Permisos necesarios para usar la consola de Amazon DocumentDB Ejemplos de políticas administradas por el cliente

Uso de políticas basadas en identidad (IAMpolíticas) para Amazon DocumentDB

importante

Para determinadas funciones de administración, Amazon DocumentDB utiliza tecnología operativa que se comparte con Amazon. RDS La consola Amazon DocumentDB y API las llamadas se registran como llamadas realizadas a Amazon. AWS CLI RDS API

Le recomendamos que consulte primero los temas de introducción en los que se explican los conceptos básicos y las opciones disponibles para administrar el acceso a sus recursos de Amazon DocumentDB. Para obtener más información, consulte Administración de permisos de acceso para los recursos de Amazon DocumentDB.

Este tema contiene ejemplos de políticas basadas en identidad, donde los administradores de cuentas pueden asociar políticas de permisos a identidades de IAM (es decir, a usuarios, grupos y roles).

A continuación, se muestra un ejemplo de política de IAM:



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateDBInstanceOnly",
            "Effect": "Allow",
            "Action": [
                "rds:CreateDBInstance"
            ],
            "Resource": [
                "arn:aws:rds:*:123456789012:db:test*",
                "arn:aws:rds:*:123456789012:pg:cluster-pg:default*",
                "arn:aws:rds:*:123456789012:subgrp:default"
            ]
        }
    ]
}

En la política se incluye una sola instrucción que especifica los siguientes permisos para el usuario de IAM:

La política permite al IAM usuario crear una instancia mediante la reateDBInstance acción C (esto también se aplica a la create-db-instance AWS CLI operación y a la AWS Management Console).
El elemento Resource especifica que el usuario puede realizar acciones en o con recursos. Los recursos se especifican mediante un nombre de recurso de Amazon (ARN). Esto ARN incluye el nombre del servicio al que pertenece el recurso (rds), el Región de AWS (*indica cualquier región en este ejemplo), el número de cuenta de usuario (123456789012es el ID de usuario en este ejemplo) y el tipo de recurso.

El elemento Resource del ejemplo especifica las siguientes restricciones políticas en los recursos del usuario:
- El identificador de instancia para la nueva instancia de base de datos debe comenzar por test (por ejemplo, testCustomerData1, test-region2-data).
- El grupo de parámetros de clúster de la nueva instancia debe empezar por default.
- El grupo de subredes de la nueva instancia debe ser el grupo de subredes default.

La política no especifica el elemento Principal, ya que en una política basada en la identidad no se especifica el elemento principal que obtiene el permiso. Al asociar una política a un usuario, el usuario es la entidad principal implícita. Cuando se asocia una política de permisos a un rol de IAM, el elemento principal identificado en la política de confianza del rol obtiene los permisos.

Para ver una tabla que muestra todas las API operaciones de Amazon DocumentDB y los recursos a los que se aplican, consulte. APIPermisos de Amazon DocumentDB: referencia de acciones, recursos y condiciones

Permisos necesarios para usar la consola de Amazon DocumentDB

Para que un usuario pueda trabajar con la consola Amazon DocumentDB, debe tener un conjunto mínimo de permisos. Estos permisos permiten al usuario describir sus recursos de Amazon DocumentDB Cuenta de AWS y proporcionar otra información relacionada, incluida la información de EC2 seguridad y de red de Amazon.

Si crea una política de IAM que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para los usuarios con esa política de IAM. Para asegurarse de que esos usuarios puedan seguir usando la consola Amazon DocumentDB, asocie también la política administrada AmazonDocDBConsoleFullAccess al usuario, según se explica en AWS políticas administradas para Amazon DocumentDB.

No es necesario conceder permisos mínimos de consola a los usuarios que solo realicen llamadas a la Amazon DocumentDB AWS CLI o a la Amazon DocumentDBAPI.

Ejemplos de políticas administradas por el cliente

En esta sección, encontrará ejemplos de políticas de usuario que conceden permisos para diversas acciones de Amazon DocumentDB. Estas políticas funcionan cuando se utilizan las API acciones de Amazon DocumentDB AWS SDKs, o las. AWS CLI Cuando se utiliza la consola, debe conceder permisos adicionales específicos a la consola, tal y como se explica en Permisos necesarios para usar la consola de Amazon DocumentDB.

Para determinadas funciones de administración, Amazon DocumentDB utiliza tecnología operativa que se comparte con Amazon Relational Database Service (Amazon) y RDS Amazon Neptune.

nota

Todos los ejemplos utilizan la región EE.UU. Este (Norte de Virginia) (us-east-1) y contienen una cuenta ficticia. IDs

Ejemplos

Ejemplo 1: permitir que un usuario lleve a cabo cualquier acción Describe con cualquier recurso de Amazon DocumentDB
Ejemplo 2: prevención de la eliminación de una instancia por parte de un usuario
Ejemplo 3: prevención de la creación de un clúster por parte de un usuario a menos que el cifrado de almacenamiento esté habilitado

Ejemplo 1: permitir que un usuario lleve a cabo cualquier acción Describe con cualquier recurso de Amazon DocumentDB

La siguiente política de permisos concede permisos a un usuario para ejecutar todas las acciones que empiezan por Describe. Estas acciones muestran información acerca de un recurso de Amazon DocumentDB, como una instancia. El carácter comodín (*) del elemento Resource indica que las acciones están permitidas en todos los recursos de Amazon DocumentDB que son propiedad de la cuenta.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"AllowRDSDescribe",
         "Effect":"Allow",
         "Action":"rds:Describe*",
         "Resource":"*"
      }
   ]
}

Ejemplo 2: prevención de la eliminación de una instancia por parte de un usuario

La siguiente política de permisos concede permisos para impedir que un usuario elimine una instancia específica. Por ejemplo, puede servir para impedir la eliminación de instancias de producción a cualquier usuario que no sea un administrador.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"DenyDelete1",
         "Effect":"Deny",
         "Action":"rds:DeleteDBInstance",
         "Resource":"arn:aws:rds:us-east-1:123456789012:db:my-db-instance"
      }
   ]
}

Ejemplo 3: prevención de la creación de un clúster por parte de un usuario a menos que el cifrado de almacenamiento esté habilitado

La siguiente política de permisos deniega los permisos a un usuario para crear un clúster de Amazon DocumentDB a menos que se habilite el cifrado de almacenamiento.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "PreventUnencryptedDocumentDB",
         "Effect": "Deny",
         "Action": "RDS:CreateDBCluster",
         "Condition": {
         "Bool": {
         "rds:StorageEncrypted": "false"
      },
         "StringEquals": {
         "rds:DatabaseEngine": "docdb"
         }
      },
      "Resource": "*"
      }
   ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Administración de permisos de acceso para los recursos de Amazon DocumentDB

AWS políticas administradas para Amazon DocumentDB