本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon 的動作、資源和條件索引鍵 RDS
Amazon RDS(服務字首:rds) 提供下列服務特定的資源、動作和條件內容索引鍵,可用於 IAM 許可政策。
參考資料:
-
了解如何設定此服務。
-
檢視API此服務可用的操作清單 。
-
了解如何使用IAM許可政策來保護此服務及其資源。
Amazon 定義的動作 RDS
您可以在IAM政策陳述式的 Action元素中指定下列動作。使用政策來授予在 AWS中執行操作的許可。當您在政策中使用 動作時,通常會允許或拒絕存取具有相同名稱API的操作或CLI命令。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。
「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型,則您可以在具有該動作ARN的陳述式中指定該類型的 。如果動作具有一或多個必要資源,呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您在IAM政策中使用 Resource元素限制資源存取,則必須為每個所需資源類型包含 ARN或 模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。
「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。
注意
資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。
如需下表各欄的詳細資訊,請參閱動作資料表。
| 動作 | 描述 | 存取層級 | 資源類型 (*必填項目) | 條件索引鍵 | 相依動作 |
|---|---|---|---|---|---|
| AddRoleToDBCluster | 准許從 Aurora 資料庫叢集關聯 Identity and Access Management (IAM) 角色 | 寫入 |
iam:PassRole |
||
| AddRoleToDBInstance | 准許將 AWS Identity and Access Management (IAM) 角色與資料庫執行個體建立關聯 | 寫入 |
iam:PassRole |
||
| AddSourceIdentifierToSubscription | 准許將來源識別符新增至現有的RDS事件通知訂閱 | 寫入 | |||
| AddTagsToResource | 准許將中繼資料標籤新增至 Amazon RDS 資源 | 標記 | |||
| ApplyPendingMaintenanceAction | 准許將擱置中維護動作套用至資源 | 寫入 | |||
| AuthorizeDBSecurityGroupIngress | 准許DBSecurityGroup使用兩種授權形式之一,將 傳入 | 許可管理 | |||
| BacktrackDBCluster | 准許將資料庫叢集回溯至特定時間,而不建立新的資料庫叢集 | 寫入 | |||
| CancelExportTask | 准許取消匯出進行中任務 | 寫入 | |||
| CopyCustomDBEngineVersion [僅限許可] | 准許複製自訂引擎版本 | 寫入 | |||
| CopyDBClusterParameterGroup | 准許複製指定 DB 叢集參數群組 | 寫入 |
rds:AddTagsToResource |
||
| CopyDBClusterSnapshot | 准許建立資料庫叢集快照 | 寫入 |
rds:AddTagsToResource |
||
| CopyDBParameterGroup | 准許複製指定 DB 參數群組 | 寫入 |
rds:AddTagsToResource |
||
| CopyDBSnapshot | 准許複製指定資料庫快照 | 寫入 |
rds:AddTagsToResource rds:CopyCustomDBEngineVersion |
||
| CopyOptionGroup | 准許複製指定選項群組 | 寫入 |
rds:AddTagsToResource |
||
| CreateBlueGreenDeployment | 准許為指定來源叢集或執行個體建立藍/綠部署 | 寫入 |
rds:AddTagsToResource rds:CreateDBCluster rds:CreateDBClusterEndpoint rds:CreateDBInstance rds:CreateDBInstanceReadReplica |
||
| CreateCustomDBEngineVersion | 准許建立自訂引擎版本 | 寫入 |
iam:CreateServiceLinkedRole mediaimport:CreateDatabaseBinarySnapshot rds:AddTagsToResource |
||
