# 授权访问 Amazon Aurora 蓝绿部署操作
<a name="blue-green-deployments-authorizing-access"></a>

用户必须具有所需的权限才能执行与蓝绿部署相关的操作。您可以创建 IAM policy，以便为用户和角色授予权限以对所需的指定资源执行特定的 API 操作。然后，可以将这些策略附加到需要这些权限的 IAM 权限集或角色。有关更多信息，请参阅 [Amazon Aurora 的 Identity and Access Management](UsingWithRDS.IAM.md)。

创建蓝绿部署的用户必须具有执行以下 RDS 操作的权限：
+ `rds:CreateBlueGreenDeployment`
+ `rds:AddTagsToResource` 
+ `rds:CreateDBCluster` 
+ `rds:CreateDBInstance` 
+ `rds:CreateDBClusterEndpoint` 

切换蓝绿部署的用户必须具有执行以下 RDS 操作的权限：
+ `rds:SwitchoverBlueGreenDeployment`
+ `rds:ModifyDBCluster` 
+ `rds:PromoteReadReplicaDBCluster` 

删除蓝绿部署的用户必须具有执行以下 RDS 操作的权限：
+ `rds:DeleteBlueGreenDeployment`
+ `rds:DeleteDBCluster` 
+ `rds:DeleteDBInstance` 
+ `rds:DeleteDBClusterEndpoint` 

Aurora 代表您预调配和修改暂存环境中的资源。这些资源包括使用内部定义命名约定的数据库实例。因此，附加的 IAM 策略不能包含部分资源名称模式，例如 `my-db-prefix-*`。仅支持通配符（\$1）。通常，我们建议使用资源标签和其它支持的属性来控制对这些资源的访问权限，而不是使用通配符。有关更多信息，请参阅 [Actions, resources, and condition keys for Amazon RDS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrds.html)。

## Aurora Global Database 蓝绿部署的其它权限
<a name="blue-green-deployments-authorization-global"></a>

 为 Aurora Global Database 集群创建蓝绿部署时，除了上面列出的权限外，用户还需要以下权限才能执行管理全局集群拓扑的操作。

创建蓝绿部署的用户必须具有执行以下 RDS 操作的权限：
+ `rds:CreateGlobalCluster`

切换蓝绿部署的用户必须具有执行以下 RDS 操作的权限：
+ `rds:ModifyGlobalCluster`
+ `rds:PromoteReadReplicaDBCluster`

删除蓝绿部署的用户必须具有执行以下 RDS 操作的权限：
+ `rds:DeleteGlobalCluster`