AWS-verwaltete Richtlinien für Amazon RDS - Amazon Relational Database Service
AmazonRDSReadOnlyAccessAmazonRDSFullAccessAmazonRDSDataFullAccessAmazonRDSEnhancedMonitoringRoleAmazonRDSPerformanceInsightsReadOnlyAmazonRDSPerformanceInsightsFullAccessAmazonRDSDirectoryServiceAccessAmazonRDSServiceRolePolicyAmazonRDSCustomServiceRolePolicyAmazonRDSCustomInstanceProfileRolePolicyAmazonRDSPreviewServiceRolePolicyAmazonRDSBetaServiceRolePolicy

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS-verwaltete Richtlinien für Amazon RDS

Wenn Sie Berechtigungssätzen und Rollen Berechtigungen hinzufügen möchten, ist es einfacher, von AWS verwaltete Richtlinien zu verwenden, als selbst Richtlinien zu schreiben. Es erfordert Zeit und Fachwissen, um von Kunden verwaltete IAM-Richtlinien zu erstellen, die Ihrem Team nur die benötigten Berechtigungen bieten. Um schnell loszulegen, können Sie unsere von AWS verwalteten Richtlinien verwenden. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS-Konto verfügbar. Weitere Informationen zu verwalteten AWS-Richtlinien finden Sie unter Verwaltete AWS-Richtlinien im IAM-Leitfaden.

AWS-Services pflegen und aktualisieren AWS-verwaltete Richtlinien. Die Berechtigungen in von AWS verwalteten Richtlinien können nicht geändert werden. Services fügen einer von AWS verwalteten Richtlinien gelegentlich zusätzliche Berechtigungen hinzu, um neue Features zu unterstützen. Diese Art von Update betrifft alle Identitäten (Berechtigungssätze und Rollen), denen die Richtlinie angehängt ist. Services aktualisieren eine von AWS verwaltete Richtlinie am ehesten, ein neues Feature gestartet wird oder neue Vorgänge verfügbar werden. Services entfernen keine Berechtigungen aus einer von AWS verwalteten Richtlinie, so dass Richtlinien-Aktualisierungen Ihre vorhandenen Berechtigungen nicht beeinträchtigen.

Darüber hinaus unterstützt AWS verwaltete Richtlinien für Auftragsfunktionen, die mehrere Services umfassen. So bietet die AWS-verwaltete Richtlinie ReadOnlyAccess beispielsweise einen schreibgeschützten Zugriff auf alle AWS-Services und Ressourcen. Wenn ein Service ein neues Feature startet, fügt AWS schreibgeschützte Berechtigungen für neue Vorgänge und Ressourcen hinzu. Eine Liste und Beschreibungen der Richtlinien für Auftragsfunktionen finden Sie in Verwaltete AWS-Richtlinien für Auftragsfunktionen im IAM-Leitfaden.

Von AWS verwaltete Richtlinie: AmazonRDSReadOnlyAccess

Diese Richtlinie gewährt schreibgeschützten Zugriff auf Amazon RDS über die AWS-Managementkonsole.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • rds – Ermöglicht es Prinzipalen, Amazon-RDS-Ressourcen zu beschreiben und die Tags für Amazon-RDS-Ressourcen aufzulisten.

  • cloudwatch – Ermöglicht es Prinzipalen, Amazon-CloudWatch-Metrikstatistiken abzurufen.

  • ec2 – Ermöglicht es Prinzipalen, Availability Zones und Netzwerkressourcen zu beschreiben.

  • logs – Ermöglicht es Prinzipalen, Protokoll-Streams von CloudWatch Logs von Protokollgruppen zu beschreiben und CloudWatch-Logs-Protokollereignisse abzurufen.

  • devops-guru – Ermöglicht Prinzipalen, Ressourcen zu beschreiben, die über Abdeckung durch Amazon DevOps Guru verfügen, was entweder durch CloudFormation-Stacknamen oder Ressourcen-Tags angegeben wird.

Weitere Informationen zu dieser Richtlinie, einschließlich des JSON-Richtliniendokuments, finden Sie unter AmazonRDSReadOnlyAccess im Referenzleitfaden zur AWS-verwalteten Richtlinie.

Von AWS verwaltete Richtlinie: AmazonRDSFullAccess

Diese Richtlinie bietet Vollzugriff auf Amazon RDS über die AWS-Managementkonsole.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • rds – Ermöglicht Prinzipalen Vollzugriff auf alle Amazon RDS.

  • application-autoscaling – Ermöglicht es Prinzipalen, Ziele und Richtlinien zur Skalierung der automatischen Anwendungsskalierung zu beschreiben und zu verwalten.