| CreateDBCluster | 准許建立新的資料庫叢集 | 寫入 |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateDBInstance secretsmanager:CreateSecret secretsmanager:TagResource |
||
| CreateDBClusterEndpoint | 准許建立新的自訂端點,並將其與 Amazon Aurora 資料庫叢集或 Amazon DocumentDB 叢集建立關聯 | 寫入 |
rds:AddTagsToResource |
||
| CreateDBClusterParameterGroup | 准許建立新資料庫叢集參數群組 | 寫入 |
rds:AddTagsToResource |
||
| CreateDBClusterSnapshot | 准許建立資料庫叢集快照 | 寫入 |
rds:AddTagsToResource |
||
| CreateDBInstance | 准許建立資料庫執行個體 | 寫入 |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateTenantDatabase secretsmanager:CreateSecret secretsmanager:TagResource |
||
| CreateDBInstanceReadReplica | 准許建立做為來源資料庫執行個體僅供讀取複本的資料庫執行個體 | 寫入 |
iam:PassRole rds:AddTagsToResource |
||
| CreateDBParameterGroup | 准許建立新資料庫參數群組 | 寫入 |
rds:AddTagsToResource |
||
| CreateDBProxy | 准許建立資料庫代理 | 寫入 |
iam:PassRole |
||
| CreateDBProxyEndpoint | 准許建立資料庫代理端點 | 寫入 | |||
| CreateDBSecurityGroup | 准許建立新資料庫安全群組 對資料庫執行個體的資料庫安全群組控制存取權限。 | 寫入 |
rds:AddTagsToResource |
||
| CreateDBShardGroup | 准許建立新的 Aurora Limitless 資料庫資料庫碎片群組 | 寫入 | |||
| CreateDBSnapshot | 准許建立 DBSnapshot | 寫入 |
rds:AddTagsToResource |
||
| CreateDBSubnetGroup | 准許建立新資料庫子網路群組 | 寫入 |
rds:AddTagsToResource |
||
| CreateEventSubscription | 准許建立RDS事件通知訂閱 | 寫入 |
rds:AddTagsToResource |
||
| CreateGlobalCluster | 准許建立跨多個區域的 Aurora 全域資料庫或 DocumentDB 全域資料庫 | 寫入 | |||
| CreateIntegration | 准許建立 Aurora 與 Redshift ETL的零整合 | 寫入 |
kms:CreateGrant kms:DescribeKey rds:AddTagsToResource |
||
| CreateOptionGroup | 准許建立新的選項群組 | 寫入 |
rds:AddTagsToResource |
||
| CreateTenantDatabase | 准許建立新的租戶資料庫 | 寫入 |
rds:AddTagsToResource |
||
| CrossRegionCommunication [僅限許可] | 准許在執行跨區域操作 (例如跨區域快照複製或跨區域僅供讀取複本建立) 時,存取遠端區域的資源 | 寫入 | |||
| DeleteBlueGreenDeployment | 准許刪除藍/綠部署 | 寫入 |
rds:DeleteDBCluster rds:DeleteDBClusterEndpoint rds:DeleteDBInstance rds:PromoteReadReplica rds:PromoteReadReplicaDBCluster |
||
| DeleteCustomDBEngineVersion | 准許刪除現有的自訂引擎版本 | 寫入 | |||
| DeleteDBCluster | 准許刪除先前佈建的叢集 | 寫入 |
rds:AddTagsToResource rds:CreateDBClusterSnapshot rds:DeleteDBInstance |
||
| DeleteDBClusterAutomatedBackup | 准許根據來源叢集 DbClusterResourceId 的值或可還原叢集的資源 ID 刪除叢集自動備份 | 寫入 | |||
| DeleteDBClusterEndpoint | 准許刪除自訂端點,並將其從 Amazon Aurora 資料庫叢集或 Amazon DocumentDB 叢集中移除 | 寫入 | |||
| DeleteDBClusterParameterGroup | 准許刪除指定資料庫叢集參數群組 | 寫入 | |||
