# AWS适用于 Amazon RDS 的 托管式策略
要向权限集和角色添加权限,与自己编写策略相比,使用 AWS 托管式策略更简单。创建仅为团队提供所需权限的 [IAM 客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要时间和专业知识。要快速入门,您可以使用我们的 AWS 托管策略。这些策略涵盖常见使用案例,可在您的 AWS 账户 中使用。有关 AWS 托管策略的更多信息,请参阅*《IAM 用户指南》*中的[AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服务 负责维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管式策略添加额外权限以支持新特征。此类型的更新会影响附加了策略的所有身份(权限集和角色)。当启动新特征或新操作可用时,服务最有可能会更新 AWS 托管式策略。服务不会从 AWS 托管式策略中删除权限,因此策略更新不会破坏您的现有权限。
此外,AWS还支持跨多种服务的工作职能的托管式策略。例如,`ReadOnlyAccess` AWS 托管式策略提供对许多 AWS 服务和资源的只读访问权限。当服务启动新特征时,AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅《IAM 用户指南》**中的[适用于工作职能的 AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
**Topics**
+ [AWS 托管式策略:AmazonRDSReadOnlyAccess](#rds-security-iam-awsmanpol-AmazonRDSReadOnlyAccess)
+ [AWS 托管式策略:AmazonRDSFullAccess](#rds-security-iam-awsmanpol-AmazonRDSFullAccess)
+ [AWS 托管式策略:AmazonRDSDataFullAccess](#rds-security-iam-awsmanpol-AmazonRDSDataFullAccess)
+ [AWS 托管式策略:AmazonRDSEnhancedMonitoringRole](#rds-security-iam-awsmanpol-AmazonRDSEnhancedMonitoringRole)
+ [AWS 托管式策略:AmazonRDSPerformanceInsightsReadOnly](#rds-security-iam-awsmanpol-AmazonRDSPerformanceInsightsReadOnly)
+ [AWS 托管式策略:AmazonRDSPerformanceInsightsFullAccess](#rds-security-iam-awsmanpol-AmazonRDSPerformanceInsightsFullAccess)
+ [AWS 托管式策略:AmazonRDSDirectoryServiceAccess](#rds-security-iam-awsmanpol-AmazonRDSDirectoryServiceAccess)
+ [AWS 托管式策略:AmazonRDSServiceRolePolicy](#rds-security-iam-awsmanpol-AmazonRDSServiceRolePolicy)
+ [AWS 托管式策略:AmazonRDSCustomServiceRolePolicy](#rds-security-iam-awsmanpol-AmazonRDSCustomServiceRolePolicy)
+ [AWS 托管式策略:AmazonRDSCustom实例ProfileRolePolicy](#rds-security-iam-awsmanpol-AmazonRDSCustomInstanceProfileRolePolicy)
+ [AWS 托管式策略:AmazonRDSPreviewServiceRolePolicy](#rds-security-iam-awsmanpol-AmazonRDSPreviewServiceRolePolicy)
+ [AWS 托管式策略:AmazonRDSBetaServiceRolePolicy](#rds-security-iam-awsmanpol-AmazonRDSBetaServiceRolePolicy)
## AWS 托管式策略:AmazonRDSReadOnlyAccess
此策略允许通过 AWS 管理控制台 对 Amazon RDS 进行只读访问。
**权限详细信息**
该策略包含以下权限:
+ `rds` – 允许主体描述 Amazon RDS 资源并列出 Amazon RDS 资源的标签。
+ `cloudwatch` – 允许主体获取 Amazon CloudWatch 指标统计数据。
+ `ec2` – 可让主体描述可用区和网络资源。
+ `logs` – 允许主体描述日志组的 CloudWatch Logs 日志流,并获取 CloudWatch Logs 日志事件。
+ `devops-guru` – 允许主体描述具有 Amazon DevOps Guru 覆盖范围的资源,该覆盖范围由 CloudFormation 堆栈名称或资源标签指定。
有关此策略的更多信息,包括 JSON 策略文档,请参阅《AWS 托管式策略参考指南》**中的 [AmazonRDSReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRDSReadOnlyAccess.html)。
## AWS 托管式策略:AmazonRDSFullAccess
此策略通过 AWS 管理控制台 提供了对 Amazon RDS 的完全访问权限。
**权限详细信息**
该策略包含以下权限:
+ `rds` – 允许主体完全访问 Amazon RDS。
+ `application-autoscaling` – 允许主体描述和管理 Application Auto Scaling 扩展目标和策略。
+ `cloudwatch` – 允许主体获取 CloudWatch 指标统计数据并管理 CloudWatch 警报。
+ `ec2` – 可让主体描述可用区和网络资源。
+ `logs` – 允许主体描述日志组的 CloudWatch Logs 日志流,并获取 CloudWatch Logs 日志事件。
+ `outposts` – 允许主体获取 AWS Outposts 实例类型。
+ `pi` – 允许主体获取 Performance Insights 指标。
