Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS politiques gérées pour Amazon DocumentDB
Pour ajouter des autorisations aux utilisateurs, aux groupes et aux rôles, il est plus facile d'utiliser des politiques AWS gérées que de les rédiger vous-même. Il faut du temps et de l'expertise pour créer des politiques gérées par les IAM clients qui fournissent à votre équipe uniquement les autorisations dont elle a besoin. Pour démarrer rapidement, vous pouvez utiliser nos politiques AWS gérées. Ces politiques couvrent les cas d'utilisation courants et sont disponibles dans votre AWS compte. Pour plus d'informations sur les politiques AWS gérées, consultez les politiques AWS gérées dans le guide de l'utilisateur d'AWS Identity and Access Management.
AWS les services maintiennent et mettent à jour les politiques AWS gérées. Vous ne pouvez pas modifier les autorisations dans les politiques AWS gérées. Les services ajoutent parfois des autorisations supplémentaires à une politique AWS gérée pour prendre en charge de nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont plus susceptibles de mettre à jour une politique AWS gérée lorsqu'une nouvelle fonctionnalité est lancée ou lorsque de nouvelles opérations sont disponibles. Les services ne suppriment pas les autorisations d'une politique AWS gérée. Les mises à jour des politiques n'endommageront donc pas vos autorisations existantes.
En outre, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, la politique ViewOnlyAccess
AWS gérée fournit un accès en lecture seule à de nombreux AWS services et ressources. Lorsqu'un service lance une nouvelle fonctionnalité, il AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir une liste et une description des politiques relatives aux fonctions de travail, voir les politiques AWS gérées pour les fonctions de travail dans le guide de l'utilisateur d'AWS Identity and Access Management.
Les politiques AWS gérées suivantes, que vous pouvez associer aux utilisateurs de votre compte, sont spécifiques à Amazon DocumentDB :
AmazonDocDBFullAccess— Accorde un accès complet à toutes les ressources Amazon DocumentDB pour le compte root AWS .
AmazonDocDBReadOnlyAccess— Accorde un accès en lecture seule à toutes les ressources Amazon DocumentDB pour le compte root. AWS
AmazonDocDBConsoleFullAccess— Accorde un accès complet pour gérer les ressources du cluster élastique Amazon DocumentDB et Amazon DocumentDB à l'aide du. AWS Management Console
AmazonDocDBElasticReadOnlyAccess— Accorde un accès en lecture seule à toutes les ressources du cluster élastique Amazon DocumentDB pour le compte racine. AWS
AmazonDocDBElasticFullAccess— Accorde un accès complet à toutes les ressources du cluster élastique Amazon DocumentDB pour le compte root AWS .
AmazonDocDBFullAccess
Cette politique accorde des autorisations administratives qui permettent un accès complet principal à toutes les actions Amazon DocumentDB. Les autorisations définies dans cette politique sont regroupées comme suit :
Les autorisations Amazon DocumentDB autorisent toutes les actions Amazon DocumentDB.
Certaines des EC2 autorisations Amazon définies dans cette politique sont requises pour valider les ressources transmises dans le cadre d'une API demande. Cela permet de s'assurer qu'Amazon DocumentDB est capable d'utiliser correctement les ressources avec un cluster. Les autres EC2 autorisations Amazon définies dans cette politique permettent à Amazon DocumentDB de créer les AWS ressources nécessaires pour vous permettre de vous connecter à vos clusters.
Les autorisations Amazon DocumentDB sont utilisées lors des API appels pour valider les ressources transmises dans une demande. Ils sont nécessaires pour qu'Amazon DocumentDB puisse utiliser la clé transmise avec le cluster Amazon DocumentDB.
