本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Amazon RDS 的 受管政策
若要將許可新增至許可集和角色,使用 AWS 受管政策比自行撰寫政策更容易。建立 IAM 客戶受管政策需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。若要快速開始使用,您可以使用我們的 AWS 受管政策。這些政策涵蓋常見的使用案例,並可在您的 AWS 帳戶中使用。如需 AWS 受管政策的詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策。
AWS 服務 維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會將其他許可新增至 AWS 受管政策,以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (許可集和角色)。當新功能啟動或新操作可用時,服務最有可能更新 AWS 受管政策。服務不會從 AWS 受管政策中移除許可,因此政策更新不會破壞您現有的許可。
此外, AWS 支援跨多個 服務之任務函數的受管政策。例如, ReadOnlyAccess AWS 受管政策提供所有 AWS 服務 和 資源的唯讀存取權。當服務啟動新功能時, 會為新操作和資源 AWS 新增唯讀許可。如需任務職能政策的清單和說明,請參閱 IAM 使用者指南中有關任務職能的AWS 受管政策。
AWS 受管政策:AmazonRDSReadOnlyAccess
此政策允許透過 對 Amazon RDS 進行唯讀存取 AWS Management Console。
許可詳細資訊
此政策包含以下許可:
-
rds– 允許主體說明 Amazon RDS 資源並列出 Amazon RDS 資源的標籤。 -
cloudwatch– 允許主體獲取 Amazon CloudWatch 指標統計資料。 -
ec2– 允許主體說明可用區域和聯網資源。 -
logs– 允許主體說明日誌群組的 CloudWatch Logs 日誌串流,並取得 CloudWatch Logs 事件。 -
devops-guru- 允許主體描述具有 Amazon DevOps Guru 涵蓋範圍的資源,這是由 CloudFormation 堆疊名稱或資源標籤所指定的。
如需有關此政策的詳細資訊,包括 JSON 政策文件,請參閱《AWS 受管政策參考指南》中的 AmazonRDSReadOnlyAccess。
AWS 受管政策:AmazonRDSFullAccess
此政策透過 提供 Amazon RDS 的完整存取權 AWS Management Console。
許可詳細資訊
此政策包含以下許可:
-
rds– 允許主體完整存取 Amazon RDS。 -
application-autoscaling– 允許主體說明和管理 應用程式自動擴展擴展目標和政策。 -
cloudwatch– 允許主體取得 CloudWatch 指標靜態並管理 CloudWatch 警示。 -
ec2– 允許主體說明可用區域和聯網資源。 -
logs– 允許主體說明日誌群組的 CloudWatch Logs 日誌串流,並取得 CloudWatch Logs 事件。 -
outposts– 允許主體取得 AWS Outposts 執行個體類型。 -
pi– 允許主體取得績效詳情指標。 -
sns– 允許主體訂閱 Amazon Simple Notification Service (Amazon SNS) 和主題,並發佈 Amazon SNS 訊息。 -
devops-guru- 允許主體描述具有 Amazon DevOps Guru 涵蓋範圍的資源,這是由 CloudFormation 堆疊名稱或資源標籤所指定的。
如需有關此政策的詳細資訊,包括 JSON 政策文件,請參閱《AWS 受管政策參考指南》中的 AmazonRDSFullAccess。
AWS 受管政策:AmazonRDSDataFullAccess
此政策允許完整存取在特定 Aurora Serverless叢集上使用資料 API 和查詢編輯器 AWS 帳戶。此政策允許 從 AWS 帳戶 取得秘密的值 AWS Secrets Manager。
您可將 AmazonRDSDataFullAccess 政策連接到 IAM 身分。
許可詳細資訊
此政策包含以下許可:
-
dbqms– 允許主體存取、建立、刪除、說明和更新查詢。Database Query Metadata Service (dbqms) 是僅內部服務。它為多個 上的查詢編輯器提供最近和儲存 AWS Management Console 的查詢 AWS 服務,包括 Amazon RDS。 -
