本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 授予 Amazon Aurora 藍/綠部署操作的存取權
<a name="blue-green-deployments-authorizing-access"></a>

使用者必須具有必要的許可，才能執行與藍/綠部署相關的操作。您可以建立 IAM 政策，許可使用者和角色對其需要的指定資源執行特定 API 操作。然後，您可以將這些政策連線至需要這些許可的 IAM 許可集或角色。如需詳細資訊，請參閱[Amazon Aurora 的 Identity and access management](UsingWithRDS.IAM.md)。

建立藍/綠部署的使用者必須具有執行下列 RDS 操作的許可：
+ `rds:CreateBlueGreenDeployment`
+ `rds:AddTagsToResource` 
+ `rds:CreateDBCluster` 
+ `rds:CreateDBInstance` 
+ `rds:CreateDBClusterEndpoint` 

切換藍/綠部署的使用者必須具有執行下列 RDS 操作的許可：
+ `rds:SwitchoverBlueGreenDeployment`
+ `rds:ModifyDBCluster` 
+ `rds:PromoteReadReplicaDBCluster` 

刪除藍/綠部署的使用者必須具有執行下列 RDS 操作的許可：
+ `rds:DeleteBlueGreenDeployment`
+ `rds:DeleteDBCluster` 
+ `rds:DeleteDBInstance` 
+ `rds:DeleteDBClusterEndpoint` 

Aurora 會代表您佈建和修改預備環境中的資源。這些資源包含使用內部定義命名慣例的資料庫執行個體。因此，連接的 IAM 政策不能包含部分資源名稱模式，例如 `my-db-prefix-*`。僅支援萬用字元 (\$1)。一般而言，建議使用資源標籤和其他支援的屬性 (而不是萬用字元)，來控制對這些資源的存取權。如需詳細資訊，請參閱[適用於 Amazon RDS 的動作、資源和條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrds.html)。

## Aurora Global Database 藍/綠部署的其他許可
<a name="blue-green-deployments-authorization-global"></a>

 為 Aurora Global Database 叢集建立藍/綠部署時，除了上述許可之外，使用者還需要下列許可才能執行 操作來管理全域叢集拓撲。

建立藍/綠部署的使用者必須具有執行下列 RDS 操作的許可：
+ `rds:CreateGlobalCluster`

切換藍/綠部署的使用者必須具有執行下列 RDS 操作的許可：
+ `rds:ModifyGlobalCluster`
+ `rds:PromoteReadReplicaDBCluster`

刪除藍/綠部署的使用者必須具有執行下列 RDS 操作的許可：
+ `rds:DeleteGlobalCluster`