Politiche di autorizzazione per creare, modificare ed eliminare risorse in RDS - Amazon Relational Database Service
Consenti a un utente di creare istanze DB in un account AWSConsentire a un utente di eseguire qualsiasi operazione Describe in qualsiasi risorsa RDSConsentire a un utente di creare un'istanza database che utilizza il gruppo parametri del database e il gruppo di sottorete specificatiConcedere l'autorizzazione per le operazioni su una risorsa con un tag specifico con due valori diversiImpedire a un utente di eliminare un'istanza databaseNegare tutti gli accessi a una risorsa

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Politiche di autorizzazione per creare, modificare ed eliminare risorse in RDS

Le seguenti sezioni presentano esempi di politiche di autorizzazione che concedono e limitano l'accesso alle risorse:

Consenti a un utente di creare istanze DB in un account AWS

Di seguito è riportato un esempio di politica che consente all'account con l'ID di 123456789012 creare istanze DB per il tuo AWS account. La policy richiede che il nome della nuova istanza database inizi con test. La nuova istanza database deve anche utilizzare il motore del database MySQL e la classe di istanza database db.t2.micro. Inoltre, la nuova istanza database deve utilizzare un gruppo di opzioni e un gruppo di parametri database che inizia con default, e deve utilizzare il gruppo di sottoreti default.

JSON
{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "AllowCreateDBInstanceOnly",
         "Effect": "Allow",
         "Action": [
            "rds:CreateDBInstance"
         ],
         "Resource": [
            "arn:aws:rds:*:123456789012:db:test*",
            "arn:aws:rds:*:123456789012:og:default*",
            "arn:aws:rds:*:123456789012:pg:default*",
            "arn:aws:rds:*:123456789012:subgrp:default"
         ],
         "Condition": {
            "StringEquals": {
               "rds:DatabaseEngine": "mysql",
               "rds:DatabaseClass": "db.t2.micro"
            }
         }
      }
   ]
}

La policy include una singola istruzione che specifica le autorizzazioni seguenti per l'utente :

  • La policy consente all'account di creare un'istanza DB utilizzando l'operazione Create DBInstance API (ciò vale anche per il create-db-instance AWS CLI comando e il AWS Management Console).

  • L'elemento Resource specifica che l'utente può eseguire azioni in o con altre risorse. Specifica le risorse usando Amazon Resource Name (ARN). Questo ARN include il nome del servizio a cui appartiene la risorsa (rds), la AWS regione (*indica qualsiasi regione in questo esempio), il numero di AWS account (123456789012è il numero di account in questo esempio) e il tipo di risorsa. Per ulteriori informazioni sulla creazione ARNs, vedereNomi di risorse Amazon (ARNs) in Amazon RDS.

    L'elemento Resource nell'esempio specifica i seguenti vincoli della policy sulle risorse per l'utente:

    • L'identificatore istanze DB per la nuova istanza database deve iniziare con test (per esempio, testCustomerData1, test-region2-data).

    • Il gruppo di opzioni per la nuova istanza database deve iniziare con default.

    • Il gruppo di parametri database per la nuova istanza database deve iniziare con default.

    • Il gruppo di sottoreti per la nuova istanza database deve essere il gruppo di sottoreti default.

  • L'elemento Condition specifica che il motore database deve essere MySQL e la classe di istanza database deve essere db.t2.micro. L'elemento Condition specifica le condizioni quando deve essere applicata una policy. È possibile aggiungere permessi o restrizioni aggiuntivi usando l'elemento Condition. Per ulteriori informazioni su come specificare le condizioni;, consulta Chiavi relative alle condizioni delle politiche per Amazon RDS. Questo esempio specifica le condizioni rds:DatabaseEngine e rds:DatabaseClass. Per informazioni sui valori delle condizioni validi perrds:DatabaseEngine, consultate l'elenco sotto il Engine parametro in Create DBInstance. Per informazioni sui valori di condizione validi per rds:DatabaseClass, consulta Motori DB supportati per classi di istanza database .

La policy non specifica l'elemento Principal poiché in una policy basata su identità l'entità che ottiene l'autorizzazione non viene specificata. Quando si collega una policy a un utente, quest'ultimo è l'entità implicita. Quando si collega una policy di autorizzazione a un ruolo IAM;, l'entità identificata nella policy di attendibilità del ruolo ottiene le autorizzazioni.

Per visualizzare un elenco di operazioni di Amazon RDS, consulta Operazioni definite da Amazon RDS nella Service Authorization Reference.

Consentire a un utente di eseguire qualsiasi operazione Describe in qualsiasi risorsa RDS

La seguente policy di autorizzazione concede a un utente le autorizzazioni per eseguire tutte le operazioni che iniziano con Describe. Queste operazioni riportano informazioni su una risorsa RDS, ad esempio un'istanza database. Il carattere jolly (*) nell'elemento Resource indica che le operazioni sono permesse per tutte le risorse Amazon RDS di proprietà dell'account.

JSON
{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "AllowRDSDescribe",
         "Effect": "Allow",
         "Action": "rds:Describe*",
         "Resource": "*"
      }
   ]
}

Consentire a un utente di creare un'istanza database che utilizza il gruppo parametri del database e il gruppo di sottorete specificati

La seguente policy di autorizzazioni concede le autorizzazioni per consentire a un utente di creare un'istanza database che deve usare il gruppo di parametri database mydbpg e il gruppo di sottorete DB mydbsubnetgroup.

JSON
{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "VisualEditor0",
         "Effect": "Allow",
         "Action": "rds:CreateDBInstance",
         "Resource": [
            "arn:aws:rds:*:*:pg:mydbpg",
            "arn:aws:rds:*:*:subgrp:mydbsubnetgroup"
         ]
      }
   ]
}

Concedere l'autorizzazione per le operazioni su una risorsa con un tag specifico con due valori diversi

Puoi utilizzare le condizioni nella policy basata sulle identità per controllare l'accesso alle risorse di Amazon RDS in base ai tag. La seguente policy concede l'autorizzazione per eseguire l'operazione API CreateDBSnapshot sulle istanze database con il tag stage impostato su development o test.

JSON
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"AllowAnySnapshotName",
         "Effect":"Allow",
         "Action":[
            "rds:CreateDBSnapshot"
         ],
         "Resource":"arn:aws:rds:*:123456789012:snapshot:*"
      },
      {
         "Sid":"AllowDevTestToCreateSnapshot",
         "Effect":"Allow",
         "Action":[
            "rds:CreateDBSnapshot"
         ],
         "Resource":"arn:aws:rds:*:123456789012:db:*",
         "Condition":{
            "StringEquals":{
                "rds:db-tag/stage":[
                  "development",
                  "test"
               ]
            }
         }
      }
   ]
}

La seguente policy concede l'autorizzazione per eseguire l'operazione API ModifyDBInstance sulle istanze database con il tag stage impostato su development o test.

JSON
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"AllowChangingParameterOptionSecurityGroups",
         "Effect":"Allow",
         "Action":[
            "rds:ModifyDBInstance"
         ],
         "Resource": [
            "arn:aws:rds:*:123456789012:pg:*",
            "arn:aws:rds:*:123456789012:secgrp:*",
            "arn:aws:rds:*:123456789012:og:*"
         ]
      },
      {
         "Sid":"AllowDevTestToModifyInstance",
         "Effect":"Allow",
         "Action":[
            "rds:ModifyDBInstance"
         ],
         "Resource":"arn:aws:rds:*:123456789012:db:*",
         "Condition":{
            "StringEquals":{
                "rds:db-tag/stage":[
                  "development",
                  "test"
               ]
            }
         }
      }
   ]
}

Impedire a un utente di eliminare un'istanza database

La seguente policy di autorizzazione assegna le autorizzazioni per impedire a un utente di eliminare un'istanza database specifica. Ad esempio, potresti voler negare la possibilità di eliminare le istanze database di produzione a qualsiasi utente che non sia un amministratore.

JSON
{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "DenyDelete1",
         "Effect": "Deny",
         "Action": "rds:DeleteDBInstance",
         "Resource": "arn:aws:rds:us-west-2:123456789012:db:my-mysql-instance"
      }
   ]
}

Negare tutti gli accessi a una risorsa

È anche possibile negare esplicitamente l'accesso a una risorsa. I criteri di negazione hanno la precedenza sui criteri di autorizzazione. La policy seguente nega esplicitamente a un utente la possibilità di gestire una risorsa:

JSON
{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Effect": "Deny",
         "Action": "rds:*",
         "Resource": "arn:aws:rds:us-east-1:123456789012:db:mydb"
      }
   ]
}