Les CloudWatch journaux sont nécessaires pour qu'Amazon DocumentDB puisse garantir que les destinations de livraison des journaux sont accessibles et qu'ils sont valides pour l'utilisation des journaux des courtiers.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "rds:AddRoleToDBCluster", "rds:AddSourceIdentifierToSubscription", "rds:AddTagsToResource", "rds:ApplyPendingMaintenanceAction", "rds:CopyDBClusterParameterGroup", "rds:CopyDBClusterSnapshot", "rds:CopyDBParameterGroup", "rds:CreateDBCluster", "rds:CreateDBClusterParameterGroup", "rds:CreateDBClusterSnapshot", "rds:CreateDBInstance", "rds:CreateDBParameterGroup", "rds:CreateDBSubnetGroup", "rds:CreateEventSubscription", "rds:DeleteDBCluster", "rds:DeleteDBClusterParameterGroup", "rds:DeleteDBClusterSnapshot", "rds:DeleteDBInstance", "rds:DeleteDBParameterGroup", "rds:DeleteDBSubnetGroup", "rds:DeleteEventSubscription", "rds:DescribeAccountAttributes", "rds:DescribeCertificates", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBClusterParameters", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBLogFiles", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSecurityGroups", "rds:DescribeDBSubnetGroups", "rds:DescribeEngineDefaultClusterParameters", "rds:DescribeEngineDefaultParameters", "rds:DescribeEventCategories", "rds:DescribeEventSubscriptions", "rds:DescribeEvents", "rds:DescribeOptionGroups", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribePendingMaintenanceActions", "rds:DescribeValidDBInstanceModifications", "rds:DownloadDBLogFilePortion", "rds:FailoverDBCluster", "rds:ListTagsForResource", "rds:ModifyDBCluster", "rds:ModifyDBClusterParameterGroup", "rds:ModifyDBClusterSnapshotAttribute", "rds:ModifyDBInstance", "rds:ModifyDBParameterGroup", "rds:ModifyDBSubnetGroup", "rds:ModifyEventSubscription", "rds:PromoteReadReplicaDBCluster", "rds:RebootDBInstance", "rds:RemoveRoleFromDBCluster", "rds:RemoveSourceIdentifierFromSubscription", "rds:RemoveTagsFromResource", "rds:ResetDBClusterParameterGroup", "rds:ResetDBParameterGroup", "rds:RestoreDBClusterFromSnapshot", "rds:RestoreDBClusterToPointInTime" ], "Effect": "Allow", "Resource": [ "*" ] }, { "Action": [ "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "ec2:DescribeAccountAttributes", "ec2:DescribeAvailabilityZones", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcs", "kms:ListAliases", "kms:ListKeyPolicies", "kms:ListKeys", "kms:ListRetirableGrants", "logs:DescribeLogStreams", "logs:GetLogEvents", "sns:ListSubscriptions", "sns:ListTopics", "sns:Publish" ], "Effect": "Allow", "Resource": [ "*" ] }, { "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS", "Condition": { "StringLike": { "iam:AWS ServiceName": "rds.amazonaws.com" } } } ] }
AmazonDocDBReadOnlyAccess
Cette politique accorde des autorisations en lecture seule qui permettent aux utilisateurs de consulter les informations dans Amazon DocumentDB. Les directeurs auxquels cette politique est attachée ne peuvent effectuer aucune mise à jour ou supprimer des ressources existantes, ni créer de nouvelles ressources Amazon DocumentDB. Par exemple, les principaux disposant de ces autorisations peuvent consulter la liste des clusters et des configurations associés à leur compte, mais ne peuvent pas modifier la configuration ou les paramètres des clusters. Les autorisations définies dans cette politique sont regroupées comme suit :
Les autorisations Amazon DocumentDB vous permettent de répertorier les ressources Amazon DocumentDB, de les décrire et d'obtenir des informations les concernant.
Les EC2 autorisations Amazon sont utilisées pour décrire AmazonVPC, les sous-réseaux, les groupes de sécurité et ceux ENIs qui sont associés à un cluster.
Une autorisation Amazon DocumentDB est utilisée pour décrire la clé associée au cluster.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "rds:DescribeAccountAttributes", "rds:DescribeCertificates", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBClusterParameters", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBLogFiles", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSubnetGroups", "rds:DescribeEventCategories", "rds:DescribeEventSubscriptions", "rds:DescribeEvents", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribePendingMaintenanceActions", "rds:DownloadDBLogFilePortion", "rds:ListTagsForResource" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "ec2:DescribeAccountAttributes", "ec2:DescribeAvailabilityZones", "ec2:DescribeInternetGateways", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcs" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "kms:ListKeys", "kms:ListRetirableGrants", "kms:ListAliases", "kms:ListKeyPolicies" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "logs:DescribeLogStreams", "logs:GetLogEvents" ], "Effect": "Allow", "Resource": [ "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*", "arn:aws:logs:*:*:log-group:/aws/docdb/*:log-stream:*" ] } ] }
AmazonDocDBConsoleFullAccess
Accorde un accès complet à la gestion des ressources Amazon DocumentDB à l' AWS Management Console aide des méthodes suivantes :
Les autorisations Amazon DocumentDB permettant d'autoriser toutes les actions de cluster Amazon DocumentDB et Amazon DocumentDB.
Certaines des EC2 autorisations Amazon définies dans cette politique sont requises pour valider les ressources transmises dans le cadre d'une API demande. Cela permet de s'assurer qu'Amazon DocumentDB est en mesure d'utiliser correctement les ressources pour approvisionner et gérer le cluster. Les autres EC2 autorisations Amazon définies dans cette politique permettent à Amazon DocumentDB de créer les AWS ressources nécessaires pour vous permettre de vous connecter à vos clusters, par exemple. VPCEndpoint
AWS KMS les autorisations sont utilisées lors des API appels AWS KMS pour valider les ressources transmises dans une demande. Ils sont nécessaires pour qu'Amazon DocumentDB puisse utiliser la clé transmise pour chiffrer et déchiffrer les données au repos avec le cluster élastique Amazon DocumentDB.
Les CloudWatch journaux sont nécessaires pour qu'Amazon DocumentDB puisse garantir que les destinations de livraison des journaux sont accessibles et qu'ils sont valides pour l'audit et le profilage de l'utilisation des journaux.
Les autorisations de Secrets Manager sont requises pour valider un secret donné et l'utiliser pour configurer l'utilisateur administrateur pour les clusters élastiques Amazon DocumentDB.
Les RDS autorisations Amazon sont requises pour les actions de gestion du cluster Amazon DocumentDB. Pour certaines fonctionnalités de gestion, Amazon DocumentDB utilise une technologie opérationnelle partagée avec Amazon. RDS
SNSles autorisations permettent aux principaux d'accéder aux abonnements et aux sujets Amazon Simple Notification Service (AmazonSNS), et de publier SNS des messages Amazon.
IAMdes autorisations sont requises pour créer les rôles liés au service requis pour la publication des métriques et des journaux.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DocdbSids", "Effect": "Allow", "Action": [ "docdb-elastic:CreateCluster", "docdb-elastic:UpdateCluster", "docdb-elastic:GetCluster", "docdb-elastic:DeleteCluster", "docdb-elastic:ListClusters", "docdb-elastic:CreateClusterSnapshot", "docdb-elastic:GetClusterSnapshot", "docdb-elastic:DeleteClusterSnapshot", "docdb-elastic:ListClusterSnapshots", "docdb-elastic:RestoreClusterFromSnapshot", "docdb-elastic:TagResource", "docdb-elastic:UntagResource", "docdb-elastic:ListTagsForResource", "docdb-elastic:CopyClusterSnapshot", "docdb-elastic:StartCluster", "docdb-elastic:StopCluster", "rds:AddRoleToDBCluster", "rds:AddSourceIdentifierToSubscription", "rds:AddTagsToResource", "rds:ApplyPendingMaintenanceAction", "rds:CopyDBClusterParameterGroup", "rds:CopyDBClusterSnapshot", "rds:CopyDBParameterGroup", "rds:CreateDBCluster", "rds:CreateDBClusterParameterGroup", "rds:CreateDBClusterSnapshot", "rds:CreateDBInstance", "rds:CreateDBParameterGroup", "rds:CreateDBSubnetGroup", "rds:CreateEventSubscription", "rds:CreateGlobalCluster", "rds:DeleteDBCluster", "rds:DeleteDBClusterParameterGroup", "rds:DeleteDBClusterSnapshot", "rds:DeleteDBInstance", "rds:DeleteDBParameterGroup", "rds:DeleteDBSubnetGroup", "rds:DeleteEventSubscription", "rds:DeleteGlobalCluster", "rds:DescribeAccountAttributes", "rds:DescribeCertificates", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBClusterParameters", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBLogFiles", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSecurityGroups", "rds:DescribeDBSubnetGroups", "rds:DescribeEngineDefaultClusterParameters", "rds:DescribeEngineDefaultParameters", "rds:DescribeEventCategories", "rds:DescribeEventSubscriptions", "rds:DescribeEvents", "rds:DescribeGlobalClusters", "rds:DescribeOptionGroups", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribePendingMaintenanceActions", "rds:DescribeValidDBInstanceModifications", "rds:DownloadDBLogFilePortion", "rds:FailoverDBCluster", "rds:ListTagsForResource", "rds:ModifyDBCluster", "rds:ModifyDBClusterParameterGroup", "rds:ModifyDBClusterSnapshotAttribute", "rds:ModifyDBInstance", "rds:ModifyDBParameterGroup", "rds:ModifyDBSubnetGroup", "rds:ModifyEventSubscription", "rds:ModifyGlobalCluster", "rds:PromoteReadReplicaDBCluster", "rds:RebootDBInstance", "rds:RemoveFromGlobalCluster", "rds:RemoveRoleFromDBCluster", "rds:RemoveSourceIdentifierFromSubscription", "rds:RemoveTagsFromResource", "rds:ResetDBClusterParameterGroup", "rds:ResetDBParameterGroup", "rds:RestoreDBClusterFromSnapshot", "rds:RestoreDBClusterToPointInTime" ], "Resource": [ "*" ] }, { "Sid": "DependencySids", "Effect": "Allow", "Action": [ "iam:GetRole", "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "ec2:AllocateAddress", "ec2:AssignIpv6Addresses", "ec2:AssignPrivateIpAddresses", "ec2:AssociateAddress", "ec2:AssociateRouteTable", "ec2:AssociateSubnetCidrBlock", "ec2:AssociateVpcCidrBlock", "ec2:AttachInternetGateway", "ec2:AttachNetworkInterface", "ec2:CreateCustomerGateway", "ec2:CreateDefaultSubnet", "ec2:CreateDefaultVpc", "ec2:CreateInternetGateway", "ec2:CreateNatGateway", "ec2:CreateNetworkInterface", "ec2:CreateRoute", "ec2:CreateRouteTable", "ec2:CreateSecurityGroup", "ec2:CreateSubnet", "ec2:CreateVpc", "ec2:CreateVpcEndpoint", "ec2:DescribeAccountAttributes", "ec2:DescribeAddresses", "ec2:DescribeAvailabilityZones", "ec2:DescribeCustomerGateways", "ec2:DescribeInstances", "ec2:DescribeNatGateways", "ec2:DescribeNetworkInterfaces", "ec2:DescribePrefixLists", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroupReferences", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ec2:ModifyNetworkInterfaceAttribute", "ec2:ModifySubnetAttribute", "ec2:ModifyVpcAttribute", "ec2:ModifyVpcEndpoint", "kms:DescribeKey", "kms:ListAliases", "kms:ListKeyPolicies", "kms:ListKeys", "kms:ListRetirableGrants", "logs:DescribeLogStreams", "logs:GetLogEvents", "sns:ListSubscriptions", "sns:ListTopics", "sns:Publish" ], "Resource": [ "*" ] }, { "Sid": "DocdbSLRSid", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS", "Condition": { "StringLike": { "iam:AWSServiceName": "rds.amazonaws.com" } } }, { "Sid": "DocdbElasticSLRSid", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic", "Condition": { "StringLike": { "iam:AWSServiceName": "docdb-elastic.amazonaws.com" } } } ] }
AmazonDocDBElasticReadOnlyAccess
Cette politique accorde des autorisations en lecture seule qui permettent aux utilisateurs de consulter les informations relatives aux clusters élastiques dans Amazon DocumentDB. Les directeurs auxquels cette politique est attachée ne peuvent effectuer aucune mise à jour ou supprimer des ressources existantes, ni créer de nouvelles ressources Amazon DocumentDB. Par exemple, les principaux disposant de ces autorisations peuvent consulter la liste des clusters et des configurations associés à leur compte, mais ne peuvent pas modifier la configuration ou les paramètres des clusters. Les autorisations définies dans cette politique sont regroupées comme suit :
Les autorisations du cluster élastique Amazon DocumentDB vous permettent de répertorier les ressources du cluster élastique Amazon DocumentDB, de les décrire et d'obtenir des informations à leur sujet.
CloudWatch les autorisations sont utilisées pour vérifier les métriques de service.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "docdb-elastic:ListClusters", "docdb-elastic:GetCluster", "docdb-elastic:ListClusterSnapshots", "docdb-elastic:GetClusterSnapshot", "docdb-elastic:ListTagsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics" ], "Resource": "*" } ] }
AmazonDocDBElasticFullAccess
Cette politique accorde des autorisations administratives qui permettent un accès complet principal à toutes les actions Amazon DocumentDB pour le cluster élastique Amazon DocumentDB.
Cette politique utilise des AWS balises (https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) dans des conditions permettant de définir l'accès aux ressources. Si vous utilisez un secret, il doit être étiqueté avec une clé de balise DocDBElasticFullAccess
et une valeur de balise. Si vous utilisez une clé gérée par le client, elle doit être étiquetée avec une clé de balise DocDBElasticFullAccess
et une valeur de balise.
Les autorisations définies dans cette politique sont regroupées comme suit :
Les autorisations du cluster élastique Amazon DocumentDB autorisent toutes les actions Amazon DocumentDB.
Certaines des EC2 autorisations Amazon définies dans cette politique sont requises pour valider les ressources transmises dans le cadre d'une API demande. Cela permet de s'assurer qu'Amazon DocumentDB est en mesure d'utiliser correctement les ressources pour approvisionner et gérer le cluster. Les autres EC2 autorisations Amazon définies dans cette politique permettent à Amazon DocumentDB de créer les AWS ressources nécessaires pour vous permettre de vous connecter à vos clusters comme un VPC point de terminaison.
AWS KMS des autorisations sont requises pour qu'Amazon DocumentDB puisse utiliser la clé transmise pour chiffrer et déchiffrer les données au repos au sein du cluster élastique Amazon DocumentDB.
Note
La clé gérée par le client doit comporter une étiquette avec clé
DocDBElasticFullAccess
et une valeur de balise.SecretsManager des autorisations sont requises pour valider le secret donné et l'utiliser pour configurer l'utilisateur administrateur pour les clusters élastiques Amazon DocumentDB.
