Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Identity and Access Management pour Amazon DocumentDB
Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être *authentifié* (connecté) et *autorisé (autorisé*) à utiliser les ressources Amazon DocumentDB. IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.
**Topics**
+ [Public ciblé](#security_iam_audience)
+ [Authentification par des identités](#security_iam_authentication)
+ [Gestion de l’accès à l’aide de politiques](#security_iam_access-manage)
+ [Comment Amazon DocumentDB fonctionne avec IAM](security_iam_service-with-iam.md)
+ [Exemples de politiques basées sur l'identité pour Amazon DocumentDB](security_iam_id-based-policy-examples.md)
+ [Résolution des problèmes d'identité et d'accès à Amazon DocumentDB](security_iam_troubleshoot.md)
+ [Gestion des autorisations d'accès à vos ressources Amazon DocumentDB](UsingWithRDS.IAM.AccessControl.Overview.md)
+ [Utilisation de politiques basées sur l'identité (politiques IAM) pour Amazon DocumentDB](UsingWithRDS.IAM.AccessControl.IdentityBased.md)
+ [AWS politiques gérées pour Amazon DocumentDB](docdb-managed-policies.md)
+ [Autorisations d'API Amazon DocumentDB : référence aux actions, aux ressources et aux conditions](UsingWithRDS.IAM.ResourcePermissions.md)
## Public ciblé
La façon dont vous utilisez Gestion des identités et des accès AWS (IAM) varie en fonction de votre rôle :
+ **Utilisateur du service** : demandez des autorisations à votre administrateur si vous ne pouvez pas accéder aux fonctionnalités (voir [Résolution des problèmes d'identité et d'accès à Amazon DocumentDB](security_iam_troubleshoot.md))
+ **Administrateur du service** : déterminez l’accès des utilisateurs et soumettez les demandes d’autorisation (voir [Comment Amazon DocumentDB fonctionne avec IAM](security_iam_service-with-iam.md))
+ **Administrateur IAM** : rédigez des politiques pour gérer l’accès (voir [Exemples de politiques basées sur l'identité pour Amazon DocumentDB](security_iam_id-based-policy-examples.md))
## Authentification par des identités
L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS
Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez [Connexion à votre Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l’utilisateur Connexion à AWS *.
Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez [Signature AWS Version 4 pour les demandes d’API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dans le *Guide de l’utilisateur IAM*.
### Compte AWS utilisateur root
Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*.
### Identité fédérée
Il est recommandé d'obliger les utilisateurs humains à utiliser la fédération avec un fournisseur d'identité pour accéder à Services AWS l'aide d'informations d'identification temporaires.
Une *identité fédérée* est un utilisateur provenant de l'annuaire de votre entreprise, de votre fournisseur d'identité Web ou Directory Service qui y accède à Services AWS l'aide d'informations d'identification provenant d'une source d'identité. Les identités fédérées assument des rôles qui fournissent des informations d’identification temporaires.
Pour une gestion des accès centralisée, nous vous recommandons d’utiliser AWS IAM Identity Center. Pour plus d’informations, consultez [Qu’est-ce que IAM Identity Center ?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
### Utilisateurs et groupes IAM
Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir [Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *guide de l'utilisateur IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.
### Rôles IAM
Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en [passant d'un rôle d'utilisateur à un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou en appelant une opération d' AWS API AWS CLI ou d'API. Pour plus d’informations, consultez [Méthodes pour endosser un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de l’utilisateur IAM*.
Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès intercompte, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
## Gestion de l’accès à l’aide de politiques
Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique définit les autorisations lorsqu'elles sont associées à une identité ou à une ressource. AWS évalue ces politiques lorsqu'un directeur fait une demande. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations les documents de politique JSON, consultez [Vue d’ensemble des politiques JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dans le *Guide de l’utilisateur IAM*.
À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel **principal** peut effectuer des **actions** sur quelles **ressources** et dans quelles **conditions**.
Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.
### Politiques basées sur l’identité
Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Les politiques basées sur l’identité peuvent être des *politiques intégrées* (intégrées directement dans une seule identité) ou des *politiques gérées (politiques* autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez [Choix entre les politiques gérées et les politiques en ligne](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dans le *Guide de l’utilisateur IAM*.
### Politiques basées sur les ressources
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Les exemples incluent *les politiques de confiance de rôle* IAM et les *stratégies de compartiment* Amazon S3. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources.
Les politiques basées sur les ressources sont des politiques en ligne situées dans ce service. Vous ne pouvez pas utiliser les politiques AWS gérées par IAM dans une stratégie basée sur les ressources.
### Autres types de politique
AWS prend en charge des types de politiques supplémentaires qui peuvent définir les autorisations maximales accordées par les types de politiques les plus courants :
+ **Limites d’autorisations** : une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Pour plus d’informations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
+ **Politiques de contrôle des services (SCPs)** — Spécifiez les autorisations maximales pour une organisation ou une unité organisationnelle dans AWS Organizations. Pour plus d’informations, consultez [Politiques de contrôle de service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *Guide de l’utilisateur AWS Organizations *.
+ **Politiques de contrôle des ressources (RCPs)** : définissez le maximum d'autorisations disponibles pour les ressources de vos comptes. Pour plus d'informations, voir [Politiques de contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) dans le *guide de AWS Organizations l'utilisateur*.
+ **Politiques de session** : politiques avancées que vous passez en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Pour plus d’informations, consultez [Politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dans le *Guide de l’utilisateur IAM*.
### Plusieurs types de politique
Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour savoir comment AWS déterminer s'il faut autoriser une demande lorsque plusieurs types de politiques sont impliqués, consultez la section [Logique d'évaluation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *guide de l'utilisateur IAM*.
# Comment Amazon DocumentDB fonctionne avec IAM
Avant d'utiliser IAM pour gérer l'accès à Amazon DocumentDB, découvrez quelles fonctionnalités IAM peuvent être utilisées avec Amazon DocumentDB.
**Fonctionnalités IAM que vous pