# Amazon Aurora DSQL 的 AWS 托管式策略
<a name="security-iam-awsmanpol"></a>



AWS 托管式策略是由 AWS 创建和管理的独立策略。AWS 托管式策略旨在为许多常见使用案例提供权限，以便您可以开始为用户、组和角色分配权限。

请记住，AWS 托管式策略可能不会为您的特定使用案例授予最低权限，因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。

您无法更改 AWS 托管式策略中定义的权限。如果 AWS 更新在 AWS 托管式策略中定义的权限，则更新会影响该策略所附加到的所有主体身份（用户、组和角色）。当新的 AWS 服务 启动或新的 API 操作可用于现有服务时，AWS 最有可能更新 AWS 托管式策略。

有关更多信息，请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

 





## AWS 托管式策略：AmazonAuroraDSQLFullAccess
<a name="security-iam-awsmanpol-AmazonAuroraDSQLFullAccess"></a>



您可以将 `AmazonAuroraDSQLFullAccess` 附加到您的用户、组和角色。

此策略授予支持对 Aurora DSQL 进行完全管理访问的权限。拥有这些权限的主体可以：
+ 创建、删除和更新 Aurora DSQL 集群，包括多区域集群
+ 管理集群内联策略（创建、查看、更新和删除策略）
+ 在集群中添加和移除标签
+ 列出集群并查看有关各个集群的信息
+ 查看附加到 Aurora DSQL 集群的标签
+ 以任何用户（包括管理员）身份连接到数据库
+ 对 Aurora DSQL 集群执行备份和还原操作，包括启动、停止以及监控备份和还原作业
+ 使用客户自主管理型 AWS KMS 密钥对集群加密
+ 查看其账户中来自 CloudWatch 的任何指标
+ 使用 AWS Fault Injection Service（AWS FIS）向 Aurora DSQL 集群注入故障，进行容错能力测试
+ 为 `dsql.amazonaws.com` 服务创建服务相关角色，这是创建集群所必需的



**权限详细信息**

该策略包含以下权限。


+ `dsql`：向主体授予对 Aurora DSQL 的完全访问权限。
+ `cloudwatch`：授予将指标数据点发布到 Amazon CloudWatch 的权限。
+ `iam`：授予创建服务相关角色的权限。
+ `backup and restore`：授予启动、停止和监控 Aurora DSQL 集群的备份和还原作业的权限。
+ `kms`：授予所需的权限，以便在创建、更新或连接到集群时，验证对用于 Aurora DSQL 集群加密的客户自主管理型密钥的访问权限。
+ `fis`：授予使用 AWS Fault Injection Service（AWS FIS）的权限，以便向 Aurora DSQL 集群注入故障，进行容错能力测试。

您可以在 IAM 控制台中和[《AWS Managed Policy Reference Guide》](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAuroraDSQLFullAccess.html)中找到 `AmazonAuroraDSQLFullAccess` 策略。

## AWS 托管式策略：AmazonAuroraDSQLReadOnlyAccess
<a name="security-iam-awsmanpol-AmazonAuroraDSQLReadOnlyAccess"></a>



您可以将 `AmazonAuroraDSQLReadOnlyAccess` 附加到您的用户、组和角色。

支持对 Aurora DSQL 进行读取访问。拥有这些权限的主体可以列出集群并查看有关各个集群的信息。这些主体可以查看附加到 Aurora DSQL 集群的标签，并查看集群内联策略。这些主体可以在您的账户中检索和查看来自 CloudWatch 的任何指标。



**权限详细信息**

该策略包含以下权限。




+ `dsql`：授予对 Aurora DSQL 中所有资源的只读权限。
+ `cloudwatch`：授予检索批量 CloudWatch 指标数据以及对检索到的数据执行指标数学运算的权限 

您可以在 IAM 控制台中和[《AWS Managed Policy Reference Guide》](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAuroraDSQLReadOnlyAccess.html)中找到 `AmazonAuroraDSQLReadOnlyAccess` 策略。

## AWS 托管式策略：AmazonAuroraDSQLConsoleFullAccess
<a name="security-iam-awsmanpol-AmazonAuroraDSQLConsoleFullAccess"></a>



您可以将 `AmazonAuroraDSQLConsoleFullAccess` 附加到您的用户、组和角色。

支持通过 AWS 管理控制台对 Amazon Aurora DSQL 进行完全管理访问。拥有这些权限的主体可以：
+ 使用控制台，创建、删除和更新 Aurora DSQL 集群，包括多区域集群
+ 通过控制台管理集群内联策略（创建、查看、更新和删除策略）
+ 列出集群并查看有关各个集群的信息
+ 查看您账户中任何资源的标签
+ 以任何用户（包括管理员）身份连接到数据库
+ 对 Aurora DSQL 集群执行备份和还原操作，包括启动、停止以及监控备份和还原作业
+ 使用客户自主管理型 AWS KMS 密钥对集群加密
+ 从 AWS 管理控制台启动 AWS CloudShell
+ 查看您账户中 CloudWatch 的所有指标
+ 使用 AWS Fault Injection Service（AWS FIS）向 Aurora DSQL 集群注入故障，进行容错能力测试
+ 为 `dsql.amazonaws.com` 服务创建服务相关角色，这是创建集群所必需的

您可以在 IAM 控制台上找到 `AmazonAuroraDSQLConsoleFullAccess` 策略，并在《AWS Managed Policy Reference Guide》中找到 [AmazonAuroraDSQLConsoleFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAuroraDSQLConsoleFullAccess.html)。



**权限详细信息**

该策略包含以下权限。




+ `dsql`：通过 AWS 管理控制台授予对 Aurora DSQL 中所有资源的完全管理权限。
+ `cloudwatch`：授予检索批量 CloudWatch 指标数据以及对检索到的数据执行指标数学运算的权限。
+ `tag`：授予权限，以返回当前在指定的 AWS 区域中用于调用账户的标签键和值。
+ `backup and restore`：授予启动、停止和监控 Aurora DSQL 集群的备份和还原作业的权限。
+ `kms`：授予所需的权限，以便在创建、更新或连接到集群时，验证对用于 Aurora DSQL 集群加密的客户自主管理型密钥的访问权限。
+ `cloudshell`：授予启动 AWS CloudShell 来与 Aurora DSQL 进行交互的权限。
+ `ec2`：授予查看 Aurora DSQL 连接所需的 Amazon VPC 端点信息的权限。
+ `fis`：授予使用 AWS FIS 的权限，以便向 Aurora DSQL 集群注入故障来进行容错能力测试。
+ `access-analyzer:ValidatePolicy` 在策略编辑器中授予对 linter 的权限，用于提供有关当前策略中错误、警告和安全问题的实时反馈。
+ `fis`：授予使用 AWS Fault Injection Service（AWS FIS）的权限，以便向 Aurora DSQL 集群注入故障，进行容错能力测试。

您可以在 IAM 控制台中和[《AWS Managed Policy Reference Guide》](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAuroraDSQLConsoleFullAccess.html)中找到 `AmazonAuroraDSQLConsoleFullAccess` 策略。

## AWS 托管式策略：AuroraDSQLServiceRolePolicy
<a name="security-iam-awsmanpol-AuroraDSQLServiceRolePolicy"></a>



您无法将 AuroraDSQLServiceRolePolicy 策略附加至 IAM 实体。此策略附加至服务相关角色，该角色支持 Aurora DSQL 访问账户资源。

您可以在 IAM 控制台上找到 `AuroraDSQLServiceRolePolicy` 策略，并在《AWS Managed Policy Reference Guide》中找到 [AuroraDSQLServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AuroraDSQLServiceRolePolicy.html)。





## Aurora DSQL 对 AWS 托管式策略的更新
<a name="security-iam-awsmanpol-updates"></a>



查看有关自此服务开始跟踪这些更改起，适用于 Aurora DSQL 的 AWS 托管式策略更新的详细信息。有关此页面更改的自动提醒，请订阅 Aurora DSQL 文档历史记录页面上的 RSS 源。




| 更改 | 描述 | 日期 | 
| --- | --- | --- | 
| AmazonAuroraDSQLFullAccess 和 AmazonAuroraDSQLConsoleFullAccess 更新 | 增加了对 AWS Fault Injection Service（AWS FIS）与 Aurora DSQL 集成的支持。通过此集成，您可以向单区域和多区域 Aurora DSQL 集群注入故障，来测试应用程序的容错能力。您可以在 AWS FIS 控制台中创建实验模板来定义故障场景，并针对特定 Aurora DSQL 集群进行测试。<br />有关这些策略的更多信息，请参阅 [AmazonAuroraDSQLFullAccess](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonAuroraDSQLFullAccess) 和 [AmazonAuroraDSQLConsoleFullAccess](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonAuroraDSQLConsoleFullAccess)。 | 2025 年 8 月 19 日 | 
| AmazonAuroraDSQLFullAccess、AmazonAuroraDSQLReadOnlyAccess 和 AmazonAuroraDSQLConsoleFullAccess 更新 | 添加了基于资源的策略（RBP）支持，新增了权限：`PutClusterPolicy`、`GetClusterPolicy` 和 `DeleteClusterPolicy`。这些权限支持管理附加到 Aurora DSQL 集群的内联策略，以实现精细的访问控制。<br />有关更多信息，请参阅 [AmazonAuroraDSQLFullAccess](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonAuroraDSQLFullAccess)、[AmazonAuroraDSQLReadOnlyAccess](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonAuroraDSQLReadOnlyAccess) 和 [AmazonAuroraDSQLConsoleFullAccess](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonAuroraDSQLConsoleFullAccess)。 | 2025 年 10 月 15 日 | 
| AmazonAuroraDSQLFullAccess 更新 | 添加了对 Aurora DSQL 集群执行备份和还原操作的功能，包括启动、停止和监控作业。它还添加了使用客户自主管理型 KMS 密钥进行集群加密的功能。<br />有关更多信息，请参阅 [AmazonAuroraDSQLFullAccess](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonAuroraDSQLFullAccess) 和[使用 Aurora DSQL 中的服务相关角色](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/working-with-service-linked-roles.html)。 | 2025 年 5 月 21 日 | 
| AmazonAuroraDSQLConsoleFullAccess 更新 | 添加了通过 AWS Console Home对 Aurora DSQL 集群执行备份和还原操作的功能。这包括启动、停止和监控作业。它还支持使用客户自主管理型 KMS 密钥进行集群加密和启动 AWS CloudShell。<br />有关更多信息，请参阅 [AmazonAuroraDSQLConsoleFullAccess](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonAuroraDSQLConsoleFullAccess) 和[使用 Aurora DSQL 中的服务相关角色](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/working-with-service-linked-roles.html)。 | 2025 年 5 月 21 日 | 
| AmazonAuroraDSQLFullAccess 更新 | 该策略添加了四个新权限，用于跨多个 AWS 区域创建和管理数据库集群：`PutMultiRegionProperties``PutWitnessRegion`、`AddPeerCluster` 和 `RemovePeerCluster`。这些权限包括资源级控制措施和条件键，因此您可以控制您可以修改哪些集群用户。<br />该策略还添加了 `GetVpcEndpointServiceName` 权限，有助于您通过 AWS PrivateLink 连接到 Aurora DSQL 集群。<br />有关更多信息，请参阅 [AmazonAuroraDSQLFullAccess](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonAuroraDSQLFullAccess) 和[使用 Aurora DSQL 中的服务相关角色](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/working-with-service-linked-roles.html)。 | 2025 年 5 月 13 日 | 
| AmazonAuroraDSQLReadOnlyAccess 更新 | 包括在通过 AWS PrivateLink 连接到 Aurora DSQL 集群时确定正确的 VPC 端点服务名称的功能。Aurora DSQL 为每个单元创建唯一的端点，因此，此 API 有助于确保您可以为集群识别正确的端点并避免连接错误。有关更多信息，请参阅 [AmazonAuroraDSQLReadOnlyAccess](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonAuroraDSQLReadOnlyAccess) 和[使用 Aurora DSQL 中的服务相关角色](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/working-with-service-linked-roles.html)。 | 2025 年 5 月 13 日 | 
| AmazonAuroraDSQLConsoleFullAccess 更新 | 向 Aurora DSQL 添加新的权限，以支持多区域集群管理和 VPC 端点连接。新权限包括：PutMultiRegionProperties、PutWitnessRegion、AddPeerCluster、RemovePeerCluster、GetVpcEndpointServiceName有关更多信息，请参阅 [AmazonAuroraDSQLConsoleFullAccess](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonAuroraDSQLConsoleFullAccess) 和[使用 Aurora DSQL 中的服务相关角色](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/working-with-service-linked-roles.html)。 | 2025 年 5 月 13 日 | 
| AuroraDsqlServiceLinkedRolePolicy 更新 | 向策略中添加了将指标发布到 AWS/AuroraDSQL 和 AWS/Usage CloudWatch 命名空间的功能。这样，关联的服务或角色就可以向 CloudWatch 环境发送更全面的使用情况和性能数据。有关更多信息，请参阅 [AuroraDsqlServiceLinkedRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AuroraDsqlServiceLinkedRolePolicy.html) 和[使用 Aurora DSQL 中的服务相关角色](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/working-with-service-linked-roles.html)。 | 2025 年 5 月 8 日 | 
| 页面已创建 | 已开始跟踪与 Amazon Aurora DSQL 相关的 AWS 托管式策略 | 2024 年 12 月 3 日 |