| DeleteDBClusterSnapshot | 准許刪除資料庫叢集快照 | 寫入 | |||
| DeleteDBInstance | 准許刪除先前佈建的資料庫執行個體 | 寫入 |
rds:AddTagsToResource rds:CreateDBSnapshot rds:DeleteTenantDatabase |
||
| DeleteDBInstanceAutomatedBackup | 准許根據來源執行個體 DbiResourceId 的值或可還原執行個體的資源 ID 刪除自動備份 | 寫入 | |||
| DeleteDBParameterGroup | 准許刪除指定的 DBParameterGroup | 寫入 | |||
| DeleteDBProxy | 准許刪除資料庫代理 | 寫入 | |||
| DeleteDBProxyEndpoint | 准許刪除資料庫代理端點 | 寫入 | |||
| DeleteDBSecurityGroup | 准許刪除資料庫安全群組 | 寫入 | |||
| DeleteDBShardGroup | 准許刪除 Aurora Limitless 資料庫資料庫碎片群組 | 寫入 | |||
| DeleteDBSnapshot | 准許刪除 DBSnapshot | 寫入 | |||
| DeleteDBSubnetGroup | 准許刪除資料庫子網路群組 | 寫入 | |||
| DeleteEventSubscription | 准許刪除RDS事件通知訂閱 | 寫入 | |||
| DeleteGlobalCluster | 准許刪除全域資料庫叢集 | 寫入 | |||
| DeleteIntegration | 准許刪除 Aurora 與 Redshift ETL的零整合 | 寫入 | |||
| DeleteOptionGroup | 准許刪除現有選項群組 | 寫入 | |||
| DeleteTenantDatabase | 准許刪除租戶資料庫 | 寫入 |
rds:AddTagsToResource rds:CreateDBSnapshot |
||
| DeregisterDBProxyTargets | 准許從資料庫代理目標群組移除目標 | 寫入 | |||
| DescribeAccountAttributes | 准許列出客戶帳戶的所有屬性 | 清單 | |||
| DescribeBlueGreenDeployments | 准許描述藍/綠部署 | 清單 | |||
| DescribeCertificates | 准許列出 Amazon RDS 為此提供的一組 CA 憑證 AWS 帳戶 | 清單 | |||
| DescribeDBClusterAutomatedBackups | 准許傳回目前和已刪除叢集的叢集自動備份清單 | 清單 | |||
| DescribeDBClusterBacktracks | 准許傳回資料庫叢集回溯相關資訊 | 列出 | |||
| DescribeDBClusterEndpoints | 准許傳回 Amazon Aurora 資料庫叢集端點的相關資訊 | 清單 | |||
| DescribeDBClusterParameterGroups | 准許傳回DBClusterParameterGroup描述清單 | 清單 | |||
| DescribeDBClusterParameters | 准許傳回特定資料庫叢集參數群組的詳細參數清單 | 列出 | |||
| DescribeDBClusterSnapshotAttributes | 准許傳回手動資料庫叢集快照的資料庫叢集快照屬性名稱和值清單。 | 列出 | |||
| DescribeDBClusterSnapshots | 准許傳回資料庫叢集快照相關資訊 | 清單 | |||
| DescribeDBClusters | 准許傳回已佈建 Aurora 資料庫叢集或 DocumentDB 叢集的相關資訊 | 清單 | |||
| DescribeDBEngineVersions | 准許傳回可用資料庫引擎的清單 | 列出 | |||
| DescribeDBInstanceAutomatedBackups | 准許傳回目前和已刪除執行個體的自動備份清單 | 清單 | |||
| DescribeDBInstances | 准許傳回已佈建RDS執行個體的相關資訊 | 清單 | |||
| DescribeDBLogFiles | 准許傳回資料庫執行個體的資料庫記錄檔清單 | 清單 | |||
| DescribeDBParameterGroups | 准許傳回DBParameterGroup描述清單 | 清單 | |||
| DescribeDBParameters | 准許傳回特定資料庫參數群組的詳細參數清單 | 列出 | |||
| DescribeDBProxies | 准許檢視代理 | 列出 | |||
| DescribeDBProxyEndpoints | 准許檢視代理端點 | 列出 | |||
| DescribeDBProxyTargetGroups | 准許檢視資料庫代理目標群組詳細資訊 | 列出 | |||
