Permitir que um usuário crie instâncias de Bancos de Dados em uma conta da AWS Permitir que um usuário execute qualquer ação de descrição em qualquer recurso do RDS Permitir que um usuário crie uma instância de banco de dados que usa o grupo de parâmetros de banco de dados e o grupo de sub-redes especificados.Conceder permissão para ações em um recurso com uma tag específica com dois valores diferentes Impedir que um usuário exclua uma instância de banco de dados Negar todo o acesso a um recurso

Políticas de permissão para criar, modificar e excluir recursos no Aurora

As seções a seguir apresentam exemplos de políticas de permissão que concedem e restringem o acesso aos recursos:

Permitir que um usuário crie instâncias de Bancos de Dados em uma conta da AWS

Veja a seguir um exemplo de política que permite à conta com o ID 123456789012 criar instâncias de banco de dados para a sua conta da AWS. A política exige que o nome da nova instância de banco de dados comece com test. A nova instância de banco de dados também deve usar o mecanismo de banco de dados MySQL e a classe de instância de banco de dados db.t2.micro. Além disso, a nova instância de banco de dados deve usar um grupo de opções e um grupo de parâmetros de banco de dados que começa com default e deve usar o grupo de sub-redes default.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "AllowCreateDBInstanceOnly",
         "Effect": "Allow",
         "Action": [
            "rds:CreateDBInstance"
         ],
         "Resource": [
            "arn:aws:rds:*:123456789012:db:test*",
            "arn:aws:rds:*:123456789012:og:default*",
            "arn:aws:rds:*:123456789012:pg:default*",
            "arn:aws:rds:*:123456789012:subgrp:default"
         ],
         "Condition": {
            "StringEquals": {
               "rds:DatabaseEngine": "mysql",
               "rds:DatabaseClass": "db.t2.micro"
            }
         }
      }
   ]
}

A política inclui uma única instrução que especifica as seguintes permissões para o usuário do :

A política permite que a conta crie uma instância de banco de dados usando a operação de API CreateDBInstance (isso também se aplica ao comando create-db-instance da AWS CLI e ao AWS Management Console).
O elemento Resource especifica que o usuário pode realizar ações em ou com recursos. Você especifica recursos usando um nome de recurso da Amazon (ARN). O ARN inclui o nome do serviço ao qual o recurso pertence (rds), a região da AWS (* indica qualquer região neste exemplo), o número de conta da AWS (123456789012 é o número de conta neste exemplo) e o tipo de recurso. Para obter mais informações sobre como criar ARNs, consulte Nomes de recurso da Amazon (ARNs) no Amazon RDS.

O elemento Resource neste exemplo especifica as restrições da política a seguir em recursos para o usuário:
- O identificador de instância de banco de dados para a nova instância de banco de dados deve começar com test (por exemplo, testCustomerData1, test-region2-data).
- O grupo de opções para a nova instância de banco de dados deve começar com default.
- O grupo de parâmetros de banco de dados para a nova instância de banco de dados deve começar com default.
- O grupo de sub-redes para a nova instância de banco de dados deve ser o grupo de sub-redes default.
O elemento Condition especifica que o mecanismo de banco de dados deve ser MySQL e a classe da instância de banco de dados deve ser db.t2.micro. O elemento Condition especifica as condições quando uma política deve entrar em vigor. Você pode adicionar permissões ou restrições usando o elemento Condition. Para obter mais informações sobre como especificar condições, consulte Chaves de condição de políticas do Aurora. Este exemplo especifica condições rds:DatabaseEngine e rds:DatabaseClass. Para obter informações sobre valores de condição válidos para o rds:DatabaseEngine, consulte a lista no parâmetro Engine em CreateDBInstance. Para obter informações sobre os valores de condição válidos para rds:DatabaseClass, consulte Mecanismos de banco de dados compatíveis para classes de instância de banco de dados.

A política não especifica o elemento Principal porque, em uma política baseada em identidade, não se especifica o principal que obtém as permissões. Quando você anexar uma política um usuário, o usuário será a entidade principal implícita. Quando você anexa uma política de permissão a um perfil do IAM, o principal identificado na política de confiança do perfil obtém as permissões.

