Amazon Aurora DSQL 的 AWS 托管式策略 - Amazon Aurora DSQL
AmazonAuroraDSQLFullAccessAmazonAuroraDSQLReadOnlyAccessAmazonAuroraDSQLConsoleFullAccessAuroraDSQLServiceRolePolicy策略更新

Amazon Aurora DSQL 的 AWS 托管式策略

AWS 托管式策略是由 AWS 创建和管理的独立策略。AWS 托管式策略旨在为许多常见使用场景提供权限,以便您可以开始为用户、组和角色分配权限。

请记住,AWS 托管策略可能不会为您的特定使用场景授予最低权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。

您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新在 AWS 托管策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 AWS 服务 启动或新的 API 操作可用于现有服务时,AWS 最有可能更新 AWS 托管策略。

有关更多信息,请参阅《IAM 用户指南》中的 AWS 托管策略

AWS 托管式策略:AmazonAuroraDSQLFullAccess

您可以将 AmazonAuroraDSQLFullAccess 附加到您的用户、组和角色。

此策略授予支持对 Aurora DSQL 进行完全管理访问的权限。拥有这些权限的主体可以创建、删除和更新 Aurora DSQL 集群,包括多区域集群。这些主体可以在集群中添加和移除标签。这些主体可以列出集群并查看有关各个集群的信息。这些主体可以查看附加到 Aurora DSQL 集群的标签。这些主体能够以任何用户(包括管理员)身份连接到数据库。这些主体可以对 Aurora DSQL 集群执行备份和还原操作,包括启动、停止以及监控备份和还原作业。策略包括 AWS KMS 权限,这些权限支持对用于集群加密的客户自主管理型密钥执行操作。这些主体可以在您的账户中查看来自 CloudWatch 的任何指标。这些主体还有权限为 dsql.amazonaws.com 服务创建服务相关角色,这是创建集群所必需的。

权限详细信息

该策略包含以下权限。

  • dsql:向主体授予对 Aurora DSQL 的完全访问权限。

  • cloudwatch:授予将指标数据点发布到 Amazon CloudWatch 的权限。

  • iam:授予创建服务相关角色的权限。

  • backup and restore:授予启动、停止和监控 Aurora DSQL 集群的备份和还原作业的权限。

  • kms:授予所需的权限,以便在创建、更新或连接到集群时,验证对用于 Aurora DSQL 集群加密的客户自主管理型密钥的访问权限。

您可以在 IAM 控制台上找到 AmazonAuroraDSQLFullAccess 策略,并在《AWS Managed Policy Reference Guide》中找到 AmazonAuroraDSQLFullAccess

AWS 托管式策略:AmazonAuroraDSQLReadOnlyAccess

您可以将 AmazonAuroraDSQLReadOnlyAccess 附加到您的用户、组和角色。

支持对 Aurora DSQL 进行读取访问。拥有这些权限的主体可以列出集群并查看有关各个集群的信息。这些主体可以查看附加到 Aurora DSQL 集群的标签。这些主体可以在您的账户中检索和查看来自 CloudWatch 的任何指标。

权限详细信息

该策略包含以下权限。

  • dsql:授予对 Aurora DSQL 中所有资源的只读权限。

  • cloudwatch:授予检索批量 CloudWatch 指标数据以及对检索到的数据执行指标数学运算的权限

您可以在 IAM 控制台上找到 AmazonAuroraDSQLReadOnlyAccess 策略,并在《AWS Managed Policy Reference Guide》中找到 AmazonAuroraDSQLReadOnlyAccess

AWS 托管式策略:AmazonAuroraDSQLConsoleFullAccess

您可以将 AmazonAuroraDSQLConsoleFullAccess 附加到您的用户、组和角色。

支持通过 AWS Management Console对 Amazon Aurora DSQL 进行完全管理访问。拥有这些权限的主体可以使用控制台创建、删除和更新 Aurora DSQL 集群,包括多区域集群。这些主体可以列出集群并查看有关各个集群的信息。这些主体可以看到您账户中任何资源的标签。这些主体能够以任何用户(包括管理员)身份连接到数据库。这些主体可以对 Aurora DSQL 集群执行备份和还原操作,包括启动、停止以及监控备份和还原作业。策略包括 AWS KMS 权限,这些权限支持对用于集群加密的客户自主管理型密钥执行操作。这些主体可以从 AWS Management Console启动 AWS CloudShell。这些主体可以在您的账户中查看来自 CloudWatch 的任何指标。这些主体还有权限为 dsql.amazonaws.com 服务创建服务相关角色,这是创建集群所必需的。

您可以在 IAM 控制台上找到 AmazonAuroraDSQLConsoleFullAccess 策略,并在《AWS Managed Policy Reference Guide》中找到 AmazonAuroraDSQLConsoleFullAccess