| DescribeDBProxyTargets | 准許檢視資料庫代理目標詳細資訊 | 清單 | |||
| DescribeDBRecommendations | 准許列出建議詳細資訊 | 清單 | |||
| DescribeDBSecurityGroups | 准許傳回DBSecurityGroup描述清單 | 清單 | |||
| DescribeDBShardGroups | 准許傳回此帳戶所有 Aurora 無限資料庫資料庫碎片群組的相關資訊。您可以依碎片群組 (s) 篩選 | 清單 | |||
| DescribeDBSnapshotAttributes | 准許為手動資料庫快照傳回資料庫快照屬性名稱和值的清單。 | 清單 | |||
| DescribeDBSnapshotTenantDatabases | 准許傳回資料庫快照中有關租戶資料庫的資訊。您可以依區域或快照執行篩選 | 清單 | |||
| DescribeDBSnapshots | 准許傳回資料庫快照的相關資訊 | 清單 | |||
| DescribeDBSubnetGroups | 准許傳回DBSubnetGroup描述清單 | 清單 | |||
| DescribeEngineDefaultClusterParameters | 准許傳回叢集資料庫引擎的預設引擎和系統參數資訊。 | 列出 | |||
| DescribeEngineDefaultParameters | 准許傳回指定資料庫引擎的預設引擎和系統參數資訊。 | 列出 | |||
| DescribeEventCategories | 准許顯示所有事件來源類型或特定來源類型 (如已指定) 的類別清單 | 列出 | |||
| DescribeEventSubscriptions | 准許列出客戶帳戶的所有訂閱描述 | 列出 | |||
| DescribeEvents | 准許傳回過去 14 天與資料庫執行個體、資料庫安全群組、資料庫快照和資料庫參數群組的相關事件 | 列出 | |||
| DescribeExportTasks | 准許傳回匯出任務的相關資訊 | 清單 | |||
| DescribeGlobalClusters | 准許傳回 Aurora 全域資料庫叢集或 DocumentDB 全域資料庫叢集的相關資訊 | 清單 | |||
| DescribeIntegrations | 准許描述 Aurora 與 Redshift ETL的零整合 | 清單 | |||
| DescribeOptionGroupOptions | 准許描述所有可用選項 | 列出 | |||
| DescribeOptionGroups | 准許描述可用選項群組 | 列出 | |||
| DescribeOrderableDBInstanceOptions | 准許傳回指定引擎的可排序資料庫執行個體選項清單 | 列出 | |||
| DescribePendingMaintenanceActions | 准許傳回至少有一個待處理維護動作的資源清單 (例如,資料庫執行個體) | 清單 | |||
| DescribeRecommendationGroups [僅限許可] | 准許傳回建議群組的資訊 | 讀取 | |||
| DescribeRecommendations [僅限許可] | 准許傳回建議的相關資訊 | 讀取 | |||
| DescribeReservedDBInstances | 准許傳回此帳戶的預留資料庫執行個體或特定預留資料庫執行個體的相關資訊 | 列出 | |||
| DescribeReservedDBInstancesOfferings | 准許授予列出可用預留資料庫執行個體產品 | 清單 | |||
| DescribeSourceRegions | 准許傳回來源清單, AWS 區域 其中目前 AWS 區域 可以建立僅供讀取複本或從中複製資料庫快照 | 清單 | |||
| DescribeTenantDatabases | 准許傳回有關佈建租戶資料庫的資訊。您可以依區域或快照執行篩選 | 清單 | |||
| DescribeValidDBInstanceModifications | 准許列出您可以對資料庫執行個體進行的可用修改 | 清單 | |||
| DisableHttpEndpoint | 准許停用資料庫叢集的 HTTP 端點 | 寫入 | |||
| DownloadCompleteDBLogFile | 准許下載指定的日誌檔案 | 讀取 | |||
| DownloadDBLogFilePortion | 准許下載全部或部分指定日誌檔案,大小上限為 1 MB | 讀取 | |||
| EnableHttpEndpoint | 准許啟用資料庫叢集的 HTTP 端點 | 寫入 | |||
| FailoverDBCluster | 准許強制執行資料庫叢集容錯移轉 | 寫入 | |||
| FailoverGlobalCluster | 准許容錯移轉全域叢集 | 寫入 | |||
| ListTagsForResource | 准許列出 Amazon RDS 資源上的所有標籤 | 讀取 | |||
| ModifyActivityStream | 准許修改資料庫活動串流 | 寫入 | |||
