本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Amazon RDS 的 受管政策
若要將許可新增至許可集和角色,使用 AWS 受管政策比自行撰寫政策更容易。建立 [IAM 客戶受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。若要快速開始使用,您可以使用我們的 AWS 受管政策。這些政策涵蓋常見的使用案例,並可在您的 AWS 帳戶中使用。如需 AWS 受管政策的詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服務 維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會將其他許可新增至 AWS 受管政策,以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (許可集和角色)。當新功能啟動或新操作可用時,服務最有可能更新 AWS 受管政策。服務不會從 AWS 受管政策中移除許可,因此政策更新不會破壞您現有的許可。
此外, AWS 支援跨多個 服務之任務函數的受管政策。例如, `ReadOnlyAccess` AWS 受管政策提供所有 AWS 服務 和 資源的唯讀存取權。當服務啟動新功能時, 會為新操作和資源 AWS 新增唯讀許可。如需任務職能政策的清單和說明,請參閱 *IAM 使用者指南*中[有關任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
**Topics**
+ [AWS 受管政策:AmazonRDSReadOnlyAccess](#rds-security-iam-awsmanpol-AmazonRDSReadOnlyAccess)
+ [AWS 受管政策:AmazonRDSFullAccess](#rds-security-iam-awsmanpol-AmazonRDSFullAccess)
+ [AWS 受管政策:AmazonRDSDataFullAccess](#rds-security-iam-awsmanpol-AmazonRDSDataFullAccess)
+ [AWS 受管政策:AmazonRDSEnhancedMonitoringRole](#rds-security-iam-awsmanpol-AmazonRDSEnhancedMonitoringRole)
+ [AWS 受管政策:AmazonRDSPerformanceInsightsReadOnly](#rds-security-iam-awsmanpol-AmazonRDSPerformanceInsightsReadOnly)
+ [AWS 受管政策:AmazonRDSPerformanceInsightsFullAccess](#rds-security-iam-awsmanpol-AmazonRDSPerformanceInsightsFullAccess)
+ [AWS 受管政策:AmazonRDSDirectoryServiceAccess](#rds-security-iam-awsmanpol-AmazonRDSDirectoryServiceAccess)
+ [AWS 受管政策:AmazonRDSServiceRolePolicy](#rds-security-iam-awsmanpol-AmazonRDSServiceRolePolicy)
+ [AWS 受管政策:AmazonRDSPreviewServiceRolePolicy](#rds-security-iam-awsmanpol-AmazonRDSPreviewServiceRolePolicy)
+ [AWS 受管政策:AmazonRDSBetaServiceRolePolicy](#rds-security-iam-awsmanpol-AmazonRDSBetaServiceRolePolicy)
## AWS 受管政策:AmazonRDSReadOnlyAccess
此政策允許透過 對 Amazon RDS 進行唯讀存取 AWS 管理主控台。
**許可詳細資訊**
此政策包含以下許可:
+ `rds` – 允許主體說明 Amazon RDS 資源並列出 Amazon RDS 資源的標籤。
+ `cloudwatch` – 允許主體獲取 Amazon CloudWatch 指標統計資料。
+ `ec2` – 允許主體說明可用區域和聯網資源。
+ `logs` – 允許主體說明日誌群組的 CloudWatch Logs 日誌串流,並取得 CloudWatch Logs 事件。
+ `devops-guru` - 允許主體描述具有 Amazon DevOps Guru 涵蓋範圍的資源,這是由 CloudFormation 堆疊名稱或資源標籤所指定的。
如需有關此政策的詳細資訊,包括 JSON 政策文件,請參閱《AWS 受管政策參考指南》**中的 [AmazonRDSReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRDSReadOnlyAccess.html)。
## AWS 受管政策:AmazonRDSFullAccess
此政策透過 提供 Amazon RDS 的完整存取權 AWS 管理主控台。
**許可詳細資訊**
此政策包含以下許可:
+ `rds` – 允許主體完整存取 Amazon RDS。
+ `application-autoscaling` – 允許主體說明和管理 應用程式自動擴展擴展目標和政策。
+ `cloudwatch` – 允許主體取得 CloudWatch 指標靜態並管理 CloudWatch 警示。
+ `ec2` – 允許主體說明可用區域和聯網資源。
+ `logs` – 允許主體說明日誌群組的 CloudWatch Logs 日誌串流,並取得 CloudWatch Logs 事件。
+ `outposts` – 允許主體取得 AWS Outposts 執行個體類型。
+ `pi` – 允許主體取得績效詳情指標。
+ `sns` – 允許主體訂閱 Amazon Simple Notification Service (Amazon SNS) 和主題,並發佈 Amazon SNS 訊息。
+ `devops-guru` - 允許主體描述具有 Amazon DevOps Guru 涵蓋範圍的資源,這是由 CloudFormation 堆疊名稱或資源標籤所指定的。
如需有關此政策的詳細資訊,包括 JSON 政策文件,請參閱《AWS 受管政策參考指南》**中的 [AmazonRDSFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRDSFullAccess.html)。
## AWS 受管政策:AmazonRDSDataFullAccess
此政策允許完整存取在特定 Aurora Serverless叢集上使用資料 API 和查詢編輯器 AWS 帳戶。此政策允許 從 AWS 帳戶 取得秘密的值 AWS Secrets Manager。
您可將 `AmazonRDSDataFullAccess` 政策連接到 IAM 身分。
**許可詳細資訊**
此政策包含以下許可:
+ `dbqms` – 允許主體存取、建立、刪除、說明和更新查詢。Database Query Metadata Service (`dbqms`) 是僅內部服務。它為多個 上的查詢編輯器提供最近和儲存 AWS 管理主控台 的查詢 AWS 服務,包括 Amazon RDS。
+ `rds-data` – 允許主體在 Aurora Serverless 資料庫執行 SQL 陳述式。
+ `secretsmanager` – 允許主體從中取得秘密的值 AWS Secrets Manager。
如需有關此政策的詳細資訊,包括 JSON 政策文件,請參閱《AWS 受管政策參考指南》**中的 [AmazonRDSDataFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRDSDataFullAccess.html)。
## AWS 受管政策:AmazonRDSEnhancedMonitoringRole
此政策提供對 Amazon CloudWatch Logs 的存取權限,以進行 Amazon RDS 增強型監控。
**許可詳細資訊**
此政策包含以下許可:
+ `logs` – 允許主體建立 CloudWatch Logs 日誌群組和保留政策,並建立和說明日誌群組的 CloudWatch Logs 日誌串流。其還允許主體放置並取得 CloudWatch Logs 日誌事件。
如需有關此政策的詳細資訊,包括 JSON 政策文件,請參閱《AWS 受管政策參考指南》**中的 [AmazonRDSEnhancedMonitoringRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRDSEnhancedMonitoringRole.html)。
## AWS 受管政策:AmazonRDSPerformanceInsightsReadOnly
此政策提供對 Amazon RDS 資料庫執行個體和 Amazon Aurora 資料庫叢集的 Amazon RDS 績效詳情唯讀存取權限。
此政策現在包含 `Sid` (陳述式 ID) 作為政策陳述式的識別碼。
**許可詳細資訊**
此政策包含以下許可:
+ `rds` – 允許主體說明 Amazon RDS 資料庫執行個體和 Amazon Aurora 資料庫叢集。
+ `pi` – 允許主體呼叫 Amazon RDS 績效詳情 API 並存取績效詳情指標。
如需有關此政策的詳細資訊,包括 JSON 政策文件,請參閱《AWS 受管政策參考指南》**中的 [AmazonRDSPerformanceInsightsReadOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRDSPerformanceInsightsReadOnly.html)。
## AWS 受管政策:AmazonRDSPerformanceInsightsFullAccess
此政策提供對 Amazon RDS 資料庫執行個體和 Amazon Aurora 資料庫叢集的 Amazon RDS Performance Insights 完整存取權限。
