Politiques gérées par AWS pour Amazon Aurora DSQL
Une politique gérée par AWS est une politique autonome créée et administrée par AWS. Les politiques gérées par AWS sont conçues pour fournir des autorisations pour de nombreux cas d’utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
Gardez à l’esprit que les politiques gérées par AWS peuvent ne pas accorder les autorisations de moindre privilège pour vos cas d’utilisation spécifiques, car elles sont disponibles pour tous les clients AWS. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques gérées par AWS. Si AWS met à jour les autorisations définies dans une politique gérée par AWS, la mise à jour affecte toutes les identités de principal (utilisateurs, groupes et rôles) auxquelles la politique est associée. AWS est plus susceptible de mettre à jour une politique gérée par AWS lorsqu’un nouveau Service AWS est lancé ou lorsque de nouvelles opérations API deviennent accessibles pour les services existants.
Pour plus d’informations, consultez Politiques gérées par AWS dans le Guide de l’utilisateur IAM.
Politique gérée par AWS : AmazonAuroraDSQLFullAccess
Vous pouvez associer AmazonAuroraDSQLFullAccess à vos utilisateurs, groupes et rôles.
Cette politique accorde des autorisations offrant un accès administrateur complet à Aurora DSQL. Les principaux disposant de ces autorisations peuvent :
-
Créer, supprimer et mettre à jour des clusters Aurora DSQL, y compris des clusters multi-régions
-
Ajouter et supprimer des balises des clusters
-
Répertorier les clusters et afficher les informations sur les clusters individuels
-
Voir les balises associées aux clusters Aurora DSQL
-
Se connecter à la base de données en tant qu’utilisateur, y compris en tant qu’administrateur
-
Effectuer des opérations de sauvegarde et de restauration pour les clusters Aurora DSQL, y compris le démarrage, l’arrêt et la surveillance des tâches de sauvegarde et de restauration.
-
Utiliser des clés AWS KMS gérées par le client pour le chiffrement des clusters
-
Visualiser toutes les métriques de CloudWatch sur leur compte
-
Utiliser AWS Fault Injection Service (AWS FIS) pour injecter des défaillances dans les clusters Aurora DSQL à des fins de test de tolérance aux pannes
-
Créer des rôles liés au service pour le service
dsql.amazonaws.com, ce qui est nécessaire pour créer des clusters
Détails de l’autorisation
Cette politique inclut les autorisations suivantes.
-
dsql: accorde aux principaux un accès complet à Aurora DSQL. -
cloudwatch: accorde l’autorisation de publier des points de données de métrique sur Amazon CloudWatch. -
iam: accorde des autorisations pour créer un rôle lié à un service. -
backup and restore: accorde des autorisations pour démarrer, arrêter et surveiller les tâches de sauvegarde et de restauration pour les clusters Aurora DSQL. -
kms: accorde les autorisations requises pour valider l’accès aux clés gérées par le client utilisées pour le chiffrement des clusters Aurora DSQL lors de la création, de la mise à jour ou de la connexion à des clusters. -
fis: accorde les autorisations pour utiliser AWS Fault Injection Service (AWS FIS) pour injecter des défaillances dans les clusters Aurora DSQL à des fins de test de tolérance aux pannes.
Vous trouverez la politique AmazonAuroraDSQLFullAccess dans la console IAM et dans le Guide de référence de la politique gérée par AWS.
Politique gérée par AWS : AmazonAuroraDSQLReadOnlyAccess
Vous pouvez associer AmazonAuroraDSQLReadOnlyAccess à vos utilisateurs, groupes et rôles.
Permet l’accès en lecture à Aurora DSQL. Les principaux disposant de ces autorisations peuvent répertorier les clusters et consulter les informations relatives à des clusters individuels. Ils peuvent voir les balises associées aux clusters Aurora DSQL. Ils peuvent récupérer et consulter toutes les métriques de CloudWatch sur votre compte.
Détails de l’autorisation
Cette politique inclut les autorisations suivantes.
-
dsql: accorde des autorisations en lecture seule à toutes les ressources d’Aurora DSQL. -
cloudwatch: accorde l’autorisation de récupérer des lots de données métriques CloudWatch et d’utiliser des mathématiques appliquées aux métriques sur les données récupérées.
Vous trouverez la politique AmazonAuroraDSQLReadOnlyAccess dans la console IAM et dans le Guide de référence de la politique gérée par AWS.
Politique gérée par AWS : AmazonAuroraDSQLConsoleFullAccess
Vous pouvez associer AmazonAuroraDSQLConsoleFullAccess à vos utilisateurs, groupes et rôles.
Permet un accès administratif complet à Amazon Aurora DSQL via la AWS Management Console. Les principaux disposant de ces autorisations peuvent :
-
Créer, supprimer et mettre à jour des clusters Aurora DSQL, y compris des clusters multi-régions, avec la console
-
Répertorier les clusters et afficher les informations sur les clusters individuels
-
Afficher les balises de n’importe quelle ressource de votre compte
-
Se connecter à la base de données en tant qu’utilisateur, y compris en tant qu’administrateur
-
Effectuer des opérations de sauvegarde et de restauration pour les clusters Aurora DSQL, y compris le démarrage, l’arrêt et la surveillance des tâches de sauvegarde et de restauration.
-
Utiliser des clés AWS KMS gérées par le client pour le chiffrement des clusters
-
Lancer AWS CloudShell depuis la AWS Management Console
-
Visualiser toutes les métriques de CloudWatch sur votre compte
-
Utiliser AWS Fault Injection Service (AWS FIS) pour injecter des défaillances dans les clusters Aurora DSQL à des fins de test de tolérance aux pannes
-
Créer des rôles liés au service pour le service
dsql.amazonaws.com, ce qui est nécessaire pour créer des clusters
Détails de l’autorisation
Cette politique inclut les autorisations suivantes.
-
dsql: accorde des autorisations administratives complètes à toutes les ressources d’Aurora DSQL via la AWS Management Console. -
cloudwatch: accorde l’autorisation de récupérer des lots de données métriques CloudWatch et d’utiliser des mathématiques appliquées aux métriques sur les données récupérées. -
tag: accorde l’autorisation de renvoyer les clés et les valeurs de balise actuellement utilisées dans la Région AWS spécifiée pour le compte appelant. -
backup and restore: accorde des autorisations pour démarrer, arrêter et surveiller les tâches de sauvegarde et de restauration pour les clusters Aurora DSQL. -
kms: accorde les autorisations requises pour valider l’accès aux clés gérées par le client utilisées pour le chiffrement des clusters Aurora DSQL lors de la création, de la mise à jour ou de la connexion à des clusters. -
cloudshell: accorde les autorisations de lancement de AWS CloudShell pour interagir avec Aurora DSQL. -
ec2: accorde l’autorisation de consulter les informations relatives aux points de terminaison Amazon VPC nécessaires aux connexions Aurora DSQL. -
fis: accorde les autorisations pour utiliser AWS Fault Injection Service (AWS FIS) pour injecter des défaillances dans les clusters Aurora DSQL à des fins de test de tolérance aux pannes.
Vous trouverez la politique AmazonAuroraDSQLConsoleFullAccess dans la console IAM et dans le Guide de référence de la politique gérée par AWS.
Politique gérée par AWS : AuroraDSQLServiceRolePolicy
Vous ne pouvez pas associer AuroraDSQLServiceRolePolicy à vos entités IAM. Cette politique est associée à un rôle lié au service qui permet à Aurora DSQL d’accéder aux ressources du compte.
Vous trouverez la politique AuroraDSQLServiceRolePolicy dans la console IAM et AuroraDSQLServiceRolePolicy dans le Guide de référence de la politique gérée par AWS.
Aurora DSQL met à jour des politiques gérées par AWS
Consultez les détails des mises à jour des politiques par gérées AWS pour Aurora DSQL depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la Page historique du document Aurora DSQL.
| Modification | Description | Date |
|---|---|---|
|
Mise à jour d’AmazonAuroraDSQLFullAccess et d’AmazonAuroraDSQLConsoleFullAccess |
Ajout de la prise en charge de l’intégration AWS Fault Injection Service (AWS FIS) avec Aurora DSQL. Cela vous permet d’injecter des défaillances dans des clusters Aurora DSQL à une seule région ou multi-régions afin de tester la tolérance aux pannes de vos applications. Vous pouvez créer des modèles d’expérimentation dans la console AWS FIS pour définir des scénarios de défaillance et cibler des clusters Aurora DSQL spécifiques à des fins de test. Pour plus d’informations sur ces politiques, consultez AmazonAuroraDSQLFullAccess et AmazonAuroraDSQLConsoleFullAccess. |
19 août 2025 |
|
Mise à jour d’AmazonAuroraDSQLFullAccess |
Permet d’effectuer des opérations de sauvegarde et de restauration pour les clusters Aurora DSQL, y compris le démarrage, l’arrêt et la surveillance des tâches. Permet également d’utiliser des clés KMS gérées par le client pour le chiffrement des clusters. Pour plus d’informations, consultez AmazonAuroraDSQLFullAccess et Utilisation des rôles liés aux services dans Aurora DSQL. |
21 mai 2025 |
|
Mise à jour d’AmazonAuroraDSQLConsoleFullAccess |
Permet d’effectuer des opérations de sauvegarde et de restauration pour les clusters Aurora DSQL via l’AWS Console Home. Cela inclut le démarrage, l’arrêt et le suivi des tâches. Cela prend également en charge l’utilisation de clés KMS gérées par le client pour le chiffrement des clusters et le lancement d’AWS CloudShell. Pour plus d’informations, consultez AmazonAuroraDSQLConsoleFullAccess et Utilisation des rôles liés aux services dans Aurora DSQL. |
21 mai 2025 |
| Mise à jour d’AmazonAuroraDSQLFullAccess |
La politique ajoute quatre nouvelles autorisations pour créer et gérer des clusters de bases de données dans plusieurs Régions AWS : La politique ajoute également l’autorisation Pour plus d’informations, consultez AmazonAuroraDSQLFullAccess et Utilisation des rôles liés aux services dans Aurora DSQL. |
13 mai 2025 |
| Mise à jour d’AmazonAuroraDSQLReadOnlyAccess | Permet de déterminer le nom de service de point de terminaison d’un VPC correct lors de la connexion à vos clusters Aurora DSQL via AWS PrivateLink Aurora DSQL. Cela crée des points de terminaison uniques par cellule. Cette API vous permet donc d’identifier le point de terminaison approprié pour votre cluster et d’éviter les erreurs de connexion. Pour plus d’informations, consultez AmazonAuroraDSQLReadOnlyAccess et Utilisation des rôles liés aux services dans Aurora DSQL. |
13 mai 2025 |
| Mise à jour d’AmazonAuroraDSQLConsoleFullAccess | Ajout de nouvelles autorisations à Aurora DSQL pour prendre en charge la gestion de clusters multi-régions et la connexion des points de terminaison d’un VPC. Les nouvelles autorisations incluent : PutMultiRegionProperties PutWitnessRegion AddPeerCluster RemovePeerCluster GetVpcEndpointServiceName Pour plus d’informations, consultez AmazonAuroraDSQLConsoleFullAccess et Utilisation des rôles liés aux services dans Aurora DSQL. |
13 mai 2025 |
| Mise à jour d’AuroraDsqlServiceLinkedRolePolicy | Permet de publier des métriques sur les espaces de noms AWS/AuroraDSQL et AWS/Usage CloudWatch dans la politique. Cela permet au service ou au rôle associé d’émettre des données d’utilisation et de performance plus complètes vers votre environnement CloudWatch. Pour plus d’informations, consultez AuroraDsqlServiceLinkedRolePolicy et Utilisation des rôles liés aux services dans Aurora DSQL. |
8 mai 2025 |
| Page créée | A commencé à suivre les politiques gérées par AWS liées à Amazon Aurora DSQL | 3 décembre 2024 |
