Permisos necesarios para usar la consola de Amazon DocumentDB Ejemplos de políticas administradas por el cliente

Uso de políticas basadas en identidad (políticas de IAM) para Amazon DocumentDB

importante

En determinadas características de administración, Amazon DocumentDB utiliza una tecnología operativa que comparte con Amazon RDS. Las llamadas a la consola y a la API de Amazon DocumentDB se registran como llamadas realizadas a la API de Amazon RDS. AWS CLI

Le recomendamos que consulte primero los temas de introducción en los que se explican los conceptos básicos y las opciones disponibles para administrar el acceso a sus recursos de Amazon DocumentDB. Para obtener más información, consulte Administración de permisos de acceso para los recursos de Amazon DocumentDB.

Este tema contiene ejemplos de políticas basadas en identidades, donde los administradores de cuentas pueden asociar políticas de permisos a identidades de IAM (es decir, a usuarios, grupos y funciones).

A continuación, se muestra un ejemplo de política de IAM:



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateDBInstanceOnly",
            "Effect": "Allow",
            "Action": [
                "rds:CreateDBInstance"
            ],
            "Resource": [
                "arn:aws:rds:*:123456789012:db:test*",
                "arn:aws:rds:*:123456789012:pg:cluster-pg:default*",
                "arn:aws:rds:*:123456789012:subgrp:default"
            ]
        }
    ]
}

En la política se incluye una sola instrucción que especifica los siguientes permisos para el usuario de IAM:

La política permite al usuario de IAM crear una instancia mediante la acción CreatedBInstance (esto también se aplica a la operación y a la). create-db-instance AWS CLI AWS Management Console
El elemento Resource especifica que el usuario puede realizar acciones en o con recursos. Puede especificar los recursos mediante un nombre de recurso de Amazon (ARN). Este ARN incluye el nombre del servicio al que pertenece el recurso (rds), Región de AWS (*indica cualquier región en este ejemplo), el número de cuenta de usuario (123456789012es el ID de usuario en este ejemplo) y el tipo de recurso.

El elemento Resource del ejemplo especifica las siguientes restricciones políticas en los recursos del usuario:
- El identificador de instancia para la nueva instancia de base de datos debe comenzar por test (por ejemplo, testCustomerData1, test-region2-data).
- El grupo de parámetros de clúster de la nueva instancia debe empezar por default.
- El grupo de subredes de la nueva instancia debe ser el grupo de subredes default.

La política no especifica el elemento Principal, ya que en una política basada en la identidad no se especifica el elemento principal que obtiene el permiso. Al asociar una política a un usuario, el usuario es la entidad principal implícita. Cuando asocia una política de permisos a un rol de IAM, el elemento principal identificado en la política de confianza de rol obtiene los permisos.

Para ver una tabla con todas las operaciones de la API de Amazon DocumentDB y los recursos a los que se aplican, consulte Permisos de la API de Amazon DocumentDB: referencia de acciones, recursos y condiciones.

Permisos necesarios para usar la consola de Amazon DocumentDB

Para que un usuario pueda trabajar con la consola Amazon DocumentDB, debe tener un conjunto mínimo de permisos. Estos permisos permiten al usuario describir sus recursos de Amazon DocumentDB Cuenta de AWS y proporcionar otra información relacionada, incluida la información de red y seguridad de Amazon EC2.

Si crea una política de IAM que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para los usuarios con esa política de IAM. Para asegurarse de que esos usuarios puedan seguir usando la consola Amazon DocumentDB, asocie también la política administrada AmazonDocDBConsoleFullAccess al usuario, según se explica en AWS políticas administradas para Amazon DocumentDB.

No es necesario que permita permisos mínimos de consola a los usuarios que solo realicen llamadas a la API AWS CLI o a la API de Amazon DocumentDB.

Ejemplos de políticas administradas por el cliente

En esta sección, encontrará ejemplos de políticas de usuario que conceden permisos para diversas acciones de Amazon DocumentDB. Estas políticas funcionan cuando utiliza las acciones de la API de Amazon DocumentDB, AWS los SDK o el. AWS CLI Cuando se utiliza la consola, debe conceder permisos adicionales específicos a la consola, tal y como se explica en Permisos necesarios para usar la consola de Amazon DocumentDB.

Para determinadas funciones de administración, Amazon DocumentDB utiliza tecnología operativa que se comparte con Amazon Relational Database Service (Amazon RDS) y Amazon Neptune.

nota

Todos los ejemplos utilizan la región este de EE. UU. (Norte de Virginia) (us-east-1) y contienen identificadores de cuenta ficticios.

Ejemplos

Ejemplo 1: permitir que un usuario realice cualquier acción Describe con cualquier recurso de Amazon DocumentDB
Ejemplo 2: Impedir que un usuario elimine una instancia
Ejemplo 3: impedir que un usuario cree un clúster a menos que el cifrado de almacenamiento esté habilitado

Ejemplo 1: permitir que un usuario realice cualquier acción Describe con cualquier recurso de Amazon DocumentDB

La siguiente política de permisos concede permisos a un usuario para ejecutar todas las acciones que empiezan por Describe. Estas acciones muestran información acerca de un recurso de Amazon DocumentDB, como una instancia. El carácter comodín (*) del elemento Resource indica que las acciones están permitidas en todos los recursos de Amazon DocumentDB que son propiedad de la cuenta.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"AllowRDSDescribe",
         "Effect":"Allow",
         "Action":"rds:Describe*",
         "Resource":"*"
      }
   ]
}

Ejemplo 2: Impedir que un usuario elimine una instancia

La siguiente política de permisos concede permisos para impedir que un usuario elimine una instancia específica. Por ejemplo, puede servir para impedir la eliminación de instancias de producción a cualquier usuario que no sea un administrador.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"DenyDelete1",
         "Effect":"Deny",
         "Action":"rds:DeleteDBInstance",
         "Resource":"arn:aws:rds:us-east-1:123456789012:db:my-db-instance"
      }
   ]
}

Ejemplo 3: impedir que un usuario cree un clúster a menos que el cifrado de almacenamiento esté habilitado

La siguiente política de permisos deniega los permisos a un usuario para crear un clúster de Amazon DocumentDB a menos que se habilite el cifrado de almacenamiento.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "PreventUnencryptedDocumentDB",
         "Effect": "Deny",
         "Action": "RDS:CreateDBCluster",
         "Condition": {
         "Bool": {
         "rds:StorageEncrypted": "false"
      },
         "StringEquals": {
         "rds:DatabaseEngine": "docdb"
         }
      },
      "Resource": "*"
      }
   ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Administración de permisos de acceso para los recursos de Amazon DocumentDB

AWS políticas administradas para Amazon DocumentDB