管理資料庫活動串流的存取 - Amazon Aurora

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理資料庫活動串流的存取

任何具備資料庫活動串流之適當 AWS Identity and Access Management (IAM) 角色權限的任何使用者,皆可建立、開始、停止和修改資料庫叢集的活動串流設定。這些動作會包含在串流的稽核日誌中。為了達到最佳合規實務,我們建議您不要將這些權限提供給 DBA。

您可以使用 IAM 政策來設定資料庫活動串流的存取。如需更多有關 Aurora 身分驗證的資訊,請參閱 Amazon Aurora 的 Identity and access management。如需建立 IAM 政策的詳細資訊,請參閱 建立並使用 IAM 政策進行 IAM 資料庫存取

範例 允許資料庫活動串流設定的原則

若要提供使用者更精細的存取權來修改活動串流,請在 IAM 政策中使用服務特定操作內容金鑰 rds:StartActivityStreamrds:StopActivityStream 。以下 IAM 政策範例會允許使用者或角色設定活動串流。

{
   "Version":"2012-10-17",
   "Statement":[
        {
            "Sid":"ConfigureActivityStreams",
            "Effect":"Allow",
            "Action": [
                "rds:StartActivityStream",
                "rds:StopActivityStream"
            ],
            "Resource":"*",
          }
     ]
}
範例 允許資料庫活動串流開始的原則

以下 IAM 政策範例會允許使用者或角色開始活動串流。

{
    "Version":"2012-10-17",
    "Statement":[
        {
            "Sid":"AllowStartActivityStreams",
            "Effect":"Allow",
            "Action":"rds:StartActivityStream",
            "Resource":"*"
        }
    ]
}
範例 允許資料庫活動串流停用的原則

以下 IAM 政策範例會允許使用者或角色停止活動串流。

{
    "Version":"2012-10-17",
    "Statement":[
        {
            "Sid":"AllowStopActivityStreams",
            "Effect":"Allow",
            "Action":"rds:StopActivityStream",
            "Resource":"*"
        }
     ]
}
範例 拒絕資料庫活動串流開始的原則

以下 IAM 政策範例會防止使用者或角色開始活動串流。

{
    "Version":"2012-10-17",
    "Statement":[
        {
            "Sid":"DenyStartActivityStreams",
            "Effect":"Deny",
            "Action":"rds:StartActivityStream",
            "Resource":"*"
        }
     ]
}
範例 拒絕資料庫活動串流停用的原則

以下 IAM 政策範例會防止使用者或角色停止活動串流。

{
    "Version":"2012-10-17",
    "Statement":[
        {
            "Sid":"DenyStopActivityStreams",
            "Effect":"Deny",
            "Action":"rds:StopActivityStream",
            "Resource":"*"
        }
    ]
}