Políticas gerenciadas pela AWS para o Amazon RDS - Amazon Relational Database Service
AmazonRDSReadOnlyAccessAmazonRDSFullAccessAmazonRDSDataFullAccessAmazonRDSEnhancedMonitoringRoleAmazonRDSPerformanceInsightsReadOnlyAmazonRDSPerformanceInsightsFullAccessAmazonRDSDirectoryServiceAccessAmazonRDSServiceRolePolicyAmazonRDSCustomServiceRolePolicyAmazonRDSCustomInstanceProfileRolePolicy

Políticas gerenciadas pela AWS para o Amazon RDS

Para adicionar permissões a conjuntos de permissões e perfis, é mais fácil usar políticas gerenciadas pela AWS do que elaborar políticas por conta própria. É necessário tempo e experiência para criar políticas gerenciadas pelo cliente do IAM que fornecem à sua equipe apenas as permissões de que precisam. Para começar rapidamente, você pode usar nossas políticas gerenciadas pela AWS. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua Conta da AWS. Para ter mais informações sobre as políticas gerenciadas da AWS, consulte Políticas gerenciadas da AWS no Guia do usuário do IAM.

Os Serviços da AWS mantêm e atualizam políticas gerenciadas pela AWS. Não é possível alterar as permissões em políticas gerenciadas pela AWS. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos atributos. Esse tipo de atualização afeta todas as identidades (conjuntos de permissões e perfis) às quais a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo atributo for iniciado ou novas operações se tornarem disponíveis. Os serviços não removem permissões de uma política gerenciada pela AWS. Portanto, as atualizações de políticas não suspendem suas permissões atuais.

Além disso, a AWS oferece suporte a políticas gerenciadas para perfis de trabalho que abrangem vários serviços. Por exemplo, a política ReadOnlyAccess gerenciada pela AWS concede acesso somente leitura a todos os recursos e Serviços da AWS. Quando um serviço executa um novo atributo, a AWS adiciona permissões somente leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de perfis de trabalho, consulte Políticas gerenciadas pela AWS para perfis de trabalho no Guia do usuário do IAM.

Política gerenciada pela AWS: AmazonRDSReadOnlyAccess

Essa política permite o acesso somente leitura ao Amazon RDS por meio do AWS Management Console.

Detalhes de permissão

Esta política inclui as seguintes permissões:

  • rds: permite que as entidades principais descrevam os recursos do Amazon RDS e listem as etiquetas dos respectivos recursos.

  • cloudwatch: permite que as entidades principais obtenham estatísticas de métricas do Amazon CloudWatch.

  • ec2: permite que as entidades principais descrevam zonas de disponibilidade e recursos de rede.

  • logs: permite que as entidades principais descrevam fluxos de log do CloudWatch Logs de grupos de logs e obtenham eventos de log do CloudWatch Logs.

  • devops-guru: permite que as entidades principais descrevam os recursos que têm cobertura do Amazon DevOps Guru, que é especificada pelos nomes das pilhas ou pelas tags de recursos do CloudFormation.

Para ter mais informações sobre essa política, incluindo o documento de política JSON, consulte AmazonRDSReadOnlyAccess no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AmazonRDSFullAccess

Essa política concede acesso total ao Amazon RDS por meio do AWS Management Console.

Detalhes de permissão

Esta política inclui as seguintes permissões:

  • rds: concede às entidades principais acesso total ao Amazon RDS.

  • application-autoscaling: permite que as entidades principais descrevam e gerenciem destinos e políticas de escalabilidade do Application Auto Scaling.

  • cloudwatch: permite que as entidades principais obtenham estáticas de métricas do CloudWatch e gerenciem os respectivos alarmes.

  • ec2: permite que as entidades principais descrevam zonas de disponibilidade e recursos de rede.

  • logs: permite que as entidades principais descrevam fluxos de log do CloudWatch Logs de grupos de logs e obtenham eventos de log do CloudWatch Logs.

  • outposts: permite que as entidades principais obtenham tipos de instância AWS Outposts.

  • pi: permite que as entidades principais obtenham métricas do Performance Insights.

  • sns: permite que as entidades principais acessem assinaturas e tópicos do Amazon Simple Notification Service (Amazon SNS) e publiquem mensagens do Amazon SNS.

  • devops-guru: permite que as entidades principais descrevam os recursos que têm cobertura do Amazon DevOps Guru, que é especificada pelos nomes das pilhas ou pelas tags de recursos do CloudFormation.

Para ter mais informações sobre essa política, incluindo o documento de política JSON, consulte AmazonRDSFullAccess no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AmazonRDSDataFullAccess

Essa política permite acesso total ao uso da API DATA e ao editor de consultas em clusters do Aurora Serverless em uma Conta da AWS específica. Essa política permite que a Conta da AWS obtenha o valor de um segredo do AWS Secrets Manager.

É possível anexar a política AmazonRDSDataFullAccess a suas identidades do IAM.

Detalhes de permissão

Esta política inclui as seguintes permissões:

  • dbqms: permite que as entidades principais acessem, criem, excluam, descrevam e atualizem consultas. O Database Query Metadata Service (dbqms) é um serviço somente interno. Ele fornece suas consultas recentes e salvas para o editor de consultas no AWS Management Console para vários Serviços da AWS, inclusive o Amazon RDS.

  • rds-data: permite que as entidades principais executem instruções SQL em bancos de dados do Aurora Serverless.