此政策現在包含 `Sid` (陳述式 ID) 作為政策陳述式的識別符。
**許可詳細資訊**
此政策包含以下許可:
+ `rds` – 允許主體說明 Amazon RDS 資料庫執行個體和 Amazon Aurora 資料庫叢集。
+ `pi` – 允許主體呼叫 Amazon RDS Performance Insights API,以及建立、檢視和刪除績效分析報告。
+ `cloudwatch`:允許主體列出 Amazon CloudWatch 指標並取得指標資料和統計資料。
如需有關此政策的詳細資訊,包括 JSON 政策文件,請參閱*《AWS 受管政策參考指南》*中的 [AmazonRDSPerformanceInsightsFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRDSPerformanceInsightsFullAccess.html)。
## AWS 受管政策:AmazonRDSDirectoryServiceAccess
此政策允許 Amazon RDS 呼叫 Directory Service。
**許可詳細資訊**
此政策包含以下許可:
+ `ds` – 允許主體描述 Directory Service 目錄並控制 Directory Service 目錄的授權。
如需有關此政策的詳細資訊,包括 JSON 政策文件,請參閱《AWS 受管政策參考指南》**中的 [AmazonRDSDirectoryServiceAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRDSDirectoryServiceAccess.html)。
## AWS 受管政策:AmazonRDSServiceRolePolicy
您無法將 `AmazonRDSServiceRolePolicy` 政策附加至 IAM 實體。此政策會附加至服務連結角色,而此角色可讓 Amazon RDS 代表您執行動作。如需詳細資訊,請參閱[Amazon Aurora 的服務連結角色許可](UsingWithRDS.IAM.ServiceLinkedRoles.md#service-linked-role-permissions)。
## AWS 受管政策:AmazonRDSPreviewServiceRolePolicy
您不應將 `AmazonRDSPreviewServiceRolePolicy` 連接到 IAM 實體。此政策會連接到服務連結角色,允許 Amazon RDS 代表 RDS 資料庫資源呼叫 AWS 服務。如需詳細資訊,請參閱[Amazon RDS 預覽的服務連結角色](UsingWithRDS.IAM.ServiceLinkedRoles.md#slr-permissions-rdspreview)。
**許可詳細資訊**
此政策包含以下許可:
+ `ec2` – 允許主體說明可用區域和聯網資源。
+ `secretsmanager` – 允許主體從中取得秘密的值 AWS Secrets Manager。
+ `cloudwatch`、`logs` ‐ 允許 Amazon RDS 透過 CloudWatch 代理程式將資料庫執行個體指標和日誌上傳至 CloudWatch。
如需有關此政策的詳細資訊,包括 JSON 政策文件,請參閱《AWS 受管政策參考指南》**中的 [AmazonRDSPreviewServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRDSPreviewServiceRolePolicy.html)。
## AWS 受管政策:AmazonRDSBetaServiceRolePolicy
您不應將 `AmazonRDSBetaServiceRolePolicy` 連接到 IAM 實體。此政策會連接到服務連結角色,允許 Amazon RDS 代表 RDS 資料庫資源呼叫 AWS 服務。如需詳細資訊,請參閱[Amazon RDS Beta 的服務連結角色許可](UsingWithRDS.IAM.ServiceLinkedRoles.md#slr-permissions-rdsbeta)。
**許可詳細資訊**
此政策包含以下許可:
+ `ec2` ‐ 允許 Amazon RDS 在提供時間點還原功能的資料庫執行個體上執行備份操作。
+ `secretsmanager` - 允許 Amazon RDS 管理 Amazon RDS 建立的資料庫執行個體特定秘密。
+ `cloudwatch`、`logs` ‐ 允許 Amazon RDS 透過 CloudWatch 代理程式將資料庫執行個體指標和日誌上傳至 CloudWatch。
如需有關此政策的詳細資訊,包括 JSON 政策文件,請參閱《AWS 受管政策參考指南》**中的 [AmazonRDSBetaServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonRDSBetaServiceRolePolicy.html)。