Políticas personalizadas de RDS
Se pueden crear políticas personalizadas para complementar las directivas de sistema de RDS. Para ver las acciones admitidas para las políticas personalizadas, consulte Políticas de permisos y acciones admitidas.
Puede crear políticas personalizadas de cualquiera de las dos formas siguientes:
- Editor visual: Seleccione los servicios en la nube, acciones, recursos y condiciones de solicitud sin la necesidad de conocer la sintaxis de la política.
- JSON: Edite las políticas de JSON desde cero o basándose en una política existente.
Para obtener más información, consulte Creación de una política personalizada. La siguiente sección contiene ejemplos de políticas personalizadas de RDS comunes.
Ejemplo de las políticas personalizadas
- Ejemplo 1: Permitir a los usuarios crear instancias de base de datos de RDS
{ "Version": "1.1", "Statement": [{ "Effect": "Allow", "Action": ["rds:instance:create"] }] } - Ejemplo 2: Denegar la eliminación de instancia de base de datos de RDS
Una política con solo los permisos "Deny" debe usarse junto con otras políticas para que surtan efecto. Si los permisos asignados a un usuario incluyen tanto "Allow" como "Deny", los permisos "Deny" tienen prioridad sobre los permisos "Allow".
Se puede utilizar el siguiente método si necesita asignar permisos de la política RDS FullAccess a un usuario pero desea evitar que el usuario elimine instancias de base de datos RDS. Cree una política personalizada para denegar la eliminación de instancias de base de datos RDS y adjunte ambas políticas al grupo al que pertenece el usuario. A continuación, el usuario puede realizar todas las operaciones en instancias de base de datos RDS, excepto eliminar instancias de base de datos de RDS. El siguiente se muestra un ejemplo de política de denegación:
{ "Version": "1.1", "Statement": [{ "Action": ["rds:instance:delete"], "Effect": "Deny" }] }
