本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon RDS 的動作、資源和條件索引鍵
Amazon RDS (服務字首:rds) 提供下列服務特有的資源、動作和條件內容索引鍵,可用於 IAM 許可政策。
參考資料:
-
了解如何設定此服務。
-
檢視可供此服務使用的 API 操作清單。
-
了解如何使用 IAM 許可政策來保護此服務及其資源。
Amazon RDS 定義的動作
您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS中執行操作的許可。在政策中使用動作時,通常會允許或拒絕存取相同名稱的 API 操作或 CLI 命令。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。
動作資料表的存取層級欄說明動作的分類方式 (列出、讀取、許可管理或標記)。此分類可協助您了解在政策中使用某動作時,該動作授予您的存取層級。如需存取層級的詳細資訊,請參閱政策摘要中的存取層級。
「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型,則您可以在具有該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源,呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您使用 IAM 政策中的 Resource 元素限制資源存取,則每種必要的資源類型必須要有 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。
「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。
動作資料表的相依動作欄會顯示成功呼叫動作所需的其他許可。除了 動作本身的許可之外,還可能需要這些許可。當動作指定相依動作時,這些相依性可能適用於針對該動作定義的其他資源,而不只是資料表中列出的第一個資源。
注意
資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。
如需下表各欄的詳細資訊,請參閱動作資料表。
| 動作 | 描述 | 存取層級 | 資源類型 (*必填項目) | 條件索引鍵 | 相依動作 |
|---|---|---|---|---|---|
| AddRoleToDBCluster | 准許從 Aurora DB 叢集與 Identity and Access Management (IAM) 角色建立關聯 | 寫入 |
iam:PassRole |
||
| AddRoleToDBInstance | 准許將 AWS Identity and Access Management (IAM) 角色與資料庫執行個體建立關聯 | 寫入 |
iam:PassRole |
||
| AddSourceIdentifierToSubscription | 准許將來源 ID 新增至現有 RDS 事件通知訂閱 | 寫入 | |||
| AddTagsToResource | 准許將中繼資料標籤新增至 Amazon RDS 資源 | 標記 | |||
| ApplyPendingMaintenanceAction | 准許將擱置中維護動作套用至資源 | 寫入 | |||
| AuthorizeDBSecurityGroupIngress | 准許使用兩種授權形式的其中一種啟用 DBSecurityGroup | 許可管理 | |||
| BacktrackDBCluster | 准許將資料庫叢集回溯至特定時間,而不建立新的資料庫叢集 | 寫入 | |||
| CancelExportTask | 准許取消匯出進行中任務 | 寫入 | |||
| CopyCustomDBEngineVersion [僅限許可] | 准許複製自訂引擎版本 | 寫入 | |||
| CopyDBClusterParameterGroup | 准許複製指定 DB 叢集參數群組 | 寫入 |
rds:AddTagsToResource |
||
| CopyDBClusterSnapshot | 准許建立資料庫叢集快照 | 寫入 |
rds:AddTagsToResource |
||
| CopyDBParameterGroup | 准許複製指定 DB 參數群組 | 寫入 |
rds:AddTagsToResource |
||
| CopyDBSnapshot | 准許複製指定資料庫快照 | 寫入 |
rds:AddTagsToResource rds:CopyCustomDBEngineVersion |
||
| CopyOptionGroup | 准許複製指定選項群組 | 寫入 |
rds:AddTagsToResource |
||
| CreateBlueGreenDeployment | 准許為指定來源叢集或執行個體建立藍/綠部署 | 寫入 |
rds:AddTagsToResource rds:CreateDBCluster rds:CreateDBClusterEndpoint rds:CreateDBInstance rds:CreateDBInstanceReadReplica |
||
| CreateCustomDBEngineVersion | 准許建立自訂引擎版本 | 寫入 |