| ModifyCertificates | 准許為RDS新的資料庫執行個體修改 Amazon 的系統預設 Secure Sockets Layer/Transport Layer Security (SSL/TLS) 憑證 | 寫入 | |||
| ModifyCurrentDBClusterCapacity | 准許修改 Amazon Aurora Serverless 資料庫叢集的目前叢集容量 | 寫入 | |||
| ModifyCustomDBEngineVersion | 准許修改現有的自訂引擎版本 | 寫入 | |||
| ModifyDBCluster | 准許修改 Amazon Aurora 資料庫叢集或 Amazon DocumentDB 叢集的設定 | 寫入 |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:ModifyDBInstance secretsmanager:CreateSecret secretsmanager:RotateSecret secretsmanager:TagResource |
||
| ModifyDBClusterEndpoint | 准許修改 Amazon Aurora 資料庫叢集或 Amazon DocumentDB 叢集中端點的屬性 | 寫入 | |||
| ModifyDBClusterParameterGroup | 准許修改資料庫叢集參數群組的參數 | 寫入 | |||
| ModifyDBClusterSnapshotAttribute | 准許在手動資料庫叢集快照中新增或移除屬性和值 | 寫入 | |||
| ModifyDBInstance | 准許修改資料庫執行個體設定 | 寫入 |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateTenantDatabase secretsmanager:CreateSecret secretsmanager:RotateSecret secretsmanager:TagResource |
||
| ModifyDBParameterGroup | 准許修改資料庫參數群組的參數 | 寫入 | |||
| ModifyDBProxy | 准許修改資料庫代理 | 寫入 |
iam:PassRole |
||
| ModifyDBProxyEndpoint | 准許修改資料庫代理端點 | 寫入 | |||
| ModifyDBProxyTargetGroup | 准許修改資料庫代理的目標群組 | 寫入 | |||
| ModifyDBRecommendation | 准許修改建議 | 寫入 | |||
| ModifyDBShardGroup | 准許修改 Aurora Limitless Database 資料庫碎片群組的屬性 | 寫入 | |||
| ModifyDBSnapshot | 准許使用新引擎版本更新手動資料庫快照 (可加密或不加密) | 寫入 | |||
| ModifyDBSnapshotAttribute | 准許從手動資料庫快照中新增或移除屬性和值 | 寫入 | |||
| ModifyDBSubnetGroup | 准許修改現有資料庫子網路群組 | 寫入 | |||
| ModifyEventSubscription | 准許修改現有的RDS事件通知訂閱 | 寫入 | |||
| ModifyGlobalCluster | 准許修改 Amazon Aurora 全域叢集或 Amazon DocumentDB 全域叢集的設定 | 寫入 | |||
| ModifyIntegration | 准許修改 Aurora 與 Redshift ETL的零整合 | 寫入 | |||
| ModifyOptionGroup | 准許修改現有選項群組 | 寫入 |
iam:PassRole |
||
| ModifyRecommendation [僅限許可] | 准許修改建議 | 寫入 | |||
| ModifyTenantDatabase | 准許修改租戶資料庫 | 寫入 | |||
| PromoteReadReplica | 准許將僅供讀取複本資料庫執行個體升級為獨立資料庫執行個體 | 寫入 | |||
| PromoteReadReplicaDBCluster | 准許將僅供讀取複本資料庫叢集升級為獨立資料庫叢集 | 寫入 | |||
| PurchaseReservedDBInstancesOffering | 准許購買預留執行個體產品 | 寫入 | |||
| RebootDBCluster | 准許重新啟動先前佈建的資料庫叢集 | 寫入 |
rds:RebootDBInstance |
||
| RebootDBInstance | 准許重新啟動資料庫引擎服務 | 寫入 | |||
| RebootDBShardGroup | 准許重新啟動 Aurora Limitless 資料庫資料庫碎片群組 | 寫入 | |||
| RegisterDBProxyTargets | 准許將目標新增至資料庫代理目標群組 | 寫入 | |||