Note
Le secret utilisé doit avoir une balise avec clé
DocDBElasticFullAccess
et une valeur de balise.IAMdes autorisations sont requises pour créer les rôles liés au service requis pour la publication des métriques et des journaux.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DocdbElasticSid", "Effect": "Allow", "Action": [ "docdb-elastic:CreateCluster", "docdb-elastic:UpdateCluster", "docdb-elastic:GetCluster", "docdb-elastic:DeleteCluster", "docdb-elastic:ListClusters", "docdb-elastic:CreateClusterSnapshot", "docdb-elastic:GetClusterSnapshot", "docdb-elastic:DeleteClusterSnapshot", "docdb-elastic:ListClusterSnapshots", "docdb-elastic:RestoreClusterFromSnapshot", "docdb-elastic:TagResource", "docdb-elastic:UntagResource", "docdb-elastic:ListTagsForResource", "docdb-elastic:CopyClusterSnapshot", "docdb-elastic:StartCluster", "docdb-elastic:StopCluster" ], "Resource": [ "*" ] }, { "Sid": "EC2Sid", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:DescribeVpcEndpoints", "ec2:DeleteVpcEndpoints", "ec2:ModifyVpcEndpoint", "ec2:DescribeVpcAttribute", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeAvailabilityZones", "secretsmanager:ListSecrets" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:CalledViaFirst": "docdb-elastic.amazonaws.com" } } }, { "Sid": "KMSSid", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": [ "docdb-elastic.*.amazonaws.com" ], "aws:ResourceTag/DocDBElasticFullAccess": "*" } } }, { "Sid": "KMSGrantSid", "Effect": "Allow", "Action": [ "kms:CreateGrant" ], "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/DocDBElasticFullAccess": "*", "kms:ViaService": [ "docdb-elastic.*.amazonaws.com" ] }, "Bool": { "kms:GrantIsForAWSResource": true } } }, { "Sid": "SecretManagerSid", "Effect": "Allow", "Action": [ "secretsmanager:ListSecretVersionIds", "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:GetResourcePolicy" ], "Resource": "*", "Condition": { "StringLike": { "secretsmanager:ResourceTag/DocDBElasticFullAccess": "*" }, "StringEquals": { "aws:CalledViaFirst": "docdb-elastic.amazonaws.com" } } }, { "Sid": "CloudwatchSid", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics" ], "Resource": [ "*" ] }, { "Sid": "SLRSid", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic", "Condition": { "StringLike": { "iam:AWSServiceName": "docdb-elastic.amazonaws.com" } } } ] }
AmazonDocDB- ElasticServiceRolePolicy
Vous ne pouvez pas vous attacher AmazonDocDBElasticServiceRolePolicy
à vos AWS Identity and Access Management entités. Cette politique est associée à un rôle lié à un service qui permet à Amazon DocumentDB d'effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter Rôles liés aux services dans les clusters élastiques.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": [ "AWS/DocDB-Elastic" ] } } } ] }
Amazon DocumentDB met à jour les politiques gérées AWS
Modification | Description | Date |
---|---|---|
AmazonDocDBElasticFullAccess, AmazonDocDBConsoleFullAccess - Modifier | Les politiques ont été mises à jour pour ajouter des actions de démarrage/arrêt du cluster et de copie des instantanés du cluster. | 21/02/2024 |
AmazonDocDBElasticReadOnlyAccess, AmazonDocDBElasticFullAccess - Modifier | Politiques mises à jour pour ajouter des cloudwatch:GetMetricData actions. |
21/06/2023 |
AmazonDocDBElasticReadOnlyAccess : nouvelle politique | Nouvelle politique gérée pour les clusters élastiques Amazon DocumentDB | 08/06/2023 |
AmazonDocDBElasticFullAccess : nouvelle politique | Nouvelle politique gérée pour les clusters élastiques Amazon DocumentDB | 05/06/2023 |
AmazonDocDB- ElasticServiceRolePolicy : nouvelle politique | Amazon DocumentDB crée un nouveau rôle lié au service AWS ServiceRoleForDoc DB-Elastic pour les clusters élastiques Amazon DocumentDB | 30/11/2022 |
AmazonDocDBConsoleFullAccess- Changement | Politique mise à jour pour ajouter les autorisations de cluster globales et élastiques d'Amazon DocumentDB | 30/11/2022 |
AmazonDocDBConsoleFullAccess,AmazonDocDBFullAccess, AmazonDocDBReadOnlyAccess - Nouvelle politique | Lancement de service | 19/01/2017 |