AWS IAMポリシーを使用して、ユーザーまたはAWSアカウント内のユーザーのグループが実行できるRDSアクションを指定する権限を作成できます。IAMポリシーは、基本的に、AWSリソースに対して実行されるアクションを定義する1つ以上のステートメントで構成されるJSONドキュメントです。これを使用して、RDSインスタンスの作成、削除、変更を行えるユーザーを指定できます。

SQL Diagnostic Managerは、ログファイルを取得するために以下のパーミッションを必要とします。

1. DescribeDBLogFiles：このAPIはインスタンスで利用可能なログファイルのリストを取得します。
2. DownloadDBLogFilePortion：このAPIは指定したログファイルをダウンロードします。

OSメトリックを取得するためには、以下のパーミッションが必要とされます。

1. GetMetricStatistics：このAPIはCloudWatchのメトリックの平均を取得します。

上記のパーミッションを与えることにより、シンプルなIAMポリシーを作成できます。例えば：

{
   "Version":"2012-10-17",
   "Statement": [{
      "Effect":"Allow",
      "Action": [
         "rds:DescribeDBLogFiles",
         "rds:DownloadDBLogFilePortion"
         "cloudwatch:GetMetricStatistics" 
      ],
      "Resource":"*"
   }]
}

このリンクを使用して上記のポリシーのためのリソースを取得できます。念のため、OS監視、または、RDS/Auroraインスタンスのファイルベースのログ監視のいずれかを実行したい場合は、上記のポリシーにこれらのアクションのみを含めることができます。

独自のポリシーを作成したくない場合、OS監視に関してAWSが提供するデフォルトポリシーCloudWatchReadOnlyAccessを使用することができます。このポリシーは、SQL Diagnostic ManagerがRDS/Auroraメトリックの取得に必要なパーミッションより多くのパーミッションを与えることを覚えておいてください。