Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwendung identitätsbasierter Richtlinien (IAM-Richtlinien) für Amazon DocumentDB
**Wichtig**
Für bestimmte Verwaltungsfunktionen verwendet Amazon DocumentDB Betriebstechnologie, die mit Amazon RDS gemeinsam genutzt wird. Amazon DocumentDB DocumentDB-Konsolen- und API-Aufrufe werden als Aufrufe der Amazon RDS-API protokolliert. AWS CLI
Wir empfehlen Ihnen, zunächst die einführenden Themen zu lesen, in denen die grundlegenden Konzepte und Optionen erläutert werden, die Ihnen zur Verwaltung des Zugriffs auf Ihre Amazon DocumentDB DocumentDB-Ressourcen zur Verfügung stehen. Weitere Informationen finden Sie unter [Verwaltung der Zugriffsberechtigungen für Ihre Amazon DocumentDB DocumentDB-Ressourcen](UsingWithRDS.IAM.AccessControl.Overview.md).
In diesem Thema finden Sie Beispiele für identitätsbasierte Richtlinien, in denen ein Kontoadministrator den IAM-Identitäten (Benutzer, Gruppen und Rollen) Berechtigungsrichtlinien anfügen kann.
Im Folgenden finden Sie ein Beispiel für eine IAM-Richtlinie.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateDBInstanceOnly",
"Effect": "Allow",
"Action": [
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:rds:*:123456789012:db:test*",
"arn:aws:rds:*:123456789012:pg:cluster-pg:default*",
"arn:aws:rds:*:123456789012:subgrp:default"
]
}
]
}
```
------
Die Richtlinie ist ein einzelnes Statement, das die folgenden Berechtigungen für den IAM-Benutzer bestimmt:
+ Die Richtlinie ermöglicht es dem IAM-Benutzer, mithilfe der DBInstance Aktion Erstellen eine Instanz zu [erstellen](https://docs.aws.amazon.com/documentdb/latest/developerguide/API_CreateDBInstance.html) (dies gilt auch für den [create-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-instance.html) AWS CLI Vorgang und die AWS-Managementkonsole).
+ Das Element `Resource` gibt an, dass der Benutzer auf oder mit Ressourcen Aktionen ausführen kann. Sie geben Ressourcen über einen Amazon-Ressourcennamen (ARN) an. Dieser ARN enthält den Namen des Dienstes, zu dem die Ressource gehört (`rds`), den AWS-Region (`*`gibt in diesem Beispiel eine beliebige Region an), die Benutzerkontonummer (`123456789012`ist in diesem Beispiel die Benutzer-ID) und den Ressourcentyp.
Das `Resource`-Element im Beispiel gibt für den Benutzer die folgenden richtlinienbezogenen Einschränkungen für die Ressourcen an:
+ Die Instance-Kennung für die neue Instance muss mit `test` beginnen (zum Beispiel `testCustomerData1`, `test-region2-data`).
+ Die Parametergruppe für die neue Instance muss mit `default` beginnen.
+ Die Subnetzgruppe für die neue Instance muss mit `default` beginnen.
Das Element `Principal` ist in der Richtlinie nicht angegeben, da in identitätsbasierten Richtlinien die Angabe des Prinzipals als Empfänger der Berechtigung nicht erforderlich ist. Wenn Sie einem Benutzer eine Richtlinie zuweisen, ist der Benutzer automatisch der Prinzipal. Wird die Berechtigungsrichtlinie einer IAM-Rolle angefügt, erhält der in der Vertrauensrichtlinie der Rolle angegebene Prinzipal die Berechtigungen.
Eine Tabelle mit allen Amazon DocumentDB DocumentDB-API-Vorgängen und den Ressourcen, für die sie gelten, finden Sie unter[Amazon DocumentDB DocumentDB-API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen](UsingWithRDS.IAM.ResourcePermissions.md).
## Für die Verwendung der Amazon DocumentDB DocumentDB-Konsole sind Berechtigungen erforderlich
Damit ein Benutzer mit der Amazon DocumentDB DocumentDB-Konsole arbeiten kann, muss er über Mindestberechtigungen verfügen. Diese Berechtigungen ermöglichen es dem Benutzer, die Amazon DocumentDB DocumentDB-Ressourcen für ihn zu beschreiben AWS-Konto und andere verwandte Informationen bereitzustellen, einschließlich Amazon EC2-Sicherheits- und Netzwerkinformationen.
Wenn Sie eine IAM-Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Benutzer mit dieser IAM-Richtlinie. Um sicherzustellen, dass diese Benutzer die Amazon DocumentDB DocumentDB-Konsole weiterhin verwenden können, fügen Sie dem Benutzer auch die `AmazonDocDBConsoleFullAccess` verwaltete Richtlinie bei[AWS verwaltete Richtlinien für Amazon DocumentDB](docdb-managed-policies.md), wie unter beschrieben.
Sie müssen Benutzern, die nur die Amazon DocumentDB-API AWS CLI oder die Amazon DocumentDB DocumentDB-API aufrufen, keine Mindestberechtigungen für die Konsole gewähren.
## Beispiele für vom Kunden verwaltete Richtlinien
In diesem Abschnitt finden Sie Beispielbenutzerrichtlinien, die Berechtigungen für verschiedene Amazon DocumentDB DocumentDB-Aktionen gewähren. Diese Richtlinien funktionieren, wenn Sie Amazon DocumentDB DocumentDB-API-Aktionen verwenden AWS SDKs, oder die AWS CLI. Bei Verwendung der Konsole müssen Sie zusätzliche konsolenspezifische Berechtigungen erteilen, die im Abschnitt [Für die Verwendung der Amazon DocumentDB DocumentDB-Konsole sind Berechtigungen erforderlich](#UsingWithRDS.IAM.RequiredPermissions.Console) erläutert werden.
Für bestimmte Verwaltungsfunktionen verwendet Amazon DocumentDB Betriebstechnologie, die mit Amazon Relational Database Service (Amazon RDS) und Amazon Neptune gemeinsam genutzt wird.
**Anmerkung**
Alle Beispiele verwenden die Region USA Ost (Nord-Virginia) (`us-east-1`) und enthalten ein fiktives Konto. IDs
**Topics**
+ [Beispiel 1: Erlauben Sie einem Benutzer, eine beliebige Beschreibungsaktion für eine beliebige Amazon DocumentDB DocumentDB-Ressource auszuführen](#IAMPolicyExamples-RDS-perform-describe-action)
+ [Beispiel 2: Verhindern, dass ein Benutzer eine Instance löscht](#IAMPolicyExamples-RDS-prevent-db-deletion)
+ [Beispiel 3: Verhindern, dass ein Benutzer einen Cluster erstellt, sofern die Speicherverschlüsselung nicht aktiviert ist](#IAMPolicyExamples-Prevent-Cluster)
### Beispiel 1: Erlauben Sie einem Benutzer, eine beliebige Beschreibungsaktion für eine beliebige Amazon DocumentDB DocumentDB-Ressource auszuführen
Die folgende Berechtigungsrichtlinie gewährt Berechtigungen für einen Benutzer, alle Aktionen auszuführen, die mit beginne `Describe`. Diese Aktionen zeigen Informationen über eine Amazon DocumentDB DocumentDB-Ressource, z. B. eine Instance. Das Platzhalterzeichen (\$1) im `Resource` Element gibt an, dass die Aktionen für alle Amazon DocumentDB DocumentDB-Ressourcen zulässig sind, die dem Konto gehören.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AllowRDSDescribe",
"Effect":"Allow",
"Action":"rds:Describe*",
"Resource":"*"
}
]
}
```
------
### Beispiel 2: Verhindern, dass ein Benutzer eine Instance löscht
Die folgenden Berechtigungsrichtlinien erteilen Berechtigungen, um einen Benutzer davon abzuhalten, eine bestimmte Instance zu löschen. Beispielsweise möchten Sie jedem Benutzer, der kein Administrator ist, verbieten, Ihre Produktions-Instances zu löschen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"DenyDelete1",
"Effect":"Deny",
"Action":"rds:DeleteDBInstance",
"Resource":"arn:aws:rds:us-east-1:123456789012:db:my-db-instance"
}
]
}
```
------
### Beispiel 3: Verhindern, dass ein Benutzer einen Cluster erstellt, sofern die Speicherverschlüsselung nicht aktiviert ist
Die folgende Berechtigungsrichtlinie verweigert einem Benutzer die Erlaubnis, einen Amazon DocumentDB-Cluster zu erstellen, sofern die Speicherverschlüsselung nicht aktiviert ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PreventUnencryptedDocumentDB",
"Effect": "Deny",
"Action": "RDS:CreateDBCluster",
"Condition": {
"Bool": {
"rds:StorageEncrypted": "false"
},
"StringEquals": {
"rds:DatabaseEngine": "docdb"
}
},
"Resource": "*"
}
]
}
```
------