| RemoveFromGlobalCluster | 准許從 Aurora 全域資料庫叢集或 DocumentDB 全域叢集分離 Aurora 次要叢集 | 寫入 | |||
| RemoveRoleFromDBCluster | 准許取消 AWS 身分和存取管理 (IAM) 角色與 Amazon Aurora 資料庫叢集的關聯 | 寫入 |
iam:PassRole |
||
| RemoveRoleFromDBInstance | 准許取消 AWS Identity and Access Management (IAM) 角色與資料庫執行個體的關聯 | 寫入 |
iam:PassRole |
||
| RemoveSourceIdentifierFromSubscription | 准許從現有的RDS事件通知訂閱中移除來源識別符 | 寫入 | |||
| RemoveTagsFromResource | 准許從 Amazon RDS 資源中移除中繼資料標籤 | 標記 | |||
| ResetDBClusterParameterGroup | 准許將資料庫叢集參數群組參數修改為預設值 | 寫入 | |||
| ResetDBParameterGroup | 准許修改資料庫參數群組參數為引擎/系統預設值 | 寫入 | |||
| RestoreDBClusterFromS3 | 准許從儲存在 Amazon S3 儲存貯體中的資料建立 Amazon Aurora 資料庫叢集 | 寫入 |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource secretsmanager:CreateSecret secretsmanager:TagResource |
||
| RestoreDBClusterFromSnapshot | 准許從資料庫叢集快照建立新資料庫叢集 | 寫入 |
iam:PassRole rds:AddTagsToResource rds:CreateDBInstance |
||
| RestoreDBClusterToPointInTime | 准許將資料庫叢集還原至任意時間點 | 寫入 |
iam:PassRole rds:AddTagsToResource rds:CreateDBInstance |
||
| RestoreDBInstanceFromDBSnapshot | 准許從資料庫快照建立新資料庫執行個體 | 寫入 |
iam:PassRole rds:AddTagsToResource rds:CreateTenantDatabase |
||
| RestoreDBInstanceFromS3 | 准許從 Amazon S3 儲存貯體建立新資料庫執行個體 | 寫入 |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource secretsmanager:CreateSecret secretsmanager:TagResource |
||
| RestoreDBInstanceToPointInTime | 准許將資料庫執行個體還原至任意時間點 | 寫入 |
iam:PassRole rds:AddTagsToResource rds:CreateTenantDatabase |
||
| RevokeDBSecurityGroupIngress | 准許撤銷DBSecurityGroup先前授權 IP 範圍或 VPC EC2安全群組的 輸入 | 寫入 | |||
| StartActivityStream | 准許啟動活動串流 | 寫入 | |||
| StartDBCluster | 准許啟動資料庫叢集 | 寫入 | |||
| StartDBInstance | 准許啟動資料庫執行個體 | 寫入 | |||
| StartDBInstanceAutomatedBackupsReplication | 准許開始將自動備份複寫至不同的 AWS 區域 | 寫入 | |||
| StartExportTask | 准許啟動資料庫快照的新匯出任務 | 寫入 |
iam:PassRole |
||
| StopActivityStream | 准許停止活動串流 | 寫入 | |||
| StopDBCluster | 准許停止資料庫叢集 | 寫入 | |||
| StopDBInstance | 准許停止資料庫執行個體 | 寫入 |
rds:AddTagsToResource rds:CreateDBSnapshot |
||
| StopDBInstanceAutomatedBackupsReplication | 准許停止資料庫執行個體的自動備份複寫 | 寫入 | |||
| SwitchoverBlueGreenDeployment | 准許將藍/綠部署從來源執行個體或叢集切換至目標 | 寫入 |
rds:ModifyDBCluster rds:ModifyDBInstance rds:PromoteReadReplica rds:PromoteReadReplicaDBCluster |
||
| SwitchoverGlobalCluster | 准許轉換全域叢集 | 寫入 | |||
| SwitchoverReadReplica | 准許切換僅供讀取複本,使其成為新的主要資料庫 | 寫入 |
Amazon 定義的資源類型 RDS
下列資源類型由此服務定義,可用於IAM許可政策陳述式的 Resource元素。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊,請參閱資源類型資料表。
| 資源類型 | ARN | 條件索引鍵 |
|---|---|---|
| cluster |
arn:${Partition}:rds:${Region}:${Account}:cluster:${DbClusterInstanceName}
|
|
| shardgrp |
arn:${Partition}:rds:${Region}:${Account}:shard-group:${DbShardGroupResourceId}
|
|
| cluster-auto-backup |
arn:${Partition}:rds:${Region}:${Account}:cluster-auto-backup:${DbClusterAutomatedBackupId}
|
|
| auto-backup |
arn:${Partition}:rds:${Region}:${Account}:auto-backup:${DbInstanceAutomatedBackupId}
|
|
| cluster-endpoint |
arn:${Partition}:rds:${Region}:${Account}:cluster-endpoint:${DbClusterEndpoint}
|
|
| cluster-pg |
arn:${Partition}:rds:${Region}:${Account}:cluster-pg:${ClusterParameterGroupName}
|
|
| cluster-snapshot |
arn:${Partition}:rds:${Region}:${Account}:cluster-snapshot:${ClusterSnapshotName}
|
|
| db |
arn:${Partition}:rds:${Region}:${Account}:db:${DbInstanceName}
|
|
| es |
arn:${Partition}:rds:${Region}:${Account}:es:${SubscriptionName}
|
|
| global-cluster |
arn:${Partition}:rds::${Account}:global-cluster:${GlobalCluster}
|
|
| og |
arn:${Partition}:rds:${Region}:${Account}:og:${OptionGroupName}
|
|
| pg |
arn:${Partition}:rds:${Region}:${Account}:pg:${ParameterGroupName}
|
|
| proxy |
arn:${Partition}:rds:${Region}:${Account}:db-proxy:${DbProxyId}
|
|
| proxy-endpoint |
arn:${Partition}:rds:${Region}:${Account}:db-proxy-endpoint:${DbProxyEndpointId}
|
|
| ri |
arn:${Partition}:rds:${Region}:${Account}:ri:${ReservedDbInstanceName}
|
|
| secgrp |
arn:${Partition}:rds:${Region}:${Account}:secgrp:${SecurityGroupName}
|
|
| snapshot |
arn:${Partition}:rds:${Region}:${Account}:snapshot:${SnapshotName}
|
|
| subgrp |
arn:${Partition}:rds:${Region}:${Account}:subgrp:${SubnetGroupName}
|
|
| target-group |
arn:${Partition}:rds:${Region}:${Account}:target-group:${TargetGroupId}
|
|
| cev |
arn:${Partition}:rds:${Region}:${Account}:cev:${Engine}/${EngineVersion}/${CustomDbEngineVersionId}
|
|
| deployment |
arn:${Partition}:rds:${Region}:${Account}:deployment:${BlueGreenDeploymentIdentifier}
|
|
| integration |
arn:${Partition}:rds:${Region}:${Account}:integration:${IntegrationIdentifier}
|
|
| snapshot-tenant-database |
arn:${Partition}:rds:${Region}:${Account}:snapshot-tenant-database:${SnapshotName}:${TenantResourceId}
|
|
| tenant-database |
arn:${Partition}:rds:${Region}:${Account}:tenant-database:${TenantResourceId}
|
Amazon 的條件索引鍵 RDS
Amazon 會RDS定義下列條件索引鍵,可用於IAM政策的 Condition元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊,請參閱條件索引鍵表。
若要檢視所有服務都可使用的全域條件鍵,請參閱可用全域條件鍵。
| 條件索引鍵 | 描述 | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | 依請求中的標籤鍵值對集篩選存取權 | 字串 |
| aws:ResourceTag/${TagKey} | 依連接到資源的標籤鍵值對集篩選存取權 | 字串 |
| aws:TagKeys | 依請求中的標籤索引鍵集篩選存取權 | ArrayOfString |
| rds:BackupTarget | 依備份目標類型篩選存取權。其中一個:區域、前哨站 | 字串 |
| rds:CopyOptionGroup | 依指定 C opyDBSnapshot 動作是否需要複製資料庫選項群組的值篩選存取權 | Bool |
| rds:DatabaseClass | 依資料庫執行個體類別的類型篩選存取權限 | 字串 |
| rds:DatabaseEngine | 依資料庫引擎來篩選存取權限。如需可能的值,請參閱 C 中的引擎參數reateDBInstance API | 字串 |
| rds:DatabaseName | 依資料庫執行個體上的資料庫使用者定義名稱來篩選存取權限。 | 字串 |
| rds:EndpointType | 依端點類型篩選存取權限。其中一項:READER、WRITER、 CUSTOM | 字串 |
| rds:ManageMasterUserPassword | 依指定是否在資料庫執行個體或叢集的 AWS Secrets Manager 中RDS管理主要使用者密碼的值篩選存取權 | Bool |
| rds:MultiAz | 依指定資料庫執行個體是否在多個可用區域中執行的值來篩選存取權限。若要表示資料庫執行個體正在使用異地同步備份,請指定 true。 | Bool |
| rds:Piops | 依包含執行個體支援的佈建 IOPS(PIOPS) 數量的值篩選存取權。若要指示尚未PIOPS啟用的資料庫執行個體,請指定 0 | 數值 |
| rds:StorageEncrypted | 依指定是否加密資料庫執行個體儲存體的值來篩選存取權限。若要強制加密儲存體,請指定 true。 | Bool |
| rds:StorageSize | 依儲存磁碟區大小 (GB) 篩選存取權限 | 數值 |
| rds:TenantDatabaseName | 依 中的租戶資料庫名稱 CreateTenantDatabase 和 中的新租戶資料庫名稱篩選存取權 ModifyTenantDatabase | 字串 |
| rds:Vpc | 依指定資料庫執行個體是否在 Amazon Virtual Private Cloud (Amazon ) 中執行的值篩選存取權VPC。若要指示資料庫執行個體在 Amazon 中執行VPC,請指定 true | Bool |
| rds:cluster-pg-tag/${TagKey} | 依附加到資料庫叢集參數群組的標籤來篩選存取權限 | 字串 |
| rds:cluster-snapshot-tag/${TagKey} | 依附加到資料庫叢集快照的標籤來篩選存取權限 | 字串 |
| rds:cluster-tag/${TagKey} | 依附加到資料庫叢集的標籤來篩選存取權限 | 字串 |
| rds:db-tag/${TagKey} | 依附加到資料庫執行個體的標籤來篩選存取權限 | 字串 |
| rds:es-tag/${TagKey} | 依附加到事件訂閱的標籤篩選存取權限 | 字串 |
| rds:og-tag/${TagKey} | 依附加到資料庫選項群組的標籤來篩選存取權限 | 字串 |
| rds:pg-tag/${TagKey} | 依附加到資料庫參數群組的標籤來篩選存取權限 | 字串 |
| rds:req-tag/${TagKey} | 依限制可用來標記資源的一組標籤金鑰和值來篩選存取權限 | 字串 |
| rds:ri-tag/${TagKey} | 依附加到保留資料庫執行個體的標籤來篩選存取權限 | 字串 |
| rds:secgrp-tag/${TagKey} | 依附加到資料庫安全群組的標籤來篩選存取權限 | 字串 |
| rds:snapshot-tag/${TagKey} | 依附加到資料庫快照的標籤來篩選存取權限 | 字串 |
| rds:subgrp-tag/${TagKey} | 依附加至資料庫子網路群組的標籤來篩選存取權限 | 字串 |