+ `sns` – 允许主体访问 Amazon Simple Notification Service (Amazon SNS) 订阅和主题,并发布 Amazon SNS 消息。
+ `devops-guru` – 允许主体描述具有 Amazon DevOps Guru 覆盖范围的资源,该覆盖范围由 CloudFormation 堆栈名称或资源标签指定。
有关此策略的更多信息,包括 JSON 策略文档,请参阅《AWS 托管式策略参考指南》**中的 [AmazonRDSFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRDSFullAccess.html)。
## AWS 托管式策略:AmazonRDSDataFullAccess
此策略提供完全访问权限,允许在特定 AWS 账户中的 Aurora Serverless 集群上使用 Data API 和查询编辑器。此策略允许 AWS 账户从 AWS Secrets Manager 获取密钥的值。
您可以将 `AmazonRDSDataFullAccess` 策略附加到 IAM 身份。
**权限详细信息**
该策略包含以下权限:
+ `dbqms` – 允许主体访问、创建、删除、描述和更新查询。Database Query Metadata Service (`dbqms`) 是一项仅限内部使用的服务。它为 AWS 管理控制台 上多项 AWS 服务(包括 Amazon RDS)提供查询编辑器最近的和保存的查询。
+ `rds-data` – 允许主体在 Aurora Serverless 数据库上运行 SQL 语句。
+ `secretsmanager` – 允许主体从 获取密钥的值。AWS Secrets Manager
有关此策略的更多信息,包括 JSON 策略文档,请参阅《AWS 托管式策略参考指南》**中的 [AmazonRDSDataFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRDSDataFullAccess.html)。
## AWS 托管式策略:AmazonRDSEnhancedMonitoringRole
此策略提供了对 Amazon CloudWatch Logs 的访问权限,支持 Amazon RDS 增强监控。
**权限详细信息**
该策略包含以下权限:
+ `logs` – 允许主体创建 CloudWatch Logs 日志组和保留策略,并创建和描述日志组的 CloudWatch Logs 日志流。它还允许主体放置和获取 CloudWatch Logs 日志事件。
有关此策略的更多信息,包括 JSON 策略文档,请参阅《AWS 托管式策略参考指南》**中的 [AmazonRDSEnhancedMonitoringRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRDSEnhancedMonitoringRole.html)。
## AWS 托管式策略:AmazonRDSPerformanceInsightsReadOnly
此策略提供了对 Amazon RDS Performance Insights 的只读访问权限,用于处理 Amazon RDS 数据库实例和 Amazon Aurora 数据库集群。
此策略现在包含 `Sid`(语句 ID)作为策略语句的标识符。
**权限详细信息**
该策略包含以下权限:
+ `rds` – 允许主体描述 Amazon RDS 数据库实例和 Amazon Aurora 数据库集群。
+ `pi` – 允许主体调用 Amazon RDS Performance Insights API 并访问 Performance Insights 指标。
有关此策略的更多信息,包括 JSON 策略文档,请参阅《AWS 托管式策略参考指南》**中的 [AmazonRDSPerformanceInsightsReadOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRDSPerformanceInsightsReadOnly.html)。
## AWS 托管式策略:AmazonRDSPerformanceInsightsFullAccess
此策略提供了对 Amazon RDS 性能详情的完全访问权限,用于处理 Amazon RDS 数据库实例和 Amazon Aurora 数据库集群。
此策略现在包含 `Sid`(语句 ID)作为策略语句的标识符。
**权限详细信息**
该策略包含以下权限:
+ `rds` – 允许主体描述 Amazon RDS 数据库实例和 Amazon Aurora 数据库集群。
+ `pi` – 允许主体调用 Amazon RDS 性能详情 API,以及创建、查看和删除性能分析报告。
+ `cloudwatch` – 允许主体列出所有 Amazon CloudWatch 指标,并获取指标数据和统计数据。
有关此策略的更多信息,包括 JSON 策略文档,请参阅《AWS 托管式策略参考指南》**中的 [AmazonRDSPerformanceInsightsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRDSPerformanceInsightsFullAccess.html)。
## AWS 托管式策略:AmazonRDSDirectoryServiceAccess
此策略允许 Amazon RDS 调用 Directory Service。
**权限详细信息**
此策略包含以下权限:
+ `ds` – 允许主体描述 Directory Service 目录并控制对 Directory Service 目录的授权。
有关此策略的更多信息,包括 JSON 策略文档,请参阅《AWS 托管式策略参考指南》**中的 [AmazonRDSDirectoryServiceAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRDSDirectoryServiceAccess.html)。
## AWS 托管式策略:AmazonRDSServiceRolePolicy
您不能将 `AmazonRDSServiceRolePolicy` 策略附加到您的 IAM 实体。此附加到服务相关角色的策略允许 Amazon RDS 代表您执行操作。有关更多信息,请参阅 [Amazon RDS 的服务相关角色权限](UsingWithRDS.IAM.ServiceLinkedRoles.md#service-linked-role-permissions)。
