 옵션 그룹을 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DeleteTenantDatabase | 테넌트 데이터베이스를 삭제할 수 있는 권한을 부여합니다. | 쓰기 |
rds:AddTagsToResource rds:CreateDBSnapshot |
||
| DeregisterDBProxyTargets | 데이터베이스 프록시 대상 그룹에서 대상을 제거할 수 있는 권한을 부여합니다. | Write | |||
| DescribeAccountAttributes | 고객 계정에 대한 모든 속성을 나열할 수 있는 권한을 부여합니다. | List | |||
| DescribeBlueGreenDeployments | 블루/그린 배포를 설명할 수 있는 권한을 부여합니다. | List | |||
| DescribeCertificates | 이를 위해 Amazon RDS에서 제공하는 CA 인증서 세트를 나열할 수 있는 권한을 부여합니다. AWS 계정 | List | |||
| DescribeDBClusterAutomatedBackups | 현재 인스턴스와 삭제된 인스턴스 모두에 대한 자동 백업의 목록을 반환할 수 있는 권한 부여 | List | |||
| DescribeDBClusterBacktracks | DB 클러스터의 역추적에 대한 정보를 반환할 수 있는 권한을 부여합니다. | 나열 | |||
| DescribeDBClusterEndpoints | Amazon Aurora DB 클러스터의 엔드포인트에 대한 정보를 반환할 수 있는 권한을 부여합니다. | 나열 | |||
| DescribeDBClusterParameterGroups | DBClusterParameterGroup 설명의 목록을 반환할 수 있는 권한을 부여합니다. | 나열 | |||
| DescribeDBClusterParameters | 특정 DB 클러스터 파라미터 그룹에 대한 세부 파라미터 목록을 반환할 수 있는 권한을 부여합니다. | 나열 | |||
| DescribeDBClusterSnapshotAttributes | 수동 DB 클러스터 스냅샷에 대한 DB 클러스터 스냅샷 속성 이름 및 값의 목록을 반환할 수 있는 권한을 부여합니다. | 나열 | |||
| DescribeDBClusterSnapshots | DB 클러스터 스냅샷에 대한 정보를 반환할 수 있는 권한을 부여합니다. | List | |||
| DescribeDBClusters | 프로비저닝된 Aurora DB 클러스터 또는 DocumentDB 클러스터에 대한 정보를 반환할 수 있는 권한을 부여합니다. | List | |||
| DescribeDBEngineVersions | 사용 가능한 DB 엔진 목록을 반환할 수 있는 권한을 부여합니다. | 나열 | |||
| DescribeDBInstanceAutomatedBackups | 현재 인스턴스와 삭제된 인스턴스 모두에 대한 자동 백업의 목록을 반환할 수 있는 권한을 부여합니다. | 나열 | |||
| DescribeDBInstances | 프로비저닝된 RDS 인스턴스에 대한 정보를 반환할 수 있는 권한을 부여합니다. | 나열 | |||
| DescribeDBLogFiles | DB 인스턴스에 대한 DB 로그 파일의 목록을 반환할 수 있는 권한을 부여합니다. | List | |||
| DescribeDBMajorEngineVersions | 각 DB 메이저 엔진 버전에 특정한 정보를 반환할 수 있는 권한을 부여합니다. | List | |||
| DescribeDBParameterGroups | DBParameterGroup 설명의 목록을 반환할 수 있는 권한을 부여합니다. | 나열 | |||
| DescribeDBParameters | 특정 DB 파라미터 그룹에 대한 세부 파라미터 목록을 반환할 수 있는 권한을 부여합니다. | 나열 | |||
| DescribeDBProxies | 프록시를 볼 수 있는 권한을 부여합니다. | 나열 | |||
| DescribeDBProxyEndpoints | 프록시 엔드포인트를 볼 수 있는 권한을 부여합니다. | 나열 | |||
| DescribeDBProxyTargetGroups | 데이터베이스 프록시 대상 그룹 세부 정보를 볼 수 있는 권한을 부여합니다. | 나열 | |||