iam:CreateServiceLinkedRole mediaimport:CreateDatabaseBinarySnapshot rds:AddTagsToResource |
||
| CreateDBCluster | 准許建立新的資料庫叢集 | 寫入 |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateDBInstance secretsmanager:CreateSecret secretsmanager:TagResource |
||
| CreateDBClusterEndpoint | 准許建立新的自訂端點,並將其與 Amazon Aurora 資料庫叢集或 Amazon DocumentDB 叢集建立關聯 | 寫入 |
rds:AddTagsToResource |
||
| CreateDBClusterParameterGroup | 准許建立新資料庫叢集參數群組 | 寫入 |
rds:AddTagsToResource |
||
| CreateDBClusterSnapshot | 准許建立資料庫叢集快照 | 寫入 |
rds:AddTagsToResource |
||
| CreateDBInstance | 准許建立資料庫執行個體 | 寫入 |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateTenantDatabase secretsmanager:CreateSecret secretsmanager:TagResource |
||
| CreateDBInstanceReadReplica | 准許建立做為來源資料庫執行個體僅供讀取複本的資料庫執行個體 | 寫入 |
iam:PassRole rds:AddTagsToResource |
||
| CreateDBParameterGroup | 准許建立新資料庫參數群組 | 寫入 |
rds:AddTagsToResource |
||
| CreateDBProxy | 准許建立資料庫代理 | 寫入 |
iam:PassRole rds:AddTagsToResource |
||
| CreateDBProxyEndpoint | 准許建立資料庫代理端點 | 寫入 |
rds:AddTagsToResource |
||
| CreateDBSecurityGroup | 准許建立新資料庫安全群組 對資料庫執行個體的資料庫安全群組控制存取權限。 | 寫入 |
rds:AddTagsToResource |
||
| CreateDBShardGroup | 准許建立新的 Aurora 無限制資料庫資料庫碎片群組 | 寫入 |
rds:AddTagsToResource |
||
| CreateDBSnapshot | 准許建立 DBSnapshot | 寫入 |
rds:AddTagsToResource |
||
| CreateDBSubnetGroup | 准許建立新資料庫子網路群組 | 寫入 |
rds:AddTagsToResource |
||
| CreateEventSubscription | 准許建立 RDS 事件通知訂閱 | 寫入 |
rds:AddTagsToResource |
||
| CreateGlobalCluster | 准許建立跨多個區域的 Aurora 全域資料庫或 DocumentDB 全域資料庫 | 寫入 |
rds:AddTagsToResource |
||
| CreateIntegration | 准許建立與 Redshift 的 Aurora 零 ETL 整合 | 寫入 |
kms:CreateGrant kms:DescribeKey rds:AddTagsToResource |
||
| CreateOptionGroup | 准許建立新的選項群組 | 寫入 |
rds:AddTagsToResource |
||
| CreateTenantDatabase | 准許建立新的租戶資料庫 | 寫入 |
rds:AddTagsToResource |
||
| CrossRegionCommunication [僅限許可] | 准許在執行跨區域操作 (例如跨區域快照複製或跨區域僅供讀取複本建立) 時,存取遠端區域的資源 | 寫入 | |||
| DeleteBlueGreenDeployment | 准許刪除藍/綠部署 | 寫入 |
rds:DeleteDBCluster rds:DeleteDBClusterEndpoint rds:DeleteDBInstance rds:PromoteReadReplica rds:PromoteReadReplicaDBCluster |
||
| DeleteCustomDBEngineVersion | 准許刪除現有的自訂引擎版本 | 寫入 | |||
| DeleteDBCluster | 准許刪除先前佈建的叢集 | 寫入 |
rds:AddTagsToResource rds:CreateDBClusterSnapshot rds:DeleteDBInstance |
||
| DeleteDBClusterAutomatedBackup | 准許根據來源叢集的 DbClusterResourceID 值或可還原叢集的資源 ID 刪除叢集自動備份 | 寫入 | |||