rds-data– 允許主體在 Aurora Serverless 資料庫執行 SQL 陳述式。 -
secretsmanager– 允許主體從中取得秘密的值 AWS Secrets Manager。
如需有關此政策的詳細資訊,包括 JSON 政策文件,請參閱《AWS 受管政策參考指南》中的 AmazonRDSDataFullAccess。
AWS 受管政策:AmazonRDSEnhancedMonitoringRole
此政策提供對 Amazon CloudWatch Logs 的存取權限,以進行 Amazon RDS 增強型監控。
許可詳細資訊
此政策包含以下許可:
-
logs– 允許主體建立 CloudWatch Logs 日誌群組和保留政策,並建立和說明日誌群組的 CloudWatch Logs 日誌串流。其還允許主體放置並取得 CloudWatch Logs 日誌事件。
如需有關此政策的詳細資訊,包括 JSON 政策文件,請參閱《AWS 受管政策參考指南》中的 AmazonRDSEnhancedMonitoringRole。
AWS 受管政策:AmazonRDSPerformanceInsightsReadOnly
此政策提供對 Amazon RDS 資料庫執行個體和 Amazon Aurora 資料庫叢集的 Amazon RDS 績效詳情唯讀存取權限。
此政策現在包含 Sid (陳述式 ID) 作為政策陳述式的識別符。
許可詳細資訊
此政策包含以下許可:
-
rds– 允許主體說明 Amazon RDS 資料庫執行個體和 Amazon Aurora 資料庫叢集。 -
pi– 允許主體呼叫 Amazon RDS 績效詳情 API 並存取績效詳情指標。
如需有關此政策的詳細資訊,包括 JSON 政策文件,請參閱《AWS 受管政策參考指南》中的 AmazonRDSPerformanceInsightsReadOnly。
AWS 受管政策:AmazonRDSPerformanceInsightsFullAccess
此政策提供對 Amazon RDS 資料庫執行個體和 Amazon Aurora 資料庫叢集的 Amazon RDS Performance Insights 完整存取權限。
此政策現在包含 Sid (陳述式 ID) 作為政策陳述式的識別符。
許可詳細資訊
此政策包含以下許可:
-
rds– 允許主體說明 Amazon RDS 資料庫執行個體和 Amazon Aurora 資料庫叢集。 -
pi– 允許主體呼叫 Amazon RDS Performance Insights API,以及建立、檢視和刪除績效分析報告。 -
cloudwatch:允許主體列出 Amazon CloudWatch 指標並取得指標資料和統計資料。
如需有關此政策的詳細資訊,包括 JSON 政策文件,請參閱《AWS 受管政策參考指南》中的 AmazonRDSPerformanceInsightsFullAccess。
AWS 受管政策:AmazonRDSDirectoryServiceAccess
此政策允許 Amazon RDS 呼叫 AWS Directory Service。
許可詳細資訊
此政策包含以下許可:
-
ds– 允許主體描述 AWS Directory Service 目錄並控制 AWS Directory Service 目錄的授權。
如需有關此政策的詳細資訊,包括 JSON 政策文件,請參閱《AWS 受管政策參考指南》中的 AmazonRDSDirectoryServiceAccess。
AWS 受管政策:AmazonRDSServiceRolePolicy
您無法將 AmazonRDSServiceRolePolicy 政策附加至 IAM 實體。此政策會附加至服務連結角色,而此角色可讓 Amazon RDS 代表您執行動作。如需詳細資訊,請參閱Amazon RDS 的服務連結角色許可。
AWS 受管政策:AmazonRDSCustomServiceRolePolicy
您無法將 AmazonRDSCustomServiceRolePolicy 政策附加至 IAM 實體。此政策會連接到服務連結角色,允許 Amazon RDS 代表 RDS 資料庫資源呼叫 AWS 服務。
此政策包含以下許可:
-
ec2- 允許 RDS Custom 在提供point-in-time還原功能的資料庫執行個體上執行備份操作。 -
secretsmanager- 允許 RDS Custom 管理 RDS Custom 建立的資料庫執行個體特定秘密。 -
cloudwatch‐ 允許 RDS Custom 透過 CloudWatch 代理程式將資料庫執行個體指標和日誌上傳至 CloudWatch。 -
events,sqs‐ 允許 RDS Custom 傳送和接收資料庫執行個體的狀態資訊。 -