  • secretsmanager: permite que as entidades principais obtenham o valor de um segredo do AWS Secrets Manager.

Para ter mais informações sobre essa política, incluindo o documento de política JSON, consulte AmazonRDSDataFullAccess no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AmazonRDSEnhancedMonitoringRole

Essa política fornece acesso ao Amazon CloudWatch Logs for Amazon RDS Enhanced Monitoring.

Detalhes de permissão

Esta política inclui as seguintes permissões:

  • logs: permite que as entidades principais criem grupos de logs e políticas de retenção do CloudWatch Logs, bem como criem e descrevam fluxos de log do CloudWatch Logs de grupos de logs. Ela também permite que as entidades principais insiram e obtenham eventos de log do CloudWatch Logs.

Para ter mais informações sobre essa política, incluindo o documento de política JSON, consulte AmazonRDSEnhancedMonitoringRole no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AmazonRDSPerformanceInsightsReadOnly

Essa política fornece acesso somente leitura ao Insights de Performance do Amazon RDS para instâncias de banco de dados do Amazon RDS e de clusters de banco de dados do Amazon Aurora.

Essa política agora inclui Sid (ID da instrução) como identificador para a declaração de política.

Detalhes de permissão

Esta política inclui as seguintes permissões:

  • rds: permite que as entidades principais descrevam instâncias de banco de dados do Amazon RDS e de clusters de banco de dados Amazon Aurora

  • pi: permite que as entidades principais façam chamadas para a API do Insights de Performance do Amazon RDS e acessem as métricas do Insights de Performance.

Para ter mais informações sobre essa política, incluindo o documento de política JSON, consulte AmazonRDSPerformanceInsightsReadOnly no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AmazonRDSPerformanceInsightsFullAccess

Essa política fornece acesso total ao Insights de Performance do Amazon RDS para instâncias de banco de dados do Amazon RDS e clusters de banco de dados do Amazon Aurora.

Essa política agora inclui Sid (ID da instrução) como identificador para a declaração de política.

Detalhes de permissão

Esta política inclui as seguintes permissões:

  • rds: permite que as entidades principais descrevam instâncias de banco de dados do Amazon RDS e de clusters de banco de dados Amazon Aurora

  • pi: permite que as entidades principais façam chamadas para a API do Insights de Performance do Amazon RDS e criem, visualizem e excluam relatórios de análise de performance.

  • cloudwatch: permite que as entidades principais listem métricas do Amazon CloudWatch e obtenham dados de métricas e estatística.

Para receber mais informações sobre essa política, incluindo o documento de política JSON, consulte AmazonRDSPerformanceInsightsFullAccess no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AmazonRDSDirectoryServiceAccess

Essa política permite que o Amazon RDS faça chamadas ao AWS Directory Service.

Detalhes da permissão

Esta política inclui a seguinte permissão:

  • ds: permite que as entidades principais descrevam diretórios do AWS Directory Service e controlem a autorização para diretórios do AWS Directory Service.

Para ter mais informações sobre essa política, incluindo o documento de política JSON, consulte AmazonRDSDirectoryServiceAccess no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AmazonRDSServiceRolePolicy

Não é possível anexar a política AmazonRDSServiceRolePolicy às suas entidades do IAM. Essa política é anexada a uma função vinculada ao serviço que permite ao Amazon RDS realizar ações em seu nome. Para ter mais informações, consulte Permissões de função vinculada ao serviço do Amazon RDS.

Política gerenciada pela AWS: AmazonRDSCustomServiceRolePolicy

Não é possível anexar a política AmazonRDSCustomServiceRolePolicy às suas entidades do IAM. Essa política é anexada a uma função vinculada ao serviço que permite ao Amazon RDS realizar ações em seu nome. Para ter mais informações, consulte Permissões de funções vinculadas a serviços para o Amazon RDS Custom.

Política gerenciada da AWS: AmazonRDSCustomInstanceProfileRolePolicy

Não é possível anexar AmazonRDSCustomInstanceProfileRolePolicy às suas entidades do IAM. Ele só deve ser anexado a uma função de perfil de instância usada para conceder permissões à instância de banco de dados do Amazon RDS Custom para realizar várias ações de automação e tarefas de gerenciamento de banco de dados. Passe o perfil de instância como o parâmetro custom-iam-instance-profile durante a criação da instância personalizada do RDS e o RDS Custom associará esse perfil à instância de banco de dados.

Detalhes de permissão

Esta política inclui as seguintes permissões:

  • ssm, ssmmessages, ec2messages: permite que o RDS Custom se comunique, execute automação e mantenha agentes na instância de banco de dados por meio do Systems Manager.

  • ec2, s3: permite que o RDS Custom execute operações de backup na instância de banco de dados que fornece recursos de restauração pontuais.

  • secretsmanager: permite que o RDS Custom gerencie segredos específicos da instância de banco de dados criados pelo RDS Custom.

  • cloudwatch, logs: permite que o RDS Custom faça upload de métricas e logs da instância de banco de dados para o CloudWatch por meio do agente do CloudWatch.

  • events, sqs: permite que o RDS Custom envie e receba informações de status sobre a instância de banco de dados.

  • kms: permite que o RDS Custom use uma chave do KMS específica da instância para realizar a criptografia de segredos e objetos do S3 gerenciados pelo RDS Custom.

Para receber mais informações sobre essa política, incluindo o documento de política JSON, consulte AmazonRDSCustomInstanceProfileRolePolicy no Guia de referência de políticas gerenciadas da AWS.