| DescribeDBProxyTargets | 데이터베이스 프록시 대상 세부 정보를 볼 수 있는 권한을 부여합니다. | List | |||
| DescribeDBRecommendations | 추천 세부 정보를 나열할 수 있는 권한 부여 | List | |||
| DescribeDBSecurityGroups | DBSecurityGroup 설명의 목록을 반환할 수 있는 권한을 부여합니다. | List | |||
| DescribeDBShardGroups | 이 계정의 모든 Aurora Limitless Database DB 샤드 그룹에 대한 정보를 반환할 수 있는 권한을 부여합니다. 샤드 그룹을 기준으로 필터링할 수 있습니다. | List | |||
| DescribeDBSnapshotAttributes | 수동 DB 스냅샷에 대한 DB 스냅샷 속성 이름 및 값의 목록을 반환할 수 있는 권한을 부여합니다. | List | |||
| DescribeDBSnapshotTenantDatabases | DB 스냅샷의 테넌트 데이터베이스에 대한 정보를 반환할 수 있는 권한을 부여합니다. 지역 또는 스냅샷별로 필터링할 수 있습니다. | List | |||
| DescribeDBSnapshots | DB 스냅샷에 대한 정보를 반환할 수 있는 권한을 부여합니다. | 나열 | |||
| DescribeDBSubnetGroups | DBSubnetGroup 설명의 목록을 반환할 수 있는 권한을 부여합니다. | 나열 | |||
| DescribeEngineDefaultClusterParameters | 클러스터 데이터베이스 엔진에 대한 기본 엔진 및 시스템 파라미터 정보를 반환할 수 있는 권한을 부여합니다. | 나열 | |||
| DescribeEngineDefaultParameters | 지정된 데이터베이스 엔진에 대한 기본 엔진 및 시스템 파라미터 정보를 반환할 수 있는 권한을 부여합니다. | 나열 | |||
| DescribeEventCategories | 모든 이벤트 소스 유형 또는 지정된 경우 지정된 소스 유형에 대한 범주 목록을 표시할 수 있는 권한을 부여합니다. | 나열 | |||
| DescribeEventSubscriptions | 고객 계정의 모든 구독 설명을 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| DescribeEvents | 지난 14일 동안의 DB 인스턴스, DB 보안 그룹, DB 스냅샷 및 DB 파라미터 그룹과 관련된 이벤트를 반환할 수 있는 권한을 부여합니다. | 나열 | |||
| DescribeExportTasks | 내보내기 작업에 대한 정보를 반환할 수 있는 권한을 부여합니다. | List | |||
| DescribeGlobalClusters | Aurora 글로벌 데이터베이스 클러스터 또는 DocumentDB 글로벌 데이터베이스 클러스터에 대한 정보를 반환할 수 있는 권한을 부여합니다. | List | |||
| DescribeIntegrations | Redshift와의 Aurora 제로 ETL 통합을 설명할 수 있는 권한을 부여합니다. | List | |||
| DescribeOptionGroupOptions | 사용 가능한 모든 옵션을 설명할 수 있는 권한을 부여합니다. | 나열 | |||
| DescribeOptionGroups | 사용 가능한 옵션 그룹을 설명할 수 있는 권한을 부여합니다. | 나열 | |||
| DescribeOrderableDBInstanceOptions | 지정된 엔진에 대해 명령 가능한 DB 인스턴스 옵션의 목록을 반환할 수 있는 권한을 부여합니다. | 나열 | |||
| DescribePendingMaintenanceActions | 대기 중인 유지 관리 작업이 하나 이상 있는 리소스(예: DB 인스턴스)의 목록을 반환할 수 있는 권한을 부여합니다. | List | |||
| DescribeRecommendationGroups [권한만 해당] | 권장 사항 그룹에 대한 정보를 반환할 수 있는 권한을 부여합니다. | Read | |||
| DescribeRecommendations [권한만 해당] | 권장 사항에 대한 정보를 반환할 수 있는 권한을 부여합니다. | Read | |||