Para obter uma lista de ações do Aurora, consulte Ações definidas pelo Amazon RDS na Referência de autorização do serviço.

Permitir que um usuário execute qualquer ação de descrição em qualquer recurso do RDS

A seguinte política de permissões concede permissões a um usuário para executar todas as ações que começam com Describe. Essas ações mostram informações sobre um recurso do RDS, como uma instância de banco de dados. O caractere curinga (*) no elemento Resource indica que as ações são permitidas para todos os recursos do Amazon Aurora que pertencem à conta.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "AllowRDSDescribe",
         "Effect": "Allow",
         "Action": "rds:Describe*",
         "Resource": "*"
      }
   ]
}

Permitir que um usuário crie uma instância de banco de dados que usa o grupo de parâmetros de banco de dados e o grupo de sub-redes especificados.

A seguinte política de permissões concede permissões para permitir que um usuário crie apenas uma instância de banco de dados que deve usar o grupo de parâmetros de banco de dados mydbpg e o grupo de sub-rede de banco de dados mydbsubnetgroup.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "VisualEditor0",
         "Effect": "Allow",
         "Action": "rds:CreateDBInstance",
         "Resource": [
            "arn:aws:rds:*:*:pg:mydbpg",
            "arn:aws:rds:*:*:subgrp:mydbsubnetgroup"
         ]
      }
   ]
}

Conceder permissão para ações em um recurso com uma tag específica com dois valores diferentes

Você pode usar condições em sua política baseada em identidade para controlar o acesso aos recursos do Aurora com base em tags. A política a seguir concede permissão para realizar a operação de API CreateDBSnapshot em instâncias de banco de dados com a etiqueta stage definida como development ou test.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"AllowAnySnapshotName",
         "Effect":"Allow",
         "Action":[
            "rds:CreateDBSnapshot"
         ],
         "Resource":"arn:aws:rds:*:123456789012:snapshot:*"
      },
      {
         "Sid":"AllowDevTestToCreateSnapshot",
         "Effect":"Allow",
         "Action":[
            "rds:CreateDBSnapshot"
         ],
         "Resource":"arn:aws:rds:*:123456789012:db:*",
         "Condition":{
            "StringEquals":{
                "rds:db-tag/stage":[
                  "development",
                  "test"
               ]
            }
         }
      }
   ]
}

A política a seguir concede permissão para realizar a operação de API ModifyDBInstance em instâncias de banco de dados com a etiqueta stage definida como development ou test.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"AllowChangingParameterOptionSecurityGroups",
         "Effect":"Allow",
         "Action":[
            "rds:ModifyDBInstance"
         ],
         "Resource": [
            "arn:aws:rds:*:123456789012:pg:*",
            "arn:aws:rds:*:123456789012:secgrp:*",
            "arn:aws:rds:*:123456789012:og:*"
         ]
      },
      {
         "Sid":"AllowDevTestToModifyInstance",
         "Effect":"Allow",
         "Action":[
            "rds:ModifyDBInstance"
         ],
         "Resource":"arn:aws:rds:*:123456789012:db:*",
         "Condition":{
            "StringEquals":{
                "rds:db-tag/stage":[
                  "development",
                  "test"
               ]
            }
         }
      }
   ]
}

Impedir que um usuário exclua uma instância de banco de dados

A seguinte política de permissões concede permissões para impedir que um usuário exclua uma instância de banco de dados específica. Por exemplo, você pode querer negar a capacidade de excluir suas instâncias de banco de dados de produção para qualquer usuário que não seja um administrador.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "DenyDelete1",
         "Effect": "Deny",
         "Action": "rds:DeleteDBInstance",
         "Resource": "arn:aws:rds:us-west-2:123456789012:db:my-mysql-instance"
      }
   ]
}

Negar todo o acesso a um recurso

É possível negar acesso explicitamente a um recurso. As políticas de negação têm precedência sobre as políticas de permissão. A política a seguir nega explicitamente a um usuário a capacidade de gerenciar um recurso:


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Effect": "Deny",
         "Action": "rds:*",
         "Resource": "arn:aws:rds:us-east-1:123456789012:db:mydb"
      }
   ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Exemplos de políticas baseadas em identidade

Políticas de exemplo: usar chaves de condição