## AWS 托管式策略:AmazonRDSCustomServiceRolePolicy
您不能将 `AmazonRDSCustomServiceRolePolicy` 策略附加到您的 IAM 实体。此策略附加到一个服务相关角色,该角色支持 Amazon RDS 代表 RDS 数据库资源调用 AWS 服务。
该策略包含以下权限:
+ `ec2` - 支持 RDS Custom 在提供时间点还原功能的数据库实例上执行备份操作。
+ `secretsmanager` - 允许 RDS Custom 管理由 RDS Custom 创建的数据库实例特定密钥。
+ `cloudwatch` - 支持 RDS Custom 通过 CloudWatch 代理将数据库实例指标和日志上传到 CloudWatch。
+ `events`、`sqs` - 允许 RDS Custom 发送和接收有关数据库实例的状态信息。
+ `cloudtrail`:支持 RDS Custom 接收有关数据库实例的更改事件
+ `servicequotas`:支持 RDS Custom 读取与数据库实例相关的服务配额
+ `ssm`:支持 RDS Custom 管理数据库实例的底层 EC2 实例。
+ `rds`:支持 RDS Custom 管理数据库实例的 RDS 资源
+ `iam`:支持 RDS Custom 验证实例配置文件并将其附加到数据库实例的底层 EC2 实例。
有关此策略的更多信息,包括 JSON 策略文档,请参阅《AWS 托管式策略参考指南》**中的 [AmazonRDSCustomServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRDSCustomServiceRolePolicy.html)。
## AWS 托管式策略:AmazonRDSCustom实例ProfileRolePolicy
您不应将 `AmazonRDSCustomInstanceProfileRolePolicy` 附加到自己的 IAM 实体。只能将其附加到实例配置文件角色,该角色用于向您的 Amazon RDS 自定义数据库实例授予执行各种自动化操作和数据库管理任务的权限。在创建 RDS 自定义实例期间将实例配置文件作为 `custom-iam-instance-profile` 参数传递,并且 RDS Custom 会将此实例配置文件关联到您的数据库实例。
**权限详细信息**
该策略包含以下权限:
+ `ssm`、`ssmmessages`、`ec2messages` - 允许 RDS Custom 通过 Systems Manager 在数据库实例上进行通信、执行自动化和维护代理任务。
+ `ec2`、`s3` - 允许 RDS Custom 在提供时间点还原功能的数据库实例上执行备份操作。
+ `secretsmanager` - 允许 RDS Custom 管理由 RDS Custom 创建的数据库实例特定密钥。
+ `cloudwatch`、`logs` - 允许 RDS Custom 通过 CloudWatch 代理将数据库实例指标和日志上传到 CloudWatch。
+ `events`、`sqs` - 允许 RDS Custom 发送和接收有关数据库实例的状态信息。
+ `kms` - 允许 RDS Custom 使用特定于实例的 KMS 密钥对 RDS Custom 管理的密钥和 S3 对象进行加密。
有关此策略的更多信息,包括 JSON 策略文档,请参阅《AWS 托管式策略参考指南》**中的 [AmazonRDSCustom实例ProfileRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRDSCustomInstanceProfileRolePolicy.html)。
## AWS 托管式策略:AmazonRDSPreviewServiceRolePolicy
您不应将 `AmazonRDSPreviewServiceRolePolicy` 附加到自己的 IAM 实体。此策略附加到一个服务相关角色,该角色支持 Amazon RDS 代表 RDS 数据库资源调用 AWS 服务。有关更多信息,请参阅 [Amazon RDS 预览版的服务相关角色](UsingWithRDS.IAM.ServiceLinkedRoles.md#slr-permissions-rdspreview)。
**权限详细信息**
该策略包含以下权限:
+ `ec2` – 可让主体描述可用区和网络资源。
+ `secretsmanager` – 允许主体从 获取密钥的值。AWS Secrets Manager
+ `cloudwatch`、`logs` - 可让 Amazon RDS 通过 CloudWatch 代理将数据库实例指标和日志上传到 CloudWatch。
有关此策略的更多信息,包括 JSON 策略文档,请参阅《AWS Managed Policy Reference Guide》**中的 [AmazonRDSPreviewServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRDSPreviewServiceRolePolicy.html)。
## AWS 托管式策略:AmazonRDSBetaServiceRolePolicy
您不应将 `AmazonRDSBetaServiceRolePolicy` 附加到自己的 IAM 实体。此策略附加到一个服务相关角色,该角色支持 Amazon RDS 代表 RDS 数据库资源调用 AWS 服务。有关更多信息,请参阅 [Amazon RDS 测试版的服务相关角色权限](UsingWithRDS.IAM.ServiceLinkedRoles.md#slr-permissions-rdsbeta)。
**权限详细信息**
该策略包含以下权限:
+ `ec2` - 可让 Amazon RDS 在提供时间点还原功能的数据库实例上执行备份操作。
+ `secretsmanager` - 可让 Amazon RDS 管理由 Amazon RDS 创建的数据库实例特定密钥。
+ `cloudwatch`、`logs` - 可让 Amazon RDS 通过 CloudWatch 代理将数据库实例指标和日志上传到 CloudWatch。
有关此策略的更多信息,包括 JSON 策略文档,请参阅《AWS 托管式策略参考指南》**中的 [AmazonRDSBetaServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRDSBetaServiceRolePolicy.html)。