AWS políticas administradas para Amazon DocumentDB - Amazon DocumentDB

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS políticas administradas para Amazon DocumentDB

Para añadir permisos a los usuarios, grupos y roles, es más fácil usar políticas AWS administradas que escribirlas usted mismo. Crear políticas gestionadas por los IAM clientes que proporcionen a tu equipo solo los permisos que necesita requiere tiempo y experiencia. Para empezar rápidamente, puedes usar nuestras políticas AWS gestionadas. Estas políticas cubren casos de uso comunes y están disponibles en tu AWS cuenta. Para obtener más información sobre las políticas AWS administradas, consulte las políticas AWS administradas en la Guía del usuario de AWS Identity and Access Management.

AWS los servicios mantienen y AWS actualizan las políticas administradas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios añaden permisos adicionales a una política AWS gestionada para admitir nuevas funciones. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Lo más probable es que los servicios actualicen una política AWS administrada cuando se lanza una nueva función o cuando hay nuevas operaciones disponibles. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.

Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política ViewOnlyAccess AWS gestionada proporciona acceso de solo lectura a muchos AWS servicios y recursos. Cuando un servicio lanza una nueva función, AWS agrega permisos de solo lectura para nuevas operaciones y recursos. Para obtener una lista y descripciones de las políticas de funciones, consulte Políticas administradas de AWS para funciones de trabajo en la Guía del usuario de la gestión de identidades y accesos de AWS .

Las siguientes políticas AWS gestionadas, que puede adjuntar a los usuarios de su cuenta, son específicas de Amazon DocumentDB:

  • AmazonDocDBFullAccess— Otorga acceso completo a todos los recursos de Amazon DocumentDB para la cuenta raíz AWS .

  • AmazonDocDBReadOnlyAccess— Otorga acceso de solo lectura a todos los recursos de Amazon DocumentDB para la cuenta raíz. AWS

  • AmazonDocDBConsoleFullAccess: otorga acceso completo para administrar Amazon DocumentDB y los recursos de clústeres elásticos de Amazon DocumentDB mediante la AWS Management Console.

  • AmazonDocDBElasticReadOnlyAccess— Otorga acceso de solo lectura a todos los recursos del clúster elástico de Amazon DocumentDB para la cuenta raíz. AWS

  • AmazonDocDBElasticFullAccess— Otorga acceso completo a todos los recursos del clúster elástico de Amazon DocumentDB para la cuenta raíz AWS .

AmazonDocDBFullAccess

Esta política otorga permisos administrativos que brindan a una entidad principal acceso completo a todas las acciones de Amazon DocumentDB. Los permisos de esta política se agrupan de la siguiente manera:

  • Los permisos de Amazon DocumentDB permiten todas las acciones de Amazon DocumentDB.

  • Algunos de los EC2 permisos de Amazon de esta política son necesarios para validar los recursos aprobados en una API solicitud. Esto es para garantizar que Amazon DocumentDB pueda utilizar correctamente los recursos con un clúster. El resto de los EC2 permisos de Amazon de esta política permiten a Amazon DocumentDB crear AWS los recursos necesarios para que pueda conectarse a sus clústeres.

  • Los permisos de Amazon DocumentDB se utilizan durante las API llamadas para validar los recursos transferidos en una solicitud. Son necesarios para que Amazon DocumentDB pueda utilizar la clave pasada con el clúster de Amazon DocumentDB.

  • Los CloudWatch registros son necesarios para que Amazon DocumentDB pueda garantizar que se pueda acceder a los destinos de entrega de los registros y que sean válidos para el uso de los registros por parte de los agentes.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "rds:AddRoleToDBCluster", "rds:AddSourceIdentifierToSubscription", "rds:AddTagsToResource", "rds:ApplyPendingMaintenanceAction", "rds:CopyDBClusterParameterGroup", "rds:CopyDBClusterSnapshot", "rds:CopyDBParameterGroup", "rds:CreateDBCluster", "rds:CreateDBClusterParameterGroup", "rds:CreateDBClusterSnapshot", "rds:CreateDBInstance", "rds:CreateDBParameterGroup", "rds:CreateDBSubnetGroup", "rds:CreateEventSubscription", "rds:DeleteDBCluster", "rds:DeleteDBClusterParameterGroup", "rds:DeleteDBClusterSnapshot", "rds:DeleteDBInstance", "rds:DeleteDBParameterGroup", "rds:DeleteDBSubnetGroup", "rds:DeleteEventSubscription", "rds:DescribeAccountAttributes", "rds:DescribeCertificates", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBClusterParameters", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBLogFiles", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSecurityGroups", "rds:DescribeDBSubnetGroups", "rds:DescribeEngineDefaultClusterParameters", "rds:DescribeEngineDefaultParameters", "rds:DescribeEventCategories", "rds:DescribeEventSubscriptions", "rds:DescribeEvents", "rds:DescribeOptionGroups", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribePendingMaintenanceActions", "rds:DescribeValidDBInstanceModifications", "rds:DownloadDBLogFilePortion", "rds:FailoverDBCluster", "rds:ListTagsForResource", "rds:ModifyDBCluster", "rds:ModifyDBClusterParameterGroup", "rds:ModifyDBClusterSnapshotAttribute", "rds:ModifyDBInstance", "rds:ModifyDBParameterGroup", "rds:ModifyDBSubnetGroup", "rds:ModifyEventSubscription", "rds:PromoteReadReplicaDBCluster", "rds:RebootDBInstance", "rds:RemoveRoleFromDBCluster", "rds:RemoveSourceIdentifierFromSubscription", "rds:RemoveTagsFromResource", "rds:ResetDBClusterParameterGroup", "rds:ResetDBParameterGroup", "rds:RestoreDBClusterFromSnapshot", "rds:RestoreDBClusterToPointInTime" ], "Effect": "Allow", "Resource": [ "*" ] }, { "Action": [ "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "ec2:DescribeAccountAttributes", "ec2:DescribeAvailabilityZones", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcs", "kms:ListAliases", "kms:ListKeyPolicies", "kms:ListKeys", "kms:ListRetirableGrants", "logs:DescribeLogStreams", "logs:GetLogEvents", "sns:ListSubscriptions", "sns:ListTopics", "sns:Publish" ], "Effect": "Allow", "Resource": [ "*" ] }, { "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS", "Condition": { "StringLike": { "iam:AWS ServiceName": "rds.amazonaws.com" } } } ] }

AmazonDocDBReadOnlyAccess

Esta política otorga permisos de solo lectura que permiten a los usuarios ver información en Amazon DocumentDB. Las entidades principales con esta política asociada no pueden realizar actualizaciones ni eliminar los recursos existentes, ni pueden crear nuevos recursos de Amazon DocumentDB. Por ejemplo, las entidades principales con estos permisos pueden ver la lista de configuraciones y clústeres asociados a su cuenta, pero no pueden cambiar la configuración ni los ajustes de ningún clúster. Los permisos de esta política se agrupan de la siguiente manera:

  • Los permisos de Amazon DocumentDB le permiten enumerar los recursos de Amazon DocumentDB, describirlos y obtener información sobre ellos.

  • Los EC2 permisos de Amazon se utilizan para describir AmazonVPC, las subredes y ENIs los grupos de seguridad asociados a un clúster.

  • El permiso de Amazon DocumentDB se utiliza para describir la clave asociada al clúster.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "rds:DescribeAccountAttributes", "rds:DescribeCertificates", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBClusterParameters", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBLogFiles", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSubnetGroups", "rds:DescribeEventCategories", "rds:DescribeEventSubscriptions", "rds:DescribeEvents", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribePendingMaintenanceActions", "rds:DownloadDBLogFilePortion", "rds:ListTagsForResource" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "ec2:DescribeAccountAttributes", "ec2:DescribeAvailabilityZones", "ec2:DescribeInternetGateways", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcs" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "kms:ListKeys", "kms:ListRetirableGrants", "kms:ListAliases", "kms:ListKeyPolicies" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "logs:DescribeLogStreams", "logs:GetLogEvents" ], "Effect": "Allow", "Resource": [ "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*", "arn:aws:logs:*:*:log-group:/aws/docdb/*:log-stream:*" ] } ] }

AmazonDocDBConsoleFullAccess

Otorga acceso completo a la administración de los recursos de Amazon DocumentDB mediante lo siguiente AWS Management Console :

  • Los permisos de Amazon DocumentDB permiten todas las acciones de Amazon DocumentDB y de clústeres de Amazon DocumentDB.

  • Algunos de los EC2 permisos de Amazon de esta política son necesarios para validar los recursos aprobados en una API solicitud. Esto es para garantizar que Amazon DocumentDB pueda utilizar correctamente los recursos para ofrecer y mantener un clúster. El resto de los EC2 permisos de Amazon de esta política permiten a Amazon DocumentDB crear AWS los recursos necesarios para que pueda conectarse a sus clústeres, por ejemplo. VPCEndpoint

  • AWS KMS los permisos se utilizan durante API las llamadas AWS KMS para validar los recursos transferidos en una solicitud. Son necesarios para que Amazon DocumentDB pueda utilizar la clave pasada para cifrar y descifrar los datos en reposo con el clúster elástico de Amazon DocumentDB.

  • Los CloudWatch registros son necesarios para que Amazon DocumentDB pueda garantizar que se pueda acceder a los destinos de entrega de los registros y que sean válidos para auditar y perfilar el uso de los registros.

  • Los permisos de Secrets Manager son necesarios para validar un secreto determinado y usarlo para configurar el usuario administrador de los clústeres elásticos de Amazon DocumentDB.

  • Se requieren RDS permisos de Amazon para las acciones de administración de clústeres de Amazon DocumentDB. Para determinadas funciones de administración, Amazon DocumentDB utiliza tecnología operativa que se comparte con Amazon. RDS

  • SNSLos permisos permiten a los directores acceder a las suscripciones y los temas del Amazon Simple Notification Service (AmazonSNS) y publicar los SNS mensajes de Amazon.

  • IAMse requieren permisos para crear las funciones vinculadas al servicio necesarias para la publicación de métricas y registros.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DocdbSids", "Effect": "Allow", "Action": [ "docdb-elastic:CreateCluster", "docdb-elastic:UpdateCluster", "docdb-elastic:GetCluster", "docdb-elastic:DeleteCluster", "docdb-elastic:ListClusters", "docdb-elastic:CreateClusterSnapshot", "docdb-elastic:GetClusterSnapshot", "docdb-elastic:DeleteClusterSnapshot", "docdb-elastic:ListClusterSnapshots", "docdb-elastic:RestoreClusterFromSnapshot", "docdb-elastic:TagResource", "docdb-elastic:UntagResource", "docdb-elastic:ListTagsForResource", "docdb-elastic:CopyClusterSnapshot", "docdb-elastic:StartCluster", "docdb-elastic:StopCluster", "rds:AddRoleToDBCluster", "rds:AddSourceIdentifierToSubscription", "rds:AddTagsToResource", "rds:ApplyPendingMaintenanceAction", "rds:CopyDBClusterParameterGroup", "rds:CopyDBClusterSnapshot", "rds:CopyDBParameterGroup", "rds:CreateDBCluster", "rds:CreateDBClusterParameterGroup", "rds:CreateDBClusterSnapshot", "rds:CreateDBInstance", "rds:CreateDBParameterGroup", "rds:CreateDBSubnetGroup", "rds:CreateEventSubscription", "rds:CreateGlobalCluster", "rds:DeleteDBCluster", "rds:DeleteDBClusterParameterGroup", "rds:DeleteDBClusterSnapshot", "rds:DeleteDBInstance", "rds:DeleteDBParameterGroup", "rds:DeleteDBSubnetGroup", "rds:DeleteEventSubscription", "rds:DeleteGlobalCluster", "rds:DescribeAccountAttributes", "rds:DescribeCertificates", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBClusterParameters", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBLogFiles", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSecurityGroups", "rds:DescribeDBSubnetGroups", "rds:DescribeEngineDefaultClusterParameters", "rds:DescribeEngineDefaultParameters", "rds:DescribeEventCategories", "rds:DescribeEventSubscriptions", "rds:DescribeEvents", "rds:DescribeGlobalClusters", "rds:DescribeOptionGroups", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribePendingMaintenanceActions", "rds:DescribeValidDBInstanceModifications", "rds:DownloadDBLogFilePortion", "rds:FailoverDBCluster", "rds:ListTagsForResource", "rds:ModifyDBCluster", "rds:ModifyDBClusterParameterGroup", "rds:ModifyDBClusterSnapshotAttribute", "rds:ModifyDBInstance", "rds:ModifyDBParameterGroup", "rds:ModifyDBSubnetGroup", "rds:ModifyEventSubscription", "rds:ModifyGlobalCluster", "rds:PromoteReadReplicaDBCluster", "rds:RebootDBInstance", "rds:RemoveFromGlobalCluster", "rds:RemoveRoleFromDBCluster", "rds:RemoveSourceIdentifierFromSubscription", "rds:RemoveTagsFromResource", "rds:ResetDBClusterParameterGroup", "rds:ResetDBParameterGroup", "rds:RestoreDBClusterFromSnapshot", "rds:RestoreDBClusterToPointInTime" ], "Resource": [ "*" ] }, { "Sid": "DependencySids", "Effect": "Allow", "Action": [ "iam:GetRole", "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "ec2:AllocateAddress", "ec2:AssignIpv6Addresses", "ec2:AssignPrivateIpAddresses", "ec2:AssociateAddress", "ec2:AssociateRouteTable", "ec2:AssociateSubnetCidrBlock", "ec2:AssociateVpcCidrBlock", "ec2:AttachInternetGateway", "ec2:AttachNetworkInterface", "ec2:CreateCustomerGateway", "ec2:CreateDefaultSubnet", "ec2:CreateDefaultVpc", "ec2:CreateInternetGateway", "ec2:CreateNatGateway", "ec2:CreateNetworkInterface", "ec2:CreateRoute", "ec2:CreateRouteTable", "ec2:CreateSecurityGroup", "ec2:CreateSubnet", "ec2:CreateVpc", "ec2:CreateVpcEndpoint", "ec2:DescribeAccountAttributes", "ec2:DescribeAddresses", "ec2:DescribeAvailabilityZones", "ec2:DescribeCustomerGateways", "ec2:DescribeInstances", "ec2:DescribeNatGateways", "ec2:DescribeNetworkInterfaces", "ec2:DescribePrefixLists", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroupReferences", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ec2:ModifyNetworkInterfaceAttribute", "ec2:ModifySubnetAttribute", "ec2:ModifyVpcAttribute", "ec2:ModifyVpcEndpoint", "kms:DescribeKey", "kms:ListAliases", "kms:ListKeyPolicies", "kms:ListKeys", "kms:ListRetirableGrants", "logs:DescribeLogStreams", "logs:GetLogEvents", "sns:ListSubscriptions", "sns:ListTopics", "sns:Publish" ], "Resource": [ "*" ] }, { "Sid": "DocdbSLRSid", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS", "Condition": { "StringLike": { "iam:AWSServiceName": "rds.amazonaws.com" } } }, { "Sid": "DocdbElasticSLRSid", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic", "Condition": { "StringLike": { "iam:AWSServiceName": "docdb-elastic.amazonaws.com" } } } ] }

AmazonDocDBElasticReadOnlyAccess

Esta política otorga permisos de solo lectura que permiten a los usuarios ver información del clúster elástico en Amazon DocumentDB. Las entidades principales con esta política asociada no pueden realizar actualizaciones ni eliminar los recursos existentes, ni pueden crear nuevos recursos de Amazon DocumentDB. Por ejemplo, las entidades principales con estos permisos pueden ver la lista de configuraciones y clústeres asociados a su cuenta, pero no pueden cambiar la configuración ni los ajustes de ningún clúster. Los permisos de esta política se agrupan de la siguiente manera:

  • Los permisos de clúster elástico de Amazon DocumentDB le permiten enumerar los recursos del clúster elástico de Amazon DocumentDB, describirlos y obtener información sobre ellos.

  • CloudWatch los permisos se utilizan para verificar las métricas del servicio.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "docdb-elastic:ListClusters", "docdb-elastic:GetCluster", "docdb-elastic:ListClusterSnapshots", "docdb-elastic:GetClusterSnapshot", "docdb-elastic:ListTagsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics" ], "Resource": "*" } ] }

AmazonDocDBElasticFullAccess

Esta política otorga permisos administrativos que brindan a una entidad principal acceso completo a todas las acciones de Amazon DocumentDB para un clúster elástico de Amazon DocumentDB.

Esta política utiliza AWS etiquetas (https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) dentro de las condiciones para limitar el acceso a los recursos. Si utiliza una secreta, debe estar etiquetada con una clave de etiqueta DocDBElasticFullAccess y un valor de etiqueta. Si utiliza una clave administrada por el cliente, debe estar etiquetada con una clave de etiqueta DocDBElasticFullAccess y un valor de etiqueta.

Los permisos de esta política se agrupan de la siguiente manera:

  • Los permisos de clúster elástico de Amazon DocumentDB permiten todas las acciones de Amazon DocumentDB.

  • Algunos de los EC2 permisos de Amazon de esta política son necesarios para validar los recursos aprobados en una API solicitud. Esto es para garantizar que Amazon DocumentDB pueda utilizar correctamente los recursos para ofrecer y mantener un clúster. El resto de los EC2 permisos de Amazon incluidos en esta política permiten a Amazon DocumentDB crear AWS los recursos necesarios para que pueda conectarse a sus clústeres como si fuera un VPC punto final.

  • AWS KMS se requieren permisos para que Amazon DocumentDB pueda utilizar la clave pasada para cifrar y descifrar los datos en reposo dentro del clúster elástico de Amazon DocumentDB.

    nota

    La clave administrada por el cliente debe tener una etiqueta con una clave DocDBElasticFullAccess y un valor de etiqueta.

  • SecretsManager se requieren permisos para validar un secreto determinado y usarlo para configurar el usuario administrador de los clústeres elásticos de Amazon DocumentDB.

    nota

    La secreta utilizada debe tener una etiqueta con una clave DocDBElasticFullAccess y un valor de etiqueta.

  • IAMse requieren permisos para crear las funciones vinculadas al servicio necesarias para la publicación de métricas y registros.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DocdbElasticSid", "Effect": "Allow", "Action": [ "docdb-elastic:CreateCluster", "docdb-elastic:UpdateCluster", "docdb-elastic:GetCluster", "docdb-elastic:DeleteCluster", "docdb-elastic:ListClusters", "docdb-elastic:CreateClusterSnapshot", "docdb-elastic:GetClusterSnapshot", "docdb-elastic:DeleteClusterSnapshot", "docdb-elastic:ListClusterSnapshots", "docdb-elastic:RestoreClusterFromSnapshot", "docdb-elastic:TagResource", "docdb-elastic:UntagResource", "docdb-elastic:ListTagsForResource", "docdb-elastic:CopyClusterSnapshot", "docdb-elastic:StartCluster", "docdb-elastic:StopCluster" ], "Resource": [ "*" ] }, { "Sid": "EC2Sid", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:DescribeVpcEndpoints", "ec2:DeleteVpcEndpoints", "ec2:ModifyVpcEndpoint", "ec2:DescribeVpcAttribute", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeAvailabilityZones", "secretsmanager:ListSecrets" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:CalledViaFirst": "docdb-elastic.amazonaws.com" } } }, { "Sid": "KMSSid", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": [ "docdb-elastic.*.amazonaws.com" ], "aws:ResourceTag/DocDBElasticFullAccess": "*" } } }, { "Sid": "KMSGrantSid", "Effect": "Allow", "Action": [ "kms:CreateGrant" ], "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/DocDBElasticFullAccess": "*", "kms:ViaService": [ "docdb-elastic.*.amazonaws.com" ] }, "Bool": { "kms:GrantIsForAWSResource": true } } }, { "Sid": "SecretManagerSid", "Effect": "Allow", "Action": [ "secretsmanager:ListSecretVersionIds", "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:GetResourcePolicy" ], "Resource": "*", "Condition": { "StringLike": { "secretsmanager:ResourceTag/DocDBElasticFullAccess": "*" }, "StringEquals": { "aws:CalledViaFirst": "docdb-elastic.amazonaws.com" } } }, { "Sid": "CloudwatchSid", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics" ], "Resource": [ "*" ] }, { "Sid": "SLRSid", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic", "Condition": { "StringLike": { "iam:AWSServiceName": "docdb-elastic.amazonaws.com" } } } ] }

AmazonDocBASE DE DATOS- ElasticServiceRolePolicy

No puedes unirte AmazonDocDBElasticServiceRolePolicy a tus AWS Identity and Access Management entidades. Esta política está adjunta a un rol vinculado a servicios que permite a Amazon DocumentDB realizar acciones en su nombre. Para obtener más información, consulte Roles vinculados a servicios en clústeres elásticos.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": [ "AWS/DocDB-Elastic" ] } } } ] }

Amazon DocumentDB actualiza las políticas gestionadas AWS

Cambio Descripción Fecha
AmazonDocDBElasticFullAccess, AmazonDocDBConsoleFullAccess - Cambio Se actualizaron las políticas para agregar acciones de inicio o detención del clúster y copia de instantáneas del clúster. 21 de febrero de 2024
AmazonDocDBElasticReadOnlyAccess, AmazonDocDBElasticFullAccess - Cambio Las políticas se actualizaron para añadir acciones cloudwatch:GetMetricData. 21/06/2023
AmazonDocDBElasticReadOnlyAccess: política nueva Nueva política administrada para los clústeres elásticos de Amazon DocumentDB 8/06/2023
AmazonDocDBElasticFullAccess: política nueva Nueva política administrada para los clústeres elásticos de Amazon DocumentDB 5/6/2023
AmazonDocBASE DE DATOS- ElasticServiceRolePolicy: política nueva Amazon DocumentDB crea un nuevo rol vinculado al servicio AWS ServiceRoleForDoc DB-Elastic para los clústeres elásticos de Amazon DocumentDB 30 de noviembre de 2022
AmazonDocDBConsoleFullAccess: cambio Política actualizada para añadir permisos de clúster elásticos y globales de Amazon DocumentDB 30/11/2022
AmazonDocDBConsoleFullAccess, AmazonDocDBFullAccess, AmazonDocDBReadOnlyAccess: política nueva Lanzamiento del servicio 19/1/2017