| DeleteDBClusterEndpoint | 准許刪除自訂端點,並將其從 Amazon Aurora 資料庫叢集或 Amazon DocumentDB 叢集中移除 | 寫入 | |||
| DeleteDBClusterParameterGroup | 准許刪除指定資料庫叢集參數群組 | 寫入 | |||
| DeleteDBClusterSnapshot | 准許刪除資料庫叢集快照 | 寫入 | |||
| DeleteDBInstance | 准許刪除先前佈建的資料庫執行個體 | 寫入 |
rds:AddTagsToResource rds:CreateDBSnapshot rds:DeleteTenantDatabase |
||
| DeleteDBInstanceAutomatedBackup | 准許根據來源執行個體的 DbiResourceId 值,或可還原執行個體的資源 ID,來刪除自動備份 | 寫入 | |||
| DeleteDBParameterGroup | 准許刪除指定 DBParameterGroup | 寫入 | |||
| DeleteDBProxy | 准許刪除資料庫代理 | 寫入 | |||
| DeleteDBProxyEndpoint | 准許刪除資料庫代理端點 | 寫入 | |||
| DeleteDBSecurityGroup | 准許刪除資料庫安全群組 | 寫入 | |||
| DeleteDBShardGroup | 准許刪除 Aurora 無限制資料庫資料庫碎片群組 | 寫入 | |||
| DeleteDBSnapshot | 准許刪除 DBSnapshot | 寫入 | |||
| DeleteDBSubnetGroup | 准許刪除資料庫子網路群組 | 寫入 | |||
| DeleteEventSubscription | 准許刪除 RDS 事件通知訂閱 | 寫入 | |||
| DeleteGlobalCluster | 准許刪除全域資料庫叢集 | 寫入 | |||
| DeleteIntegration | 准許刪除與 Redshift 的 Aurora 零 ETL 整合 | 寫入 | |||
| DeleteOptionGroup | 准許刪除現有選項群組 | 寫入 | |||
| DeleteTenantDatabase | 准許刪除租戶資料庫 | 寫入 |
rds:AddTagsToResource rds:CreateDBSnapshot |
||
| DeregisterDBProxyTargets | 准許從資料庫代理目標群組移除目標 | 寫入 | |||
| DescribeAccountAttributes | 准許列出客戶帳戶的所有屬性 | 清單 | |||
| DescribeBlueGreenDeployments | 准許描述藍/綠部署 | 清單 | |||
| DescribeCertificates | 准許列出 Amazon RDS 為此提供的一組 CA 憑證 AWS 帳戶 | 清單 | |||
| DescribeDBClusterAutomatedBackups | 准許傳回目前和已刪除叢集的叢集自動備份清單 | 清單 | |||
| DescribeDBClusterBacktracks | 准許傳回資料庫叢集回溯相關資訊 | 列出 | |||
| DescribeDBClusterEndpoints | 准許傳回 Amazon Aurora 資料庫叢集端點的相關資訊 | 列出 | |||
| DescribeDBClusterParameterGroups | 准許傳回 DBClusterParameterGroup 的描述清單 | 列出 | |||
| DescribeDBClusterParameters | 准許傳回特定資料庫叢集參數群組的詳細參數清單 | 列出 | |||
| DescribeDBClusterSnapshotAttributes | 准許傳回手動資料庫叢集快照的資料庫叢集快照屬性名稱和值清單。 | 列出 | |||
| DescribeDBClusterSnapshots | 准許傳回資料庫叢集快照相關資訊 | 清單 | |||
| DescribeDBClusters | 准許傳回已佈建 Aurora 資料庫叢集或 DocumentDB 叢集的相關資訊 | 清單 | |||
| DescribeDBEngineVersions | 准許傳回可用資料庫引擎的清單 | 列出 | |||
| DescribeDBInstanceAutomatedBackups | 准許傳回目前和已刪除執行個體的自動備份清單 | 列出 | |||
| DescribeDBInstances | 准許傳回佈建 RDS 執行個體的相關資訊 | 列出 | |||
| DescribeDBLogFiles | 准許傳回資料庫執行個體的資料庫記錄檔清單 | 清單 | |||
| DescribeDBMajorEngineVersions | 准許傳回每個資料庫主要引擎版本的特定資訊 | 清單 | |||
| DescribeDBParameterGroups | 准許傳回 DBParameterGroup 描述清單 | 列出 | |||
| DescribeDBParameters | 准許傳回特定資料庫參數群組的詳細參數清單 | 列出 | |||
| DescribeDBProxies | 准許檢視代理 | 列出 | |||
| DescribeDBProxyEndpoints | 准許檢視代理端點 | 列出 | |||
| DescribeDBProxyTargetGroups | 准許檢視資料庫代理目標群組詳細資訊 | 列出 | |||
| DescribeDBProxyTargets | 准許檢視資料庫代理目標詳細資訊 | 清單 | |||
| DescribeDBRecommendations | 准許列出建議詳細資訊 | 清單 | |||
| DescribeDBSecurityGroups | 准許傳回 DBSecurityGroup 描述清單 | 清單 | |||
| DescribeDBShardGroups | 准許傳回此帳戶所有 Aurora 無限制資料庫資料庫碎片群組的相關資訊。您可以依碎片群組 (s) 進行篩選 | 清單 | |||
| DescribeDBSnapshotAttributes | 准許為手動資料庫快照傳回資料庫快照屬性名稱和值的清單。 | 清單 | |||
| DescribeDBSnapshotTenantDatabases | 准許傳回資料庫快照中有關租戶資料庫的資訊。您可以依區域或快照執行篩選 | 清單 | |||
| DescribeDBSnapshots | 准許傳回資料庫快照的相關資訊 | 列出 | |||
| DescribeDBSubnetGroups | 准許傳回 DBSubnetGroup 的描述清單 | 列出 | |||
| DescribeEngineDefaultClusterParameters | 准許傳回叢集資料庫引擎的預設引擎和系統參數資訊。 | 列出 | |||
| DescribeEngineDefaultParameters | 准許傳回指定資料庫引擎的預設引擎和系統參數資訊。 | 列出 | |||
| DescribeEventCategories | 准許顯示所有事件來源類型或特定來源類型 (如已指定) 的類別清單 | 列出 | |||
| DescribeEventSubscriptions | 准許列出客戶帳戶的所有訂閱描述 | 列出 | |||
| DescribeEvents | 准許傳回過去 14 天與資料庫執行個體、資料庫安全群組、資料庫快照和資料庫參數群組的相關事件 | 列出 | |||
| DescribeExportTasks | 准許傳回匯出任務的相關資訊 | 清單 | |||
| DescribeGlobalClusters | 准許傳回 Aurora 全域資料庫叢集或 DocumentDB 全域資料庫叢集的相關資訊 | 清單 | |||
| DescribeIntegrations | 准許描述與 Redshift 的 Aurora 零 ETL 整合 | 清單 | |||
| DescribeOptionGroupOptions | 准許描述所有可用選項 | 列出 | |||
| DescribeOptionGroups | 准許描述可用選項群組 | 列出 | |||
| DescribeOrderableDBInstanceOptions | 准許傳回指定引擎的可排序資料庫執行個體選項清單 | 列出 | |||
| DescribePendingMaintenanceActions | 准許傳回至少有一個待處理維護動作的資源清單 (例如,資料庫執行個體) | 清單 | |||
| DescribeRecommendationGroups [僅限許可] | 准許傳回建議群組的資訊 | 閱讀 | |||
| DescribeRecommendations [僅限許可] | 准許傳回建議的相關資訊 | 閱讀 | |||
| DescribeReservedDBInstances | 准許傳回此帳戶的預留資料庫執行個體或特定預留資料庫執行個體的相關資訊 | 列出 | |||
| DescribeReservedDBInstancesOfferings | 准許授予列出可用預留資料庫執行個體產品 | 清單 | |||
| DescribeSourceRegions | 准許傳回來源清單, AWS 區域 其中目前 AWS 區域 可以建立僅供讀取複本或從中複製資料庫快照 | 清單 | |||
| DescribeTenantDatabases | 准許傳回有關佈建租戶資料庫的資訊。您可以依區域或快照執行篩選 | 清單 | |||
| DescribeValidDBInstanceModifications | 准許列出您可以對資料庫執行個體進行的可用修改 | 清單 | |||
| DisableHttpEndpoint | 准許停用資料庫叢集的 HTTP 端點 | 寫入 | |||
| DownloadCompleteDBLogFile | 准許下載指定的日誌檔案 | 閱讀 | |||
| DownloadDBLogFilePortion | 准許下載全部或部分指定日誌檔案,大小上限為 1 MB | 閱讀 | |||
| EnableHttpEndpoint | 准許啟用資料庫叢集的 HTTP 端點 | 寫入 | |||
| FailoverDBCluster | 准許強制執行資料庫叢集容錯移轉 | 寫入 | |||
| FailoverGlobalCluster | 准許容錯移轉全域叢集 | 寫入 | |||
| ListTagsForResource | 准許列出 Amazon RDS 資源上所有標籤 | 閱讀 | |||
| ModifyActivityStream | 准許修改資料庫活動串流 | 寫入 | |||
| ModifyCertificates | 准許針對新資料庫執行個體的 Amazon RDS 修改系統預設 Secure Sockets Layer/Transport Layer Security (SSL/TLS) 憑證 | 寫入 | |||
| ModifyCurrentDBClusterCapacity | 准許修改 Amazon Aurora Serverless 資料庫叢集的目前叢集容量 | 寫入 | |||
| ModifyCustomDBEngineVersion | 准許修改現有的自訂引擎版本 | 寫入 | |||
| ModifyDBCluster | 准許修改 Amazon Aurora 資料庫叢集或 Amazon DocumentDB 叢集的設定 | 寫入 |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:ModifyDBInstance secretsmanager:CreateSecret secretsmanager:RotateSecret secretsmanager:TagResource |
||
| ModifyDBClusterEndpoint | 准許修改 Amazon Aurora 資料庫叢集或 Amazon DocumentDB 叢集中端點的屬性 | 寫入 | |||
| ModifyDBClusterParameterGroup | 准許修改資料庫叢集參數群組的參數 | 寫入 | |||
| ModifyDBClusterSnapshotAttribute | 准許在手動資料庫叢集快照中新增或移除屬性和值 | 寫入 | |||
| ModifyDBInstance | 准許修改資料庫執行個體設定 | 寫入 |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource rds:CreateTenantDatabase secretsmanager:CreateSecret secretsmanager:RotateSecret secretsmanager:TagResource |
||
| ModifyDBParameterGroup | 准許修改資料庫參數群組的參數 | 寫入 | |||
| ModifyDBProxy | 准許修改資料庫代理 | 寫入 |
iam:PassRole |
||
| ModifyDBProxyEndpoint | 准許修改資料庫代理端點 | 寫入 | |||
| ModifyDBProxyTargetGroup | 准許修改資料庫代理的目標群組 | 寫入 | |||
| ModifyDBRecommendation | 准許修改建議 | 寫入 | |||
| ModifyDBShardGroup | 准許修改 Aurora 無限制資料庫資料庫碎片群組的屬性 | 寫入 | |||
| ModifyDBSnapshot | 准許使用新引擎版本更新手動資料庫快照 (可加密或不加密) | 寫入 | |||
| ModifyDBSnapshotAttribute | 准許從手動資料庫快照中新增或移除屬性和值 | 寫入 | |||
| ModifyDBSubnetGroup | 准許修改現有資料庫子網路群組 | 寫入 | |||
| ModifyEventSubscription | 准許修改現有 RDS 事件通知訂閱 | 寫入 | |||
| ModifyGlobalCluster | 准許修改 Amazon Aurora 全域叢集或 Amazon DocumentDB 全域叢集的設定 | 寫入 | |||
| ModifyIntegration | 准許修改與 Redshift 的 Aurora 零 ETL 整合 | 寫入 | |||
| ModifyOptionGroup | 准許修改現有選項群組 | 寫入 |
iam:PassRole |
||
| ModifyRecommendation [僅限許可] | 准許修改建議 | 寫入 | |||
| ModifyTenantDatabase | 准許修改租戶資料庫 | 寫入 | |||
| PromoteReadReplica | 准許將僅供讀取複本資料庫執行個體升級為獨立資料庫執行個體 | 寫入 | |||
| PromoteReadReplicaDBCluster | 准許將僅供讀取複本資料庫叢集升級為獨立資料庫叢集 | 寫入 | |||
| PurchaseReservedDBInstancesOffering | 准許購買預留執行個體產品 | 寫入 |
rds:AddTagsToResource |
||
| RebootDBCluster | 准許重新啟動先前佈建的資料庫叢集 | 寫入 |
rds:RebootDBInstance |
||
| RebootDBInstance | 准許重新啟動資料庫引擎服務 | 寫入 | |||
| RebootDBShardGroup | 准許重新啟動 Aurora 無限制資料庫資料庫碎片群組 | 寫入 | |||
| RegisterDBProxyTargets | 准許將目標新增至資料庫代理目標群組 | 寫入 | |||
| RemoveFromGlobalCluster | 准許從 Aurora 全域資料庫叢集或 DocumentDB 全域叢集分離 Aurora 次要叢集 | 寫入 | |||
| RemoveRoleFromDBCluster | 准許取消 AWS Identity and Access Management (IAM) 角色與 Amazon Aurora 資料庫叢集的關聯 | 寫入 |
iam:PassRole |
||
| RemoveRoleFromDBInstance | 准許取消 AWS Identity and Access Management (IAM) 角色與資料庫執行個體的關聯 | 寫入 |
iam:PassRole |
||
| RemoveSourceIdentifierFromSubscription | 准許從現有 RDS 事件通知訂閱移除來源 ID | 寫入 | |||
| RemoveTagsFromResource | 准許將中繼資料標籤從 Amazon RDS 資源中移除 | 標記 | |||
| ResetDBClusterParameterGroup | 准許將資料庫叢集參數群組參數修改為預設值 | 寫入 | |||
| ResetDBParameterGroup | 准許修改資料庫參數群組參數為引擎/系統預設值 | 寫入 | |||
| RestoreDBClusterFromS3 | 准許從儲存在 Amazon S3 儲存貯體中的資料建立 Amazon Aurora 資料庫叢集 | 寫入 |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource secretsmanager:CreateSecret secretsmanager:TagResource |
||
| RestoreDBClusterFromSnapshot | 准許從資料庫叢集快照建立新資料庫叢集 | 寫入 |
iam:PassRole rds:AddTagsToResource rds:CreateDBInstance |
||
| RestoreDBClusterToPointInTime | 准許將資料庫叢集還原至任意時間點 | 寫入 |
iam:PassRole rds:AddTagsToResource rds:CreateDBInstance |
||
| RestoreDBInstanceFromDBSnapshot | 准許從資料庫快照建立新資料庫執行個體 | 寫入 |
iam:PassRole rds:AddTagsToResource rds:CreateTenantDatabase |
||
| RestoreDBInstanceFromS3 | 准許從 Amazon S3 儲存貯體建立新資料庫執行個體 | 寫入 |
iam:PassRole kms:CreateGrant kms:Decrypt kms:DescribeKey kms:GenerateDataKey rds:AddTagsToResource secretsmanager:CreateSecret secretsmanager:TagResource |
||
| RestoreDBInstanceToPointInTime | 准許將資料庫執行個體還原至任意時間點 | 寫入 |
iam:PassRole rds:AddTagsToResource rds:CreateTenantDatabase |
||
| RevokeDBSecurityGroupIngress | 准許針對之前授權的 IP 範圍或 EC2 或 VPC 安全群組,撤銷從 DBSecurityGroup 輸入 | 寫入 | |||
| StartActivityStream | 准許啟動活動串流 | 寫入 | |||
| StartDBCluster | 准許啟動資料庫叢集 | 寫入 | |||
| StartDBInstance | 准許啟動資料庫執行個體 | 寫入 | |||
| StartDBInstanceAutomatedBackupsReplication | 准許開始將自動備份複寫到不同的 AWS 區域 | 寫入 | |||
| StartExportTask | 准許啟動資料庫快照的新匯出任務 | 寫入 |
iam:PassRole |
||
| StopActivityStream | 准許停止活動串流 | 寫入 | |||
| StopDBCluster | 准許停止資料庫叢集 | 寫入 | |||
| StopDBInstance | 准許停止資料庫執行個體 | 寫入 |
rds:AddTagsToResource rds:CreateDBSnapshot |
||
| StopDBInstanceAutomatedBackupsReplication | 准許停止資料庫執行個體的自動備份複寫 | 寫入 | |||
| SwitchoverBlueGreenDeployment | 准許將藍/綠部署從來源執行個體或叢集切換至目標 | 寫入 |
rds:ModifyDBCluster rds:ModifyDBInstance rds:PromoteReadReplica rds:PromoteReadReplicaDBCluster |
||
| SwitchoverGlobalCluster | 准許轉換全域叢集 | 寫入 | |||
| SwitchoverReadReplica | 准許切換僅供讀取複本,使其成為新的主要資料庫 | 寫入 |
Amazon RDS 定義的資源類型
此服務會定義下列資源類型,並可用在 IAM 許可政策陳述式的 Resource 元素中。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊,請參閱資源類型資料表。
| 資源類型 | ARN | 條件索引鍵 |
|---|---|---|
| cluster |
arn:${Partition}:rds:${Region}:${Account}:cluster:${DbClusterInstanceName}
|
|
| shardgrp |
arn:${Partition}:rds:${Region}:${Account}:shard-group:${DbShardGroupResourceId}
|
|
| cluster-auto-backup |
arn:${Partition}:rds:${Region}:${Account}:cluster-auto-backup:${DbClusterAutomatedBackupId}
|
|
| auto-backup |
arn:${Partition}:rds:${Region}:${Account}:auto-backup:${DbInstanceAutomatedBackupId}
|
|
| cluster-endpoint |
arn:${Partition}:rds:${Region}:${Account}:cluster-endpoint:${DbClusterEndpoint}
|
|
| cluster-pg |
arn:${Partition}:rds:${Region}:${Account}:cluster-pg:${ClusterParameterGroupName}
|
|
| cluster-snapshot |
arn:${Partition}:rds:${Region}:${Account}:cluster-snapshot:${ClusterSnapshotName}
|
|
| db |
arn:${Partition}:rds:${Region}:${Account}:db:${DbInstanceName}
|
|
| es |
arn:${Partition}:rds:${Region}:${Account}:es:${SubscriptionName}
|
|
| global-cluster |
arn:${Partition}:rds::${Account}:global-cluster:${GlobalCluster}
|
|
| og |
arn:${Partition}:rds:${Region}:${Account}:og:${OptionGroupName}
|
|
| pg |
arn:${Partition}:rds:${Region}:${Account}:pg:${ParameterGroupName}
|
|
| proxy |
arn:${Partition}:rds:${Region}:${Account}:db-proxy:${DbProxyId}
|
|
| proxy-endpoint |
arn:${Partition}:rds:${Region}:${Account}:db-proxy-endpoint:${DbProxyEndpointId}
|
|
| ri |
arn:${Partition}:rds:${Region}:${Account}:ri:${ReservedDbInstanceName}
|
|
| secgrp |
arn:${Partition}:rds:${Region}:${Account}:secgrp:${SecurityGroupName}
|
|
| snapshot |
arn:${Partition}:rds:${Region}:${Account}:snapshot:${SnapshotName}
|
|
| subgrp |
arn:${Partition}:rds:${Region}:${Account}:subgrp:${SubnetGroupName}
|
|
| target-group |
arn:${Partition}:rds:${Region}:${Account}:target-group:${TargetGroupId}
|
|
| cev |
arn:${Partition}:rds:${Region}:${Account}:cev:${Engine}/${EngineVersion}/${CustomDbEngineVersionId}
|
|
| deployment |
arn:${Partition}:rds:${Region}:${Account}:deployment:${BlueGreenDeploymentIdentifier}
|
|
| integration |
arn:${Partition}:rds:${Region}:${Account}:integration:${IntegrationIdentifier}
|
|
| snapshot-tenant-database |
arn:${Partition}:rds:${Region}:${Account}:snapshot-tenant-database:${SnapshotName}:${TenantResourceId}
|
|
| tenant-database |
arn:${Partition}:rds:${Region}:${Account}:tenant-database:${TenantResourceId}
|
Amazon RDS 的條件索引鍵
Amazon RDS 定義了下列條件索引鍵,可用於 IAM 政策的 Condition 元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊,請參閱條件索引鍵表。
若要檢視所有 服務可用的全域條件索引鍵,請參閱AWS 全域條件內容索引鍵。
| 條件索引鍵 | 描述 | 類型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 依請求中的標籤鍵值對集篩選存取權 | 字串 |
| aws:ResourceTag/${TagKey} | 依連接到資源的標籤鍵值對集篩選存取權 | 字串 |
| aws:TagKeys | 依請求中的標籤索引鍵集篩選存取權 | ArrayOfString |
| rds:BackupTarget | 依備份目標類型篩選存取權。其中一個:region、outposts | String |
| rds:CopyOptionGroup | 依指定 CopyDBSnapshot 動作是否需要複製資料庫選項群組的值來篩選存取權 | Bool |
| rds:DatabaseClass | 依資料庫執行個體類別的類型篩選存取權限 | 字串 |
| rds:DatabaseEngine | 依資料庫引擎來篩選存取權限。如需可能的值,請參閱建立資料庫執行個體 API 中的引擎參數 | 字串 |
| rds:DatabaseName | 依資料庫執行個體上的資料庫使用者定義名稱來篩選存取權限。 | 字串 |
| rds:EndpointType | 依端點類型篩選存取權限。READER、WRITER、CUSTOM 的其中一個 | String |
| rds:ManageMasterUserPassword | 依指定 RDS 是否在資料庫執行個體或叢集的 AWS Secrets Manager 中管理主要使用者密碼的值篩選存取權 | Bool |
| rds:MultiAz | 依指定資料庫執行個體是否在多個可用區域中執行的值來篩選存取權限。若要表示資料庫執行個體正在使用異地同步備份,請指定 true。 | Bool |
| rds:Piops | 依包含執行個體支援之佈建 IOPS (PIOPS) 數目的值來篩選存取權限。若要表示未啟用 PIOPS 的資料庫執行個體,請指定 0。 | 數值 |
| rds:PubliclyAccessible | 依指定資料庫執行個體或資料庫 ShardGroup 是否可公開存取的值篩選存取權 | Bool |
| rds:StorageEncrypted | 依指定是否加密資料庫執行個體儲存體的值來篩選存取權限。若要強制加密儲存體,請指定 true。 | Bool |
| rds:StorageSize | 依儲存磁碟區大小 (GB) 篩選存取權限 | 數值 |
| rds:TenantDatabaseName | 依 CreateTenantDatabase 中的租戶資料庫名稱和 ModifyTenantDatabase 中的新租戶資料庫名稱篩選存取 | String |
| rds:Vpc | 依此值指定資料庫執行個體是否在 Amazon Virtual Private Cloud (Amazon VPC) 中執行來篩選存取權限。若要表示資料庫執行個體在 Amazon VPC 中執行,請指定 true。 | Bool |
| rds:cluster-pg-tag/${TagKey} | 依附加到資料庫叢集參數群組的標籤來篩選存取權限 | 字串 |
| rds:cluster-snapshot-tag/${TagKey} | 依附加到資料庫叢集快照的標籤來篩選存取權限 | 字串 |
| rds:cluster-tag/${TagKey} | 依附加到資料庫叢集的標籤來篩選存取權限 | 字串 |
| rds:db-tag/${TagKey} | 依附加到資料庫執行個體的標籤來篩選存取權限 | 字串 |
| rds:es-tag/${TagKey} | 依附加到事件訂閱的標籤篩選存取權限 | 字串 |
| rds:og-tag/${TagKey} | 依附加到資料庫選項群組的標籤來篩選存取權限 | 字串 |
| rds:pg-tag/${TagKey} | 依附加到資料庫參數群組的標籤來篩選存取權限 | 字串 |
| rds:req-tag/${TagKey} | 依限制可用來標記資源的一組標籤金鑰和值來篩選存取權限 | 字串 |
| rds:ri-tag/${TagKey} | 依附加到保留資料庫執行個體的標籤來篩選存取權限 | 字串 |
| rds:secgrp-tag/${TagKey} | 依附加到資料庫安全群組的標籤來篩選存取權限 | 字串 |
| rds:snapshot-tag/${TagKey} | 依附加到資料庫快照的標籤來篩選存取權限 | 字串 |
| rds:subgrp-tag/${TagKey} | 依附加至資料庫子網路群組的標籤來篩選存取權限 | 字串 |