  • cloudwatch – Ermöglicht es Prinzipalen, CloudWatch-Metrik-Statiken abzurufen und CloudWatch-Alarme zu verwalten.

  • ec2 – Ermöglicht es Prinzipalen, Availability Zones und Netzwerkressourcen zu beschreiben.

  • logs – Ermöglicht es Prinzipalen, Protokoll-Streams von CloudWatch Logs von Protokollgruppen zu beschreiben und CloudWatch-Logs-Protokollereignisse abzurufen.

  • outposts – Ermöglicht es Prinzipalen, AWS Outposts-Instance-Typen abzurufen.

  • pi – Ermöglicht es Prinzipalen, Performance-Insights-Metriken abzurufen.

  • sns – Ermöglicht es Prinzipalen, Amazon Simple Notification Service (Amazon SNS)-Abonnements und -Themen zu abonnieren und Amazon-SNS-Nachrichten zu veröffentlichen.

  • devops-guru – Ermöglicht Prinzipalen, Ressourcen zu beschreiben, die über Abdeckung durch Amazon DevOps Guru verfügen, was entweder durch CloudFormation-Stacknamen oder Ressourcen-Tags angegeben wird.

Weitere Informationen zu dieser Richtlinie, einschließlich des JSON-Richtliniendokuments, finden Sie unter AmazonRDSFullAccess im Referenzleitfaden zur AWS-verwalteten Richtlinie.

Von AWS verwaltete Richtlinie: AmazonRDSDataFullAccess

Diese Richtlinie erlaubt Vollzugriff, um die Daten-API und den Abfrage-Editor auf Aurora Serverless-Clustern in einem bestimmten AWS-Konto zu verwenden. Diese Richtlinie erlaubt dem AWS-Konto, den Wert eines Secrets von AWS Secrets Manager abzurufen.

Sie können die AmazonRDSDataFullAccess-Richtlinie an Ihre IAM-Identitäten anfügen.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • dbqms – Ermöglicht es Prinzipalen, auf Abfragen zuzugreifen, Abfragen zu erstellen, zu löschen, zu beschreiben und zu aktualisieren. Der Database Query Metadata Service (dbqms) ist ein reiner Dienst für interne Daten. Er stellt Ihre aktuellen und gespeicherten Abfragen für den Abfrage-Editor auf AWS-Managementkonsole für mehrere AWS-Services bereit, einschließlich Amazon RDS.

  • rds-data – Ermöglicht es Prinzipalen, SQL-Anweisungen in Aurora Serverless-Datenbanken auszuführen.

  • secretsmanager – Ermöglicht es Prinzipalen, den Wert eines Secrets von AWS Secrets Manager abzurufen.

Weitere Informationen zu dieser Richtlinie, einschließlich des JSON-Richtliniendokuments, finden Sie unter AmazonRDSDataFullAccess im Referenzleitfaden zur AWS-verwalteten Richtlinie.

Von AWS verwaltete Richtlinie: AmazonRDSEnhancedMonitoringRole

Diese Richtlinie ermöglicht den Zugriff auf Amazon CloudWatch Logs für Amazon RDS Enhanced Monitoring.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • logs – Ermöglicht es Prinzipalen, CloudWatch-Logs-Protokollgruppen und -Aufbewahrungsrichtlinien zu erstellen und CloudWatch-Logs-Protokollstreams von Protokollgruppen zu erstellen und zu beschreiben. Außerdem können Prinzipale, CloudWatch-Log-Protokollereignisse ablegen und abrufen.

Weitere Informationen zu dieser Richtlinie, einschließlich des JSON-Richtliniendokuments, finden Sie unter AmazonRDSEnhancedMonitoringRole im Referenzleitfaden zur AWS-verwalteten Richtlinie.

Von AWS verwaltete Richtlinie: AmazonRDSPerformanceInsightsReadOnly

Diese Richtlinie bietet schreibgeschützten Zugriff auf Erkenntnisse zur Amazon-RDS-Leistung für Amazon-RDS-DB-Instances und Amazon-Aurora-DB-Cluster.

Die Richtlinie enthält jetzt Sid (Anweisungs-ID) als Bezeichner für die Richtlinienanweisung.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • rds – Ermöglicht es Prinzipalen, Amazon-RDS-DB-Instances und Amazon-Aurora-DB-Cluster zu beschreiben.

  • pi – Ermöglicht es Prinzipalen, Aufrufe an die Amazon-RDS-Performance-Insights-API zu tätigen und auf Performance-Insights-Metriken zuzugreifen

Weitere Informationen zu dieser Richtlinie, einschließlich des JSON-Richtliniendokuments, finden Sie unter AmazonRDSPerformanceInsightsReadOnly im Referenzleitfaden zur AWS-verwalteten Richtlinie.

AWS-verwaltete Richtlinie: AmazonRDSPerformanceInsightsFullAccess

Diese Richtlinie bietet Vollzugriff auf Erkenntnisse zur Amazon-RDS-Leistung für DB-Instances von Amazon RDS und DB-Clustern von Amazon Aurora.

Die Richtlinie enthält jetzt Sid (Anweisungs-ID) als Bezeichner für die Richtlinienanweisung.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • rds – Ermöglicht es Prinzipalen, Amazon-RDS-DB-Instances und Amazon-Aurora-DB-Cluster zu beschreiben.

  • pi – Ermöglicht es Prinzipalen, die API von Erkenntnissen zur Amazon-RDS-Leistung aufzurufen und Leistungsanalyseberichte zu erstellen, anzusehen und zu löschen.

  • cloudwatch – Ermöglicht es Prinzipalen, alle Amazon-CloudWatch-Metriken aufzulisten sowie Metrikdaten  und Statistiken abzurufen.

Weitere Informationen zu dieser Richtlinie, einschließlich des JSON-Richtliniendokuments, finden Sie unter AmazonRDSPerformanceInsightsFullAccess im Referenzleitfaden zur AWS-verwalteten Richtlinie.

Von AWS verwaltete Richtlinie: AmazonRDSDirectoryServiceAccess

Diese Richtlinie ermöglicht es Amazon RDS, Aufrufe an Directory Service zu tätigen.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgende Berechtigung:

  • ds – Ermöglicht es Prinzipalen, Directory Service-Verzeichnisse zu beschreiben und die Autorisierung für Directory Service-Verzeichnisse zu kontrollieren.

Weitere Informationen zu dieser Richtlinie, einschließlich des JSON-Richtliniendokuments, finden Sie unter AmazonRDSDirectoryServiceAccess im Referenzleitfaden zur AWS-verwalteten Richtlinie.

Von AWS verwaltete Richtlinie: AmazonRDSServiceRolePolicy

Sie können die AmazonRDSServiceRolePolicy-Richtlinie Ihren IAM-Entitäten nicht anfügen. Diese Richtlinie ist mit einer servicegebundenen Rolle verknüpft, die es Amazon RDS ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter Berechtigungen von serviceverknüpften Rollen für Amazon RDS.

Von AWS verwaltete Richtlinie: AmazonRDSCustomServiceRolePolicy

Sie können die AmazonRDSCustomServiceRolePolicy-Richtlinie Ihren IAM-Entitäten nicht anfügen. Diese Richtlinie ist an eine servicegebundenen Rolle angefügt, die es Amazon RDS ermöglicht, AWS-Services im Namen Ihrer RDS-DB-Ressourcen durchzuführen.

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • ec2 – Ermöglicht RDS Custom die Durchführung von Backup-Vorgängen auf der DB-Instance, die Funktionen für die Wiederherstellung zu einem bestimmten Zeitpunkt (PITR) bietet.

  • secretsmanager – Ermöglicht RDS Custom die Verwaltung von DB-Instance-spezifischen Secrets, die von RDS Custom erstellt wurden.

  • cloudwatch – Ermöglicht RDS Custom, DB-Instance-Metriken und -Protokolle über den CloudWatch-Agent auf CloudWatch hochzuladen.

  • events, sqs – Ermöglicht RDS Custom das Senden und Empfangen von Statusinformationen über die DB-Instance.

  • cloudtrail – Ermöglicht RDS Custom, Änderungsereignisse über die DB-Instance zu empfangen.

  • servicequotas – Ermöglicht RDS Custom das Lesen von Service Quotas, die sich auf die DB-Instance beziehen.

  • ssm – Ermöglicht RDS Custom, die der DB-Instance zugrunde liegende EC2-Instance zu verwalten.

  • rds – Ermöglicht RDS Custom, RDS-Ressourcen für Ihre DB-Instance zu verwalten.

  • iam– Ermöglicht RDS Custom, das Instance-Profil zu validieren und an die einer DB-Instance zugrunde liegende EC2-Instance anzufügen.

Weitere Informationen zu dieser Richtlinie, einschließlich des JSON-Richtliniendokuments, finden Sie unter AmazonRDSCustomServiceRolePolicy im Referenzleitfaden zur AWS-verwalteten Richtlinie.