cloudtrail‐ 允許 RDS Custom 接收有關資料庫執行個體的變更事件 -
servicequotas‐ 允許 RDS Custom 讀取與資料庫執行個體相關的服務配額 -
ssm- 允許 RDS Custom 管理資料庫執行個體的基礎 EC2 執行個體。 -
rds‐ 允許 RDS Custom 管理資料庫執行個體的 RDS 資源 -
iam‐ 允許 RDS Custom 驗證執行個體描述檔,並將其連接至資料庫執行個體的基礎 EC2 執行個體。
如需有關此政策的詳細資訊,包括 JSON 政策文件,請參閱《AWS 受管政策參考指南》中的 AmazonRDSCustomServiceRolePolicy。
AWS 受管政策:AmazonRDSCustomInstanceProfileRolePolicyProfileRolePolicy
您不應將 AmazonRDSCustomInstanceProfileRolePolicy 連接到 IAM 實體。它應該只連接到執行個體描述檔角色,該角色用於授予 Amazon RDS Custom 資料庫執行個體執行各種自動化動作和資料庫管理任務的許可。在 RDS Custom 執行個體建立期間,以custom-iam-instance-profile參數形式傳遞執行個體描述檔,而 RDS Custom 會將此執行個體描述檔與您的資料庫執行個體建立關聯。
許可詳細資訊
此政策包含以下許可:
-
ssm、ssmmessages、ec2messages‐ 允許 RDS Custom 透過 Systems Manager 在資料庫執行個體上通訊、執行自動化和維護代理程式。 -
ec2、s3‐ 允許 RDS Custom 在提供point-in-time還原功能的資料庫執行個體上執行備份操作。 -
secretsmanager- 允許 RDS Custom 管理 RDS Custom 建立的資料庫執行個體特定秘密。 -
cloudwatch、logs‐ 允許 RDS Custom 透過 CloudWatch 代理程式將資料庫執行個體指標和日誌上傳至 CloudWatch。 -
events,sqs‐ 允許 RDS Custom 傳送和接收資料庫執行個體的狀態資訊。 -
kms- 允許 RDS Custom 使用執行個體特定的 KMS 金鑰,對 RDS Custom 管理的秘密和 S3 物件執行加密。
如需此政策的詳細資訊,包括 JSON 政策文件,請參閱《 AWS 受管政策參考指南》中的 AmazonRDSCustomInstanceProfileRolePolicyProfileRolePolicy。
AWS 受管政策:AmazonRDSPreviewServiceRolePolicy
您不應將 AmazonRDSPreviewServiceRolePolicy 連接到 IAM 實體。此政策會連接到服務連結角色,允許 Amazon RDS 代表 RDS 資料庫資源呼叫 AWS 服務。如需詳細資訊,請參閱Amazon RDS Preview 的服務連結角色。
許可詳細資訊
此政策包含以下許可:
-
ec2- 允許主體描述可用區域和聯網資源。 -
secretsmanager– 允許主體從中取得秘密的值 AWS Secrets Manager。 -
cloudwatch、logs‐ 允許 Amazon RDS 透過 CloudWatch 代理程式將資料庫執行個體指標和日誌上傳至 CloudWatch。
如需此政策的詳細資訊,包括 JSON 政策文件,請參閱《 AWS 受管政策參考指南》中的 AmazonRDSPreviewServiceRolePolicy。
AWS 受管政策:AmazonRDSBetaServiceRolePolicy
您不應將 AmazonRDSBetaServiceRolePolicy 連接到 IAM 實體。此政策會連接到服務連結角色,允許 Amazon RDS 代表 RDS 資料庫資源呼叫 AWS 服務。如需詳細資訊,請參閱Amazon RDS Beta 的服務連結角色許可。
許可詳細資訊
此政策包含以下許可:
-
ec2‐ 允許 Amazon RDS 在提供point-in-time還原功能的資料庫執行個體上執行備份操作。 -
secretsmanager‐ 允許 Amazon RDS 管理 Amazon RDS 建立的資料庫執行個體特定秘密。 -
cloudwatch、logs‐ 允許 Amazon RDS 透過 CloudWatch 代理程式將資料庫執行個體指標和日誌上傳至 CloudWatch。
如需此政策的詳細資訊,包括 JSON 政策文件,請參閱《 AWS 受管政策參考指南》中的 AmazonRDSBetaServiceRolePolicy。