权限详细信息

该策略包含以下权限。

  • dsql:通过 AWS Management Console授予对 Aurora DSQL 中所有资源的完全管理权限。

  • cloudwatch:授予检索批量 CloudWatch 指标数据以及对检索到的数据执行指标数学运算的权限。

  • tag:授予权限,以返回当前在指定的 AWS 区域中用于调用账户的标签键和值。

  • backup and restore:授予启动、停止和监控 Aurora DSQL 集群的备份和还原作业的权限。

  • kms:授予所需的权限,以便在创建、更新或连接到集群时,验证对用于 Aurora DSQL 集群加密的客户自主管理型密钥的访问权限。

  • cloudshell:授予启动 AWS CloudShell 来与 Aurora DSQL 进行交互的权限。

  • ec2:授予查看 Aurora DSQL 连接所需的 Amazon VPC 端点信息的权限。

您可以在 IAM 控制台上找到 AmazonAuroraDSQLReadOnlyAccess 策略,并在《AWS Managed Policy Reference Guide》中找到 AmazonAuroraDSQLReadOnlyAccess

AWS 托管式策略:AuroraDSQLServiceRolePolicy

您无法将 AuroraDSQLServiceRolePolicy 策略附加至 IAM 实体。此策略附加至服务相关角色,该角色支持 Aurora DSQL 访问账户资源。

您可以在 IAM 控制台上找到 AuroraDSQLServiceRolePolicy 策略,并在《AWS Managed Policy Reference Guide》中找到 AuroraDSQLServiceRolePolicy

Aurora DSQL 对 AWS 托管式策略的更新

查看有关自此服务开始跟踪这些更改起,适用于 Aurora DSQL 的 AWS 托管式策略更新的详细信息。有关此页面更改的自动提醒,请订阅 Aurora DSQL 文档历史记录页面上的 RSS 源。

更改 描述 日期

AmazonAuroraDSQLFullAccess 更新

添加了对 Aurora DSQL 集群执行备份和还原操作的功能,包括启动、停止和监控作业。它还添加了使用客户自主管理型 KMS 密钥进行集群加密的功能。

有关更多信息,请参阅 AmazonAuroraDSQLFullAccess使用 Aurora DSQL 中的服务相关角色

 2025 年 5 月 21 日

AmazonAuroraDSQLConsoleFullAccess 更新

添加了通过 AWS Console Home对 Aurora DSQL 集群执行备份和还原操作的功能。这包括启动、停止和监控作业。它还支持使用客户自主管理型 KMS 密钥进行集群加密和启动 AWS CloudShell。

有关更多信息,请参阅 AmazonAuroraDSQLConsoleFullAccess使用 Aurora DSQL 中的服务相关角色

 2025 年 5 月 21 日
AmazonAuroraDSQLFullAccess 更新

该策略添加了四个新权限,用于跨多个 AWS 区域创建和管理数据库集群:PutMultiRegionPropertiesPutWitnessRegionAddPeerClusterRemovePeerCluster。这些权限包括资源级控制措施和条件键,因此您可以控制您可以修改哪些集群用户。

该策略还添加了 GetVpcEndpointServiceName 权限,有助于您通过 AWS PrivateLink 连接到 Aurora DSQL 集群。

有关更多信息,请参阅 AmazonAuroraDSQLFullAccess使用 Aurora DSQL 中的服务相关角色

 2025 年 5 月 13 日
AmazonAuroraDSQLReadOnlyAccess 更新 包括在通过 AWS PrivateLink 连接到 Aurora DSQL 集群时确定正确的 VPC 端点服务名称的功能。Aurora DSQL 为每个单元创建唯一的端点,因此,此 API 有助于确保您可以为集群识别正确的端点并避免连接错误。

有关更多信息,请参阅 AmazonAuroraDSQLReadOnlyAccess使用 Aurora DSQL 中的服务相关角色

 2025 年 5 月 13 日
AmazonAuroraDSQLConsoleFullAccess 更新 向 Aurora DSQL 添加新的权限,以支持多区域集群管理和 VPC 端点连接。新权限包括:PutMultiRegionPropertiesPutWitnessRegionAddPeerClusterRemovePeerClusterGetVpcEndpointServiceName

有关更多信息,请参阅 AmazonAuroraDSQLConsoleFullAccess使用 Aurora DSQL 中的服务相关角色

 2025 年 5 月 13 日
AuroraDsqlServiceLinkedRolePolicy 更新 向策略中添加了将指标发布到 AWS/AuroraDSQLAWS/Usage CloudWatch 命名空间的功能。这样,关联的服务或角色就可以向 CloudWatch 环境发送更全面的使用情况和性能数据。

有关更多信息,请参阅 AuroraDsqlServiceLinkedRolePolicy使用 Aurora DSQL 中的服务相关角色

 2025 年 5 月 8 日
页面已创建 已开始跟踪与 Amazon Aurora DSQL 相关的 AWS 托管式策略 2024 年 12 月 3 日