Von AWS verwaltete Richtlinie: AmazonRDSCustomInstanceProfileRolePolicy

Sie sollten AmazonRDSCustomInstanceProfileRolePolicy nicht an Ihre IAM-Entitäten anhängen. Eine Anfügung sollte nur an eine Instance-Profilrolle erfolgen, mit der Ihrer Amazon-RDS-Custom-DB-Instance Berechtigungen zur Durchführung verschiedener Automatisierungsaktionen und Datenbankverwaltungsaufgaben erteilt werden. Übergeben Sie das Instance-Profil während der Erstellung der benutzerdefinierten RDS-Instance als Parameter custom-iam-instance-profile, sodass RDS Custom dieses Instance-Profil Ihrer DB-Instance zuordnet.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • ssm,ssmmessages, ec2messages – Ermöglicht RDS Custom die Kommunikation, Ausführung der Automatisierung und Wartung von Agenten auf der DB-Instance über Systems Manager.

  • ec2, s3 – Ermöglicht RDS Custom die Durchführung von Backup-Vorgängen auf der DB-Instance, die Funktionen für die Wiederherstellung zu einem bestimmten Zeitpunkt (PITR) bietet.

  • secretsmanager – Ermöglicht RDS Custom die Verwaltung von DB-Instance-spezifischen Secrets, die von RDS Custom erstellt wurden.

  • cloudwatch, logs – Ermöglicht RDS Custom, DB-Instance-Metriken und -Protokolle über den CloudWatch-Agent auf CloudWatch hochzuladen.

  • events, sqs – Ermöglicht RDS Custom das Senden und Empfangen von Statusinformationen über die DB-Instance.

  • kms – Ermöglicht RDS Custom die Verwendung eines Instance-spezifischen KMS-Schlüssels zur Verschlüsselung von Secrets und S3-Objekten, die von RDS Custom verwaltet werden.

Weitere Informationen zu dieser Richtlinie, einschließlich des JSON-Richtliniendokuments, finden Sie unter AmazonRDSCustomInstanceProfileRolePolicy im Referenzleitfaden zu der von AWS verwalteten Richtlinie.

Von AWS verwaltete Richtlinie: AmazonRDSPreviewServiceRolePolicy

Sie sollten AmazonRDSPreviewServiceRolePolicy nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist an eine servicegebundenen Rolle angefügt, die es Amazon RDS ermöglicht, AWS-Services im Namen Ihrer RDS-DB-Ressourcen durchzuführen. Weitere Informationen finden Sie unter Serviceverknüpfte Rolle für Amazon RDS Preview.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • ec2 – Ermöglicht es Prinzipalen, Availability Zones und Netzwerkressourcen zu beschreiben.

  • secretsmanager – Ermöglicht es Prinzipalen, den Wert eines Secrets von AWS Secrets Manager abzurufen.

  • cloudwatch, logs – Ermöglicht Amazon RDS das Hochladen von DB-Instance-Metriken und -Protokollen über den CloudWatch-Agenten auf CloudWatch.

Weitere Informationen zu dieser Richtlinie, einschließlich des JSON-Richtliniendokuments, finden Sie unter AmazonRDSPreviewServiceRolePolicy im Referenzleitfaden zur AWS-verwalteten Richtlinie.

Von AWS verwaltete Richtlinie: AmazonRDSBetaServiceRolePolicy

Sie sollten AmazonRDSBetaServiceRolePolicy nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist an eine servicegebundenen Rolle angefügt, die es Amazon RDS ermöglicht, AWS-Services im Namen Ihrer RDS-DB-Ressourcen durchzuführen. Weitere Informationen finden Sie unter Serviceverknüpfte Rollenberechtigungen für Amazon RDS Beta.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen:

  • ec2 – Ermöglicht Amazon RDS die Durchführung von Backup-Vorgängen auf der DB-Instance, die Funktionen für die Wiederherstellung zu einem bestimmten Zeitpunkt (PITR) bietet.

  • secretsmanager – Ermöglicht Amazon RDS die Verwaltung von DB-Instance-spezifischen Secrets, die von Amazon RDS erstellt wurden.

  • cloudwatch, logs – Ermöglicht Amazon RDS das Hochladen von DB-Instance-Metriken und -Protokollen über den CloudWatch-Agenten auf CloudWatch.

Weitere Informationen zu dieser Richtlinie, einschließlich des JSON-Richtliniendokuments, finden Sie unter AmazonRDSBetaServiceRolePolicy im Referenzleitfaden zur AWS-verwalteten Richtlinie.