# Amazon Aurora DSQL の AWS マネージドポリシー
<a name="security-iam-awsmanpol"></a>



AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースに対してアクセス許可を提供するように設計されているため、ユーザー、グループ、ロールへのアクセス許可の割り当てを開始できます。

AWS マネージドポリシーは、ご利用の特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることにご注意ください。これは、すべての AWS ユーザーが使用できるようになるのを避けるためです。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。

AWS マネージドポリシーで定義されたアクセス許可は変更できません。AWS が AWS マネージドポリシーに定義されているアクセス許可を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS のサービス を起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。

詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。

 





## AWS マネージドポリシー: AmazonAuroraDSQLFullAccess
<a name="security-iam-awsmanpol-AmazonAuroraDSQLFullAccess"></a>



ユーザー、グループおよびロールに `AmazonAuroraDSQLFullAccess` をアタッチできます。

このポリシーは、Aurora DSQL への完全な管理アクセスを許可する許可を付与します。これらのアクセス許可を持つプリンシパルは、次のことができます。
+ マルチリージョンクラスターを含む Aurora DSQL クラスターの作成、削除、更新
+ クラスターのインラインポリシーの管理 (ポリシーの作成、表示、更新、削除)
+ クラスターのタグの追加または削除
+ クラスターの一覧表示と個別のクラスターに関する情報の表示
+ Aurora DSQL クラスターにアタッチされたタグの表示
+ 管理者を含む任意のユーザーでのデータベースへの接続
+ バックアップおよび復元ジョブの開始、停止、およびモニタリングを含む、Aurora DSQL クラスターのバックアップおよび復元操作の実行
+ クラスター暗号化へのカスタマーマネージド AWS KMS キーの使用
+ アカウントでの CloudWatch メトリクス (任意) の表示
+ AWS Fault Injection Service (AWS FIS) を使用した、フォールトトレランステストのための Aurora DSQL クラスターへの障害の挿入
+ クラスターの作成に必要な、`dsql.amazonaws.com` サービスにリンクされたロールの作成



**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。


+ `dsql` – プリンシパルに Aurora DSQL へのフルアクセスを付与します。
+ `cloudwatch` – メトリクスデータポイントを Amazon CloudWatch に発行する許可を付与します。
+ `iam` – サービスリンクロールを作成するアクセス許可を付与します。
+ `backup and restore` – Aurora DSQL クラスターのバックアップジョブと復元ジョブを開始、停止、およびモニタリングするアクセス許可を付与します。
+ `kms` – クラスターの作成、更新、または接続時に、Aurora DSQL クラスターの暗号化に使用されるカスタマーマネージドキーへのアクセス検証に必要なアクセス許可を付与します。
+ `fis` - AWS Fault Injection Service (AWS FIS) を使用し、フォールトトレランステストのために Aurora DSQL クラスターに障害を挿入するアクセス許可を付与する。

`AmazonAuroraDSQLFullAccess` ポリシーは IAM コンソール、および「[AWS Managed Policy Reference Guide](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAuroraDSQLFullAccess.html)」に記載されています。

## AWS マネージドポリシー: AmazonAuroraDSQLReadOnlyAccess
<a name="security-iam-awsmanpol-AmazonAuroraDSQLReadOnlyAccess"></a>



ユーザー、グループおよびロールに `AmazonAuroraDSQLReadOnlyAccess` をアタッチできます。

Aurora DSQL への読み取りアクセスを許可します。これらのアクセス許可を持つプリンシパルは、クラスターを一覧表示し、個々のクラスターに関する情報を表示できます。Aurora DSQL クラスターにアタッチされたタグを確認し、またクラスターのインラインポリシーを表示できます。アカウントの CloudWatch からメトリクスを取得して表示できます。



**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。




+ `dsql` – Aurora DSQL のすべてのリソースに読み取り専用アクセス許可を付与します。
+ `cloudwatch` – CloudWatch メトリクスデータのバッチ容量を取得し、取得したデータで Metric Math を行うアクセス許可を付与します。

`AmazonAuroraDSQLReadOnlyAccess` ポリシーは IAM コンソール、および「[AWS Managed Policy Reference Guide](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAuroraDSQLReadOnlyAccess.html)」に記載されています。

## AWS マネージドポリシー: AmazonAuroraDSQLConsoleFullAccess
<a name="security-iam-awsmanpol-AmazonAuroraDSQLConsoleFullAccess"></a>



ユーザー、グループおよびロールに `AmazonAuroraDSQLConsoleFullAccess` をアタッチできます。

AWS マネジメントコンソール経由で Amazon Aurora DSQL への完全な管理アクセスを許可します。これらのアクセス許可を持つプリンシパルは、次のことができます。
+ マルチリージョンクラスターを含む Aurora DSQL クラスターのコンソールでの作成、削除、更新
+ コンソールからのクラスターインラインポリシーの管理 (ポリシーの作成、表示、更新、削除)
+ クラスターの一覧表示と個別のクラスターに関する情報の表示
+ アカウントの任意のリソースのタグの表示
+ 管理者を含む任意のユーザーでのデータベースへの接続
+ バックアップおよび復元ジョブの開始、停止、およびモニタリングを含む、Aurora DSQL クラスターのバックアップおよび復元操作の実行
+ クラスター暗号化へのカスタマーマネージド AWS KMS キーの使用
+ AWS マネジメントコンソール からの AWS CloudShell の起動
+ アカウントの CloudWatch の任意のメトリクスの表示
+ AWS Fault Injection Service (AWS FIS) を使用した、フォールトトレランステストのための Aurora DSQL クラスターへの障害の挿入
+ クラスターの作成に必要な、`dsql.amazonaws.com` サービスにリンクされたロールの作成

`AmazonAuroraDSQLConsoleFullAccess` ポリシーは IAM コンソールに、[AmazonAuroraDSQLConsoleFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAuroraDSQLConsoleFullAccess.html) は AWS マネージドポリシーリファレンスガイドに記載されています。



**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。




+ `dsql` – AWS マネジメントコンソールを介して Aurora DSQL のすべてのリソースに完全な管理アクセス許可を付与します。
+ `cloudwatch` – CloudWatch メトリクスデータのバッチ容量を取得し、取得したデータで Metric Math を行うアクセス許可を付与します。
+ `tag` – 呼び出し元アカウントの指定された AWS リージョンで現在使用されているタグキーと値を返す許可を付与します。
+ `backup and restore` – Aurora DSQL クラスターのバックアップジョブと復元ジョブを開始、停止、およびモニタリングするアクセス許可を付与します。
+ `kms` – クラスターの作成、更新、または接続時に、Aurora DSQL クラスターの暗号化に使用されるカスタマーマネージドキーへのアクセス検証に必要なアクセス許可を付与します。
+ `cloudshell` – Aurora DSQL とやり取りするための AWS CloudShell を起動するアクセス許可を付与します。
+ `ec2` – Aurora DSQL 接続に必要な Amazon VPC エンドポイント情報を表示するアクセス許可を付与します。
+ `fis` - AWS FIS を使用し、フォールトトレランステストのために Aurora DSQL クラスターに障害を挿入するアクセス許可を付与する。
+ `access-analyzer:ValidatePolicy` は、ポリシーエディタのリンターのアクセス許可を付与し、これにより、現在のポリシーのエラー、警告、セキュリティの問題に関するリアルタイムのフィードバックが提供されます。
+ `fis` - AWS Fault Injection Service (AWS FIS) を使用し、フォールトトレランステストのために Aurora DSQL クラスターに障害を挿入するアクセス許可を付与する。

`AmazonAuroraDSQLConsoleFullAccess` ポリシーは IAM コンソール、および「[AWS Managed Policy Reference Guide](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonAuroraDSQLConsoleFullAccess.html)」に記載されています。

## AWS マネージドポリシー: AuroraDSQLServiceRolePolicy
<a name="security-iam-awsmanpol-AuroraDSQLServiceRolePolicy"></a>



AuroraDSQLServiceRolePolicy を IAM エンティティにアタッチすることはできません。このポリシーは、Aurora DSQL がアカウントリソースにアクセスすることを許可する、サービスにリンクされたロールにアタッチされます。

`AuroraDSQLServiceRolePolicy` ポリシーは IAM コンソールに、[AuroraDSQLServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AuroraDSQLServiceRolePolicy.html) は AWS マネージドポリシーリファレンスガイドに記載されています。





## AWS マネージドポリシーに対する Aurora DSQL の更新
<a name="security-iam-awsmanpol-updates"></a>



Aurora DSQL の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページの変更に関する自動通知については、Aurora DSQL ドキュメントの履歴ページの RSS フィードをサブスクライブしてください。