| DescribeReservedDBInstances | 이 계정에 대한 예약 DB 인스턴스에 대한 정보 또는 지정된 예약 DB 인스턴스에 대한 정보를 반환할 수 있는 권한을 부여합니다. | 나열 | |||
| DescribeReservedDBInstancesOfferings | 사용 가능한 예약 DB 인스턴스 상품을 나열할 수 있는 권한을 부여합니다. | List | |||
| DescribeSourceRegions | 현재가 읽기 전용 복제본을 생성하거나 DB 스냅샷을 복사할 AWS 리전 수 AWS 리전 있는 소스 목록을 반환할 수 있는 권한을 부여합니다. | List | |||
| DescribeTenantDatabases | 프로비저닝된 테넌트 데이터베이스에 대한 정보를 반환할 수 있는 권한을 부여합니다. 지역 또는 스냅샷별로 필터링할 수 있습니다. | List | |||
| DescribeValidDBInstanceModifications | DB 인스턴스에서 가능한 수정 사항을 나열할 수 있는 권한을 부여합니다. | List | |||
| DisableHttpEndpoint | DB 클러스터의 http 엔드포인트를 비활성화할 수 있는 권한 부여 | 쓰기 | |||
| DownloadCompleteDBLogFile | 지정된 로그 파일을 다운로드할 수 있는 권한을 부여합니다. | Read | |||
| DownloadDBLogFilePortion | 지정된 로그 파일의 전체 또는 일부를 다운로드(최대 1MB)할 수 있는 권한을 부여합니다. | Read | |||
| EnableHttpEndpoint | DB 클러스터의 http 엔드포인트를 활성화할 수 있는 권한 부여 | 쓰기 | |||
| FailoverDBCluster | DB 클러스터에 대해 강제로 장애 조치를 수행할 수 있는 권한을 부여합니다. | Write | |||
| FailoverGlobalCluster | 글로벌 클러스터를 장애 조치할 수 있는 권한을 부여합니다. | 쓰기 | |||
| ListTagsForResource | Amazon RDS 리소스에 대한 모든 태그를 나열할 수 있는 권한을 부여합니다. | Read | |||
| ModifyActivityStream | 데이터베이스 활동 스트림을 수정하는 권한을 부여합니다. | 쓰기 | |||
| ModifyCertificates | 새 DB 인스턴스용 Amazon RDS의 시스템 기본값 SSL/TLS(Secure Sockets Layer/Transport Layer Security) 인증서를 수정할 수 있는 권한을 부여합니다. | 쓰기 | |||
| ModifyCurrentDBClusterCapacity | Amazon Aurora Serverless DB 클러스터의 현재 클러스터 용량을 수정할 수 있는 권한을 부여합니다. | 쓰기 | |||
| ModifyCustomDBEngineVersion | 기존 사용자 지정 엔진 버전을 수정할 수 있는 권한을 부여합니다. | 쓰기 | |||
| ModifyDBCluster | Amazon Aurora DB 클러스터 또는 Amazon DocumentDB 클러스터에 대한 설정을 수정할 수 있는 권한을 부여합니다. | 쓰기 |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:ModifyDBInstance secretsmanager:CreateSecret secretsmanager:RotateSecret secretsmanager:TagResource |
||
| ModifyDBClusterEndpoint | Amazon Aurora DB 클러스터 또는 Amazon DocumentDB 클러스터에서 엔드포인트의 속성을 수정할 수 있는 권한을 부여합니다. | 쓰기 | |||
| ModifyDBClusterParameterGroup | DB 클러스터 파라미터 그룹의 파라미터를 수정할 수 있는 권한을 부여합니다. | Write | |||
| ModifyDBClusterSnapshotAttribute | 속성 및 값을 수동 DB 클러스터 스냅샷에 추가하거나, 수동 DB 클러스터 스냅샷에서 속성 및 값을 제거할 수 있는 권한을 부여합니다. | Write | |||
| ModifyDBInstance | DB 인스턴스에 대한 설정을 수정할 수 있는 권한을 부여합니다. | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateTenantDatabase secretsmanager:CreateSecret secretsmanager:RotateSecret secretsmanager:TagResource |
||
| ModifyDBParameterGroup | DB 파라미터 그룹의 파라미터를 수정할 수 있는 권한을 부여합니다. | Write | |||
| ModifyDBProxy | 데이터베이스 프록시를 수정할 수 있는 권한을 부여합니다. | Write |
iam:PassRole |
||
| ModifyDBProxyEndpoint | 데이터베이스 프록시 엔드포인트를 수정할 수 있는 권한을 부여합니다. | Write | |||
| ModifyDBProxyTargetGroup | 데이터베이스 프록시에 대한 대상 그룹을 수정할 수 있는 권한을 부여합니다. | 쓰기 | |||
| ModifyDBRecommendation | 추천을 수정할 수 있는 권한을 부여합니다. | 쓰기 | |||
| ModifyDBShardGroup | Aurora Limitless Database DB 샤드 그룹의 속성을 수정할 수 있는 권한을 부여합니다. | 쓰기 | |||
| ModifyDBSnapshot | 수동 DB 스냅샷(암호화 가능 또는 불가능)을 새 엔진 버전으로 업데이트할 수 있는 권한을 부여합니다. | Write | |||
| ModifyDBSnapshotAttribute | 속성 및 값을 수동 DB 스냅샷에 추가하거나, 수동 DB 스냅샷에서 속성 및 값을 제거할 수 있는 권한을 부여합니다. | Write | |||
| ModifyDBSubnetGroup | 기존 DB 서브넷 그룹을 수정할 수 있는 권한을 부여합니다. | Write | |||
| ModifyEventSubscription | 기존 RDS 이벤트 알림 구독을 수정할 수 있는 권한을 부여합니다. | 쓰기 | |||
| ModifyGlobalCluster | Amazon Aurora 글로벌 클러스터 또는 Amazon DocumentDB 글로벌 클러스터에 대한 설정을 수정할 수 있는 권한을 부여합니다. | 쓰기 | |||
| ModifyIntegration | Redshift와의 Aurora 제로 ETL 통합을 수정할 수 있는 권한을 부여합니다. | 쓰기 | |||
| ModifyOptionGroup | 기존 옵션 그룹을 수정할 수 있는 권한을 부여합니다. | 쓰기 |
iam:PassRole |
||
| ModifyRecommendation [권한만 해당] | 권장 사항을 수정할 수 있는 권한을 부여합니다. | 쓰기 | |||
| ModifyTenantDatabase | 테넌트 데이터베이스를 수정할 수 있는 권한을 부여합니다. | 쓰기 | |||
| PromoteReadReplica | 읽기 전용 복제본 DB 인스턴스를 독립 실행형 DB 인스턴스로 승격할 수 있는 권한을 부여합니다. | Write | |||
| PromoteReadReplicaDBCluster | 읽기 전용 복제본 DB 클러스터를 독립 실행형 DB 클러스터로 승격할 수 있는 권한을 부여합니다. | Write | |||
| PurchaseReservedDBInstancesOffering | 예약 DB 인스턴스 상품을 구매할 수 있는 권한을 부여합니다. | 쓰기 |
rds:AddTagsToResource |
||
| RebootDBCluster | 이전에 프로비저닝된 DB 클러스터를 재부팅할 수 있는 권한을 부여합니다. | 쓰기 |
rds:RebootDBInstance |
||
| RebootDBInstance | 데이터베이스 엔진 서비스를 다시 시작할 수 있는 권한을 부여합니다. | 쓰기 | |||
| RebootDBShardGroup | Aurora Limitless Database DB 샤드 그룹을 재부팅할 수 있는 권한을 부여합니다. | 쓰기 | |||
| RegisterDBProxyTargets | 데이터베이스 프록시 대상 그룹에 대상을 추가할 수 있는 권한을 부여합니다. | 쓰기 | |||
| RemoveFromGlobalCluster | Aurora 글로벌 데이터베이스 클러스터 또는 DocumentDB 글로벌 클러스터에서 Aurora 보조 클러스터를 분리할 수 있는 권한을 부여합니다. | 쓰기 | |||
| RemoveRoleFromDBCluster | Amazon Aurora DB 클러스터에서 AWS Identity and Access Management(IAM) 역할을 연결 해제할 수 있는 권한을 부여합니다. | 쓰기 |
iam:PassRole |
||
| RemoveRoleFromDBInstance | DB 인스턴스에서 AWS Identity and Access Management(IAM) 역할을 연결 해제할 수 있는 권한을 부여합니다. | 쓰기 |
iam:PassRole |
||
| RemoveSourceIdentifierFromSubscription | 기존 RDS 이벤트 알림 구독에서 소스 식별자를 제거할 수 있는 권한을 부여합니다. | Write | |||
| RemoveTagsFromResource | Amazon RDS 리소스에서 메타데이터 태그를 제거할 수 있는 권한을 부여합니다. | 태그 지정 | |||
| ResetDBClusterParameterGroup | DB 클러스터 파라미터 그룹의 파라미터를 기본값으로 수정할 수 있는 권한을 부여합니다. | Write | |||
| ResetDBParameterGroup | DB 파라미터 그룹의 파라미터를 엔진/시스템 기본값으로 수정할 수 있는 권한을 부여합니다. | Write | |||
| RestoreDBClusterFromS3 | Amazon S3 버킷에 저장된 데이터에서 Amazon Aurora DB 클러스터를 생성할 수 있는 권한을 부여합니다. | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource secretsmanager:CreateSecret secretsmanager:TagResource |
||
| RestoreDBClusterFromSnapshot | DB 클러스터 스냅샷에서 새 DB 클러스터를 생성할 수 있는 권한을 부여합니다. | Write |
iam:PassRole rds:AddTagsToResource rds:CreateDBInstance |
||
| RestoreDBClusterToPointInTime | DB 클러스터를 임의의 시점으로 복원할 수 있는 권한을 부여합니다. | Write |
iam:PassRole rds:AddTagsToResource rds:CreateDBInstance |
||
| RestoreDBInstanceFromDBSnapshot | DB 스냅샷에서 새 DB 인스턴스를 생성할 수 있는 권한을 부여합니다. | Write |
iam:PassRole rds:AddTagsToResource rds:CreateTenantDatabase |
||
| RestoreDBInstanceFromS3 | Amazon S3 버킷에서 새 DB 인스턴스를 생성할 수 있는 권한을 부여합니다. | Write |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource secretsmanager:CreateSecret secretsmanager:TagResource |
||
| RestoreDBInstanceToPointInTime | DB 인스턴스를 임의의 시점으로 복원할 수 있는 권한을 부여합니다. | Write |
iam:PassRole rds:AddTagsToResource rds:CreateTenantDatabase |
||
| RevokeDBSecurityGroupIngress | 이전에 권한이 부여된 IP 범위나 EC2 또는 VPC 보안 그룹에 대한 DBSecurityGroup의 수신을 취소할 수 있는 권한을 부여합니다. | Write | |||
| StartActivityStream | 활동 스트림을 시작할 수 있는 권한을 부여합니다. | 쓰기 | |||
| StartDBCluster | DB 클러스터를 시작할 수 있는 권한을 부여합니다. | 쓰기 | |||
| StartDBInstance | DB 인스턴스를 시작할 수 있는 권한을 부여합니다. | 쓰기 | |||
| StartDBInstanceAutomatedBackupsReplication | 다른 로 자동 백업 복제를 시작할 수 있는 권한을 부여합니다. AWS 리전 | 쓰기 | |||
| StartExportTask | DB 스냅샷에 대한 새 내보내기 작업을 시작할 수 있는 권한을 부여합니다. | Write |
iam:PassRole |
||
| StopActivityStream | 활동 스트림을 중지할 수 있는 권한을 부여합니다. | Write | |||
| StopDBCluster | DB 클러스터를 중지할 수 있는 권한을 부여합니다. | Write | |||
| StopDBInstance | DB 인스턴스를 중지할 수 있는 권한을 부여합니다. | Write |
rds:AddTagsToResource rds:CreateDBSnapshot |
||
| StopDBInstanceAutomatedBackupsReplication | DB 인스턴스에 대한 자동 백업 복제를 중지할 수 있는 권한을 부여합니다. | 쓰기 | |||
| SwitchoverBlueGreenDeployment | 소스 인스턴스 또는 클러스터에서 대상으로 블루/그린 배포를 전환할 수 있는 권한을 부여합니다. | 쓰기 |
rds:ModifyDBCluster rds:ModifyDBInstance rds:PromoteReadReplica rds:PromoteReadReplicaDBCluster |
||
| SwitchoverGlobalCluster | 글로벌 클러스터를 전환할 수 있는 권한 부여 | 쓰기 | |||
| SwitchoverReadReplica | 읽기 전용 복제본을 전환하여 새로운 기본 데이터베이스로 만드는 권한을 부여합니다. | 쓰기 |
Amazon RDS에서 정의한 리소스 유형
이 서비스에서 정의하는 리소스 유형은 다음과 같으며, IAM 권한 정책 설명의 Resource 요소에서 사용할 수 있습니다. 작업 테이블의 각 작업은 해당 작업으로 지정할 수 있는 리소스 유형을 식별합니다. 리소스 유형은 정책에 포함할 조건 키를 정의할 수도 있습니다. 이러한 키는 리소스 유형 테이블의 마지막 열에 표시됩니다. 다음 테이블의 열에 관한 자세한 내용은 리소스 유형 테이블을 참조하세요.
| 리소스 유형 | ARN | 조건 키 |
|---|---|---|
| cluster |
arn:${Partition}:rds:${Region}:${Account}:cluster:${DbClusterInstanceName}
|
|
| shardgrp |
arn:${Partition}:rds:${Region}:${Account}:shard-group:${DbShardGroupResourceId}
|
|
| cluster-auto-backup |
arn:${Partition}:rds:${Region}:${Account}:cluster-auto-backup:${DbClusterAutomatedBackupId}
|
|
| auto-backup |
arn:${Partition}:rds:${Region}:${Account}:auto-backup:${DbInstanceAutomatedBackupId}
|
|
| cluster-endpoint |
arn:${Partition}:rds:${Region}:${Account}:cluster-endpoint:${DbClusterEndpoint}
|
|
| cluster-pg |
arn:${Partition}:rds:${Region}:${Account}:cluster-pg:${ClusterParameterGroupName}
|
|
| cluster-snapshot |
arn:${Partition}:rds:${Region}:${Account}:cluster-snapshot:${ClusterSnapshotName}
|
|
| db |
arn:${Partition}:rds:${Region}:${Account}:db:${DbInstanceName}
|
|
| es |
arn:${Partition}:rds:${Region}:${Account}:es:${SubscriptionName}
|
|
| global-cluster |
arn:${Partition}:rds::${Account}:global-cluster:${GlobalCluster}
|
|
| og |
arn:${Partition}:rds:${Region}:${Account}:og:${OptionGroupName}
|
|
| pg |
arn:${Partition}:rds:${Region}:${Account}:pg:${ParameterGroupName}
|
|
| proxy |
arn:${Partition}:rds:${Region}:${Account}:db-proxy:${DbProxyId}
|
|
| proxy-endpoint |
arn:${Partition}:rds:${Region}:${Account}:db-proxy-endpoint:${DbProxyEndpointId}
|
|
| ri |
arn:${Partition}:rds:${Region}:${Account}:ri:${ReservedDbInstanceName}
|
|
| secgrp |
arn:${Partition}:rds:${Region}:${Account}:secgrp:${SecurityGroupName}
|
|
| snapshot |
arn:${Partition}:rds:${Region}:${Account}:snapshot:${SnapshotName}
|
|
| subgrp |
arn:${Partition}:rds:${Region}:${Account}:subgrp:${SubnetGroupName}
|
|
| target-group |
arn:${Partition}:rds:${Region}:${Account}:target-group:${TargetGroupId}
|
|
| cev |
arn:${Partition}:rds:${Region}:${Account}:cev:${Engine}/${EngineVersion}/${CustomDbEngineVersionId}
|
|
| deployment |
arn:${Partition}:rds:${Region}:${Account}:deployment:${BlueGreenDeploymentIdentifier}
|
|
| integration |
arn:${Partition}:rds:${Region}:${Account}:integration:${IntegrationIdentifier}
|
|
| snapshot-tenant-database |
arn:${Partition}:rds:${Region}:${Account}:snapshot-tenant-database:${SnapshotName}:${TenantResourceId}
|
|
| tenant-database |
arn:${Partition}:rds:${Region}:${Account}:tenant-database:${TenantResourceId}
|
Amazon RDS에 사용되는 조건 키
Amazon RDS는 IAM 정책의 Condition 요소에 사용할 수 있는 다음과 같은 조건 키를 정의합니다. 이러한 키를 사용하여 정책 설명이 적용되는 조건을 보다 상세하게 설정할 수 있습니다. 다음 테이블의 열에 대한 자세한 내용은 조건 키 테이블을 참조하세요.
모든 서비스에서 사용할 수 있는 전역 조건 키를 보려면 AWS 전역 조건 컨텍스트 키를 참조하세요.
| 조건 키 | 설명 | 유형 |
|---|---|---|
| aws:RequestTag/${TagKey} | 요청의 태그 키-값 페어 집합을 기준으로 액세스를 필터링합니다. | String |
| aws:ResourceTag/${TagKey} | 리소스에 연결된 태그 키-값 페어 집합을 기준으로 액세스를 필터링합니다. | String |
| aws:TagKeys | 요청의 태그 키 세트를 기준으로 액세스를 필터링합니다. | ArrayOfString |
| rds:BackupTarget | 백업 대상의 유형을 기준으로 액세스를 필터링합니다. 즉, 리전, Outposts 중 하나를 기준으로 합니다. | String |
| rds:CopyOptionGroup | CopyDBSnapshot 작업이 DB 옵션 그룹을 복사해야 하는지 여부를 지정하는 값을 기준으로 액세스를 필터링합니다. | 부울 |
| rds:DatabaseClass | DB 인스턴스 클래스 유형을 기준으로 액세스를 필터링합니다. | 문자열 |
| rds:DatabaseEngine | 데이터베이스 엔진을 기준으로 액세스를 필터링합니다. 가능한 값은 CreateDBInstance API의 엔진 매개 변수를 참조하세요. | 문자열 |
| rds:DatabaseName | DB 인스턴스에 있는 데이터베이스의 사용자 정의 이름을 기준으로 액세스를 필터링합니다. | 문자열 |
| rds:EndpointType | 엔드포인트 유형을 기준으로 액세스를 필터링합니다. READER, WRITER, CUSTOM 중 하나입니다. | String |
| rds:ManageMasterUserPassword | RDS가 DB 인스턴스 또는 클러스터의 AWS Secrets Manager에서 마스터 사용자 암호를 관리할지 여부를 지정하는 값을 기준으로 액세스를 필터링합니다. | 부울 |
| rds:MultiAz | DB 인스턴스를 여러 가용 영역에서 실행할지 여부를 지정하는 값을 기준으로 액세스를 필터링합니다. DB 인스턴스가 다중 AZ를 사용하고 있음을 나타내려면 true를 지정합니다. | 부울 |
| rds:Piops | 인스턴스가 지원하는 프로비저닝된 IOPS(PIOPS)의 개수가 포함된 값을 기준으로 액세스를 필터링합니다. PIOPS가 활성화되어 있지 않은 DB 인스턴스를 나타내려면 0을 지정합니다. | Numeric |
| rds:PubliclyAccessible | DB 인스턴스 또는 DB ShardGroup 공개적으로 액세스할 수 있는지 여부를 지정하는 값을 기준으로 액세스를 필터링합니다. | 부울 |
| rds:StorageEncrypted | DB 인스턴스 스토리지를 암호화해야 하는지 지정하는 값을 기준으로 액세스를 필터링합니다. 스토리지 암호화를 적용하려면 true를 지정합니다. | 부울 |
| rds:StorageSize | 스토리지 볼륨 크기(GB)를 기준으로 액세스를 필터링합니다. | Numeric |
| rds:TenantDatabaseName | 테넌트 데이터베이스 생성에서는 테넌트 데이터베이스 이름을 기준으로, 테넌트 데이터베이스 수정에서는 새 테넌트 데이터베이스 이름을 기준으로 액세스를 필터링합니다. | String |
| rds:Vpc | DB 인스턴스를 Amazon Virtual Private Cloud(Amazon VPC)에서 실행할지 여부를 지정하는 값을 기준으로 액세스를 필터링합니다. DB 인스턴스가 Amazon VPC에서 실행됨을 나타내려면 true를 지정합니다. | 부울 |
| rds:cluster-pg-tag/${TagKey} | DB 클러스터 파라미터 그룹에 연결된 태그를 기준으로 액세스를 필터링합니다. | 문자열 |
| rds:cluster-snapshot-tag/${TagKey} | DB 클러스터 스냅샷에 연결된 태그를 기준으로 액세스를 필터링합니다. | 문자열 |
| rds:cluster-tag/${TagKey} | DB 클러스터에 연결된 태그를 기준으로 액세스를 필터링합니다. | 문자열 |
| rds:db-tag/${TagKey} | DB 인스턴스에 연결된 태그를 기준으로 액세스를 필터링합니다. | 문자열 |
| rds:es-tag/${TagKey} | 이벤트 구독에 연결된 태그를 기준으로 액세스를 필터링합니다. | 문자열 |
| rds:og-tag/${TagKey} | DB 옵션 그룹에 연결된 태그를 기준으로 액세스를 필터링합니다. | 문자열 |
| rds:pg-tag/${TagKey} | DB 파라미터 그룹에 연결된 태그를 기준으로 액세스를 필터링합니다. | 문자열 |
| rds:req-tag/${TagKey} | 리소스에 태그 지정하는 데 사용할 수 있는 태그 키와 값 집합을 기준으로 액세스를 필터링합니다. | 문자열 |
| rds:ri-tag/${TagKey} | 예약 DB 인스턴스에 연결된 태그를 기준으로 액세스를 필터링합니다. | 문자열 |
| rds:secgrp-tag/${TagKey} | DB 보안 그룹에 연결된 태그를 기준으로 액세스를 필터링합니다. | 문자열 |
| rds:snapshot-tag/${TagKey} | DB 스냅샷에 연결된 태그를 기준으로 액세스를 필터링합니다. | 문자열 |
| rds:subgrp-tag/${TagKey} | DB 서브넷 그룹에 연결된 태그를 기준으로 액세스를 필터링합니다. | 문자열 |
