Quels sont les moindres privilèges requis pour qu'un utilisateur puisse effectuer des opérations de création, de suppression, de modification, de sauvegarde et de restauration pour une instance de base de données Amazon RDS ?

Lecture de 6 minute(s)

Je souhaite accorder à mes utilisateurs AWS Identity and Access Management (IAM) les autorisations minimales nécessaires pour gérer les instances de base de données Amazon Relational Database Service (Amazon RDS).

Résolution

Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l'interface.

Pour configurer l'accès utilisateur IAM à votre instance de base de données RDS, procédez comme suit :

Ouvrez la console IAM.
Dans le volet de navigation, choisissez Utilisateurs.
Choisissez Ajouter un utilisateur, puis entrez un nom d'utilisateur.
Pour Type d'accès, choisissez Accès à la console de gestion AWS, puis créez un mot de passe pour utiliser la console Amazon RDS. Pour fournir un accès à l'interface de ligne de commande AWS, choisissez Accès par programmation.
Important : Pour Accès par programmation, choisissez Download.csv pour télécharger l'ID de clé d'accès et la clé d'accès secrète. Vous aurez besoin des clés pour créer les jetons de sécurité ultérieurement.
Vérifiez les autorisations et les identifications, puis choisissez Créer un utilisateur.
Remarque : Ceci créé un utilisateur IAM disposant de la politique IAMUserChangePassword.
Créez des politiques IAM pour les actions que vous souhaitez effectuer dans Amazon RDS.
Ajoutez vos politiques IAM à votre utilisateur.

Exemples de politiques IAM

Les exemples de politiques suivants fournissent le minimum de privilèges requis pour effectuer les actions spécifiées. Vous pouvez voir des erreurs dans la console Amazon RDS car l'autorisation requise n'est pas présente dans la politique. Par exemple, le message d'erreur IAMUser is not authorized to perform: rds:Action (IAMUser n’est pas autorisé à effectuer : rds:Action) peut s’afficher.

Des erreurs peuvent se produire pour les actions Décrire, mais l'erreur n'affecte pas votre capacité à effectuer ces actions. Pour éviter toute erreur, modifiez les exemples de politiques IAM suivants ou utilisez l'AWS CLI pour effectuer des actions.

Créer et supprimer des instances de bases de données RDS

Pour permettre aux utilisateurs de créer des instances de base de données RDS sans que le chiffrement soit activé, appliquez la politique suivante :

{  
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeVpcAttribute",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeInternetGateways",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeVpcs",
        "ec2:DescribeAccountAttributes",
        "ec2:DescribeSubnets",
        "rds:Describe*",
        "rds:ListTagsForResource",
        "rds:CreateDBInstance",
        "rds:CreateDBSubnetGroup"
      ],
      "Resource": "*"
    }
  ]
}

Pour permettre aux utilisateurs de créer des instances de base de données RDS dont le chiffrement est activé, appliquez la politique suivante :

{  
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeVpcAttribute",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeInternetGateways",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeVpcs",
        "ec2:DescribeAccountAttributes",
        "ec2:DescribeSubnets",
        "rds:Describe*",
        "rds:ListTagsForResource",
        "rds:CreateDBInstance",
        "rds:CreateDBSubnetGroup",
        "kms:ListAliases"
      ],
      "Resource": "*"
    }
  ]
}

Remarque : Pour utiliser une clé gérée par le client à des fins de chiffrement, vous devez autoriser l'utilisation d'une clé gérée par le client.

Pour autoriser les utilisateurs à supprimer des instances de base de données RDS, appliquez la politique suivante :

{  
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "rds:DeleteDBInstance",
        "rds:DescribeDBInstances"
      ],
      "Resource": "*"
    }
  ]
}

Pour permettre aux utilisateurs de créer et de supprimer des instances de bases de données RDS, appliquez la politique suivante :

{  
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeVpcAttribute",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeInternetGateways",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeVpcs",
        "ec2:DescribeAccountAttributes",
        "ec2:DescribeSubnets",
        "rds:Describe*",
        "rds:ListTagsForResource",
        "rds:CreateDBInstance",
        "rds:CreateDBSubnetGroup",
        "rds:DeleteDBInstance"
      ],
      "Resource": "*"
    }
  ]
}

Arrêter et démarrer des instances de base de données RDS

Pour permettre aux utilisateurs de démarrer et d'arrêter des instances de bases de données RDS, appliquez la politique suivante :

{  
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "rds:StopDBInstance",
        "rds:StartDBInstance",
        "rds:Describe*"
      ],
      "Resource": "*"
    }
  ]
}

Effectuer des sauvegardes et des restaurations

Pour autoriser les utilisateurs à créer des instantanés de base de données, appliquez la politique suivante :

{  
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "rds:Describe*",
        "rds:CreateDBSnapshot"
      ],
      "Resource": "*"
    }
  ]
}

Pour permettre aux utilisateurs de restaurer des instances de base de données RDS qui utilisent des instantanés de base de données, appliquez la politique suivante :

{  
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:Describe*",
        "rds:Describe*",
        "rds:RestoreDBInstanceFromDBSnapshot"
      ],
      "Resource": "*"
    }
  ]
}

Pour permettre aux utilisateurs d'effectuer une récupération ponctuelle, appliquez la politique suivante :

{  
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:Describe*",
        "rds:Describe*",
        "rds:RestoreDBInstanceToPointInTime"
      ],
      "Resource": "*"
    }
  ]
}

Modifier les instances de base de données RDS

Pour permettre aux utilisateurs de modifier le type de classe d'instance de base de données, le stockage alloué, le type de stockage et la version de l'instance, appliquez la politique suivante :

{  
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:Describe*",
        "rds:Describe*",
        "rds:ModifyDBInstance"
      ],
      "Resource": "*"
    }
  ]
}

Activer la surveillance améliorée et Performance Insights

Lorsque vous utilisez un iam:PassRole, un caractère générique (*) est trop permissif car il accorde les autorisations iam:PassRole sur toutes les ressources. Il est recommandé de spécifier les ARN.

Pour permettre aux utilisateurs d'activer la surveillance améliorée, appliquez la politique suivante :

{  
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:GetRole",
        "iam:ListRoles",
        "rds:ModifyDBInstance",
        "rds:Describe*",
        "ec2:Describe*"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::AccountID:role/rds-monitoring-role"
    }
  ]
}

Remarque : Assurez-vous de remplacer AccountID par chaque utilisateur qui reçoit le rôle de surveillance améliorée.

Pour permettre aux utilisateurs d'activer Performance Insights, appliquez la politique suivante :

{  
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "rds:ModifyDBInstance",
        "ec2:Describe*",
        "rds:Describe*",
        "pi:*"
      ],
      "Resource": "*"
    }
  ]
}

Créer, modifier et supprimer des groupes de paramètres de base de données et des groupes d'options de base de données

Pour autoriser les utilisateurs à créer, modifier ou supprimer des groupes de paramètres de base de données et des groupes d'options, appliquez la politique suivante :

{  
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:Describe*",
        "rds:Describe*",
        "rds:CreateDBParameterGroup",
        "rds:ModifyDBParameterGroup",
        "rds:DeleteDBParameterGroup",
        "rds:CreateOptionGroup",
        "rds:ModifyOptionGroup",
        "rds:DeleteOptionGroup"
      ],
      "Resource": "*"
    }
  ]
}

Afficher les métriques Amazon CloudWatch depuis la console Amazon RDS

Pour permettre aux utilisateurs de consulter les métriques CloudWatch depuis la console Amazon RDS, appliquez la politique suivante :

{  
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "rds:Describe*",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:ListMetrics"
      ],
      "Resource": "*"
    }
  ]
}

Informations connexes

Gestion des identités et des accès pour Amazon RDS

Comment puis-je autoriser les utilisateurs à s’authentifier auprès d’une instance de base de données Amazon RDS for MySQL avec leurs informations d’identification IAM ?

Sujets: Analytics Migration & Modernization Database
Balises: Amazon Relational Database Service
Langue: Français

Vidéos associées

Regarder la vidéo de Mihir pour en savoir plus (3:32)

AWS OFFICIELA mis à jour il y a 8 mois

Aucun commentaire

Contenus pertinents

Facturation persistante pour OpenSearch malgré la suppression de toutes les ressources et absence d’instance active
Réponse acceptée
Baptiste
demandé il y a un an
Impossible de stop mon instance SageMaker
rePost-User-9472894
demandé il y a 3 ans
Suppression Frais de service LIGTSAIL
Dayou
demandé il y a 5 mois
Besoin de conseils d’architecture pour application de visioconférence
Nayyar
demandé il y a 2 mois
Règle de cycle de vie pour transition de stockage S3 à S3 glacier
HoubaHoubi
demandé il y a 9 mois
Quels sont les problèmes courants pouvant survenir lors de l'utilisation de la sauvegarde et de la restauration natives dans RDS for SQL Server ?
AWS OFFICIELA mis à jour il y a 3 ans
Comment puis-je autoriser les utilisateurs à s’authentifier auprès d’une instance de base de données Amazon RDS for MySQL avec leurs informations d’identification IAM ?
AWS OFFICIELA mis à jour il y a 6 mois
Comment effectuer une sauvegarde native de ma base de données SQL Server sur Amazon RDS et la restaurer depuis Amazon S3 ?
AWS OFFICIELA mis à jour il y a 2 mois
Combien de temps faut-il pour créer une sauvegarde pour mon instance de base de données Amazon RDS for SQL Server ?
AWS OFFICIELA mis à jour il y a 7 mois