| 変更 | 説明 | 日付 | 
| --- | --- | --- | 
|  AmazonAuroraDSQLFullAccess および AmazonAuroraDSQLConsoleFullAccess の更新  |  Aurora DSQL との AWS Fault Injection Service (AWS FIS) 統合のサポートを追加しました。これにより、単一リージョンおよびマルチリージョンの Aurora DSQL クラスターに障害を挿入して、アプリケーションのフォールトトレランスをテストできます。AWS FIS コンソールで実験テンプレートを作成して障害シナリオを定義し、テスト用に特定の Aurora DSQL クラスターをターゲットにできます。 これらのポリシーの詳細については、「[AmazonAuroraDSQLFullAccess](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonAuroraDSQLFullAccess)」および「[AmazonAuroraDSQLConsoleFullAccess](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonAuroraDSQLConsoleFullAccess)」を参照してください。  | 2025 年 8 月 19 日 | 
|  AmazonAuroraDSQLFullAccess、AmazonAuroraDSQLReadOnlyAccess、AmazonAuroraDSQLConsoleFullAccess update  |  `PutClusterPolicy`、`GetClusterPolicy`、`DeleteClusterPolicy` の新しいアクセス許可を持つリソースベースのポリシー (RBP) サポートを追加しました。これらのアクセス許可により、Aurora DSQL クラスターにアタッチされたインラインポリシーを管理し、きめ細かなアクセスコントロールを行うことができます。 詳細については、「[AmazonAuroraDSQLFullAccess](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonAuroraDSQLFullAccess)」、「[AmazonAuroraDSQLReadOnlyAccess](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonAuroraDSQLReadOnlyAccess)」、「[AmazonAuroraDSQLConsoleFullAccess](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonAuroraDSQLConsoleFullAccess)」を参照してください。  | 2025 年 10 月 15 日 | 
|  AmazonAuroraDSQLFullAccess の更新  |  ジョブの開始、停止、モニタリングなど、Aurora DSQL クラスターのバックアップおよび復元オペレーションを実行する機能が追加されました。また、クラスター暗号化にカスタマーマネージド KMS キーを使用する機能も追加されています。 詳細については、「[AmazonAuroraDSQLFullAccess](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonAuroraDSQLFullAccess)」および「[Aurora DSQL でのサービスリンクロールの使用](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/working-with-service-linked-roles.html)」を参照してください。  | 2025 年 5 月 21 日 | 
|  AmazonAuroraDSQLConsoleFullAccess の更新  |  AWS Console Home を介して Aurora DSQL クラスターのバックアップおよび復元オペレーションを実行する機能を追加しました。これには、ジョブの開始、停止、モニタリングが含まれます。また、クラスターの暗号化と AWS CloudShell の起動にカスタマーマネージド KMS キーを使用することもサポートしています。 詳細については、「[AmazonAuroraDSQLConsoleFullAccess](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonAuroraDSQLConsoleFullAccess)」および「[Aurora DSQL でのサービスリンクロールの使用](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/working-with-service-linked-roles.html)」を参照してください。  | 2025 年 5 月 21 日 | 
| AmazonAuroraDSQLFullAccess の更新 |  このポリシーで、複数の AWS リージョンにまたがるデータベースクラスターを作成および管理するための 4 つの新しいアクセス許可 (`PutMultiRegionProperties`、`PutWitnessRegion`、`AddPeerCluster`、`RemovePeerCluster`) が追加されます。これらのアクセス許可には、リソースレベルのコントロールと条件キーが含まれ、どのクラスターユーザーを変更できるかを制御できます。 このポリシーで、AWS PrivateLink を介して Aurora DSQL クラスターに接続するのに役立つ `GetVpcEndpointServiceName` アクセス許可も追加されます。 詳細については、「[AmazonAuroraDSQLFullAccess](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonAuroraDSQLFullAccess)」および「[Using service-linked roles in Aurora DSQL](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/working-with-service-linked-roles.html)」を参照してください。  | 2025 年 5 月 13 日 | 
| AmazonAuroraDSQLReadOnlyAccess の更新 | AWS PrivateLink を介して Aurora DSQL クラスターに接続するときに正しい VPC エンドポイントサービス名を決定する機能が含まれます。Aurora DSQL はセルごとに一意のエンドポイントを作成するため、この API はクラスターの適切なエンドポイントを特定し、接続エラーを回避できます。詳細については、「[AmazonAuroraDSQLReadOnlyAccess](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonAuroraDSQLReadOnlyAccess)」および「[Using service-linked roles in Aurora DSQL](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/working-with-service-linked-roles.html)」を参照してください。 | 2025 年 5 月 13 日 | 
| AmazonAuroraDSQLConsoleFullAccess の更新 | Aurora DSQL に新しいアクセス許可を追加し、マルチリージョンクラスター管理と VPC エンドポイント接続をサポートします。新しいアクセス許可には以下が含まれます。PutMultiRegionProperties PutWitnessRegion AddPeerCluster RemovePeerCluster GetVpcEndpointServiceName詳細については、「[AmazonAuroraDSQLConsoleFullAccess](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonAuroraDSQLConsoleFullAccess)」および[「Using service-linked roles in Aurora DSQL](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/working-with-service-linked-roles.html)」を参照してください。 | 2025 年 5 月 13 日 | 
| AuroraDsqlServiceLinkedRolePolicy の更新 | ポリシーの AWS/AuroraDSQL および AWS/Usage CloudWatch ネームスペースにメトリクスを発行する機能を追加します。これにより、関連付けられたサービスまたはロールは、より包括的な使用状況とパフォーマンスデータを CloudWatch 環境に出力できます。詳細については、「[AuroraDsqlServiceLinkedRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AuroraDsqlServiceLinkedRolePolicy.html)」および「[Using service-linked roles in Aurora DSQL](https://docs.aws.amazon.com/aurora-dsql/latest/userguide/working-with-service-linked-roles.html)」を参照してください。 | 2025 年 5 月 8 日 | 
| ページの作成 | Amazon Aurora DSQL に関連する AWS マネージドポリシーの追跡を開始しました。 | 2024 年 12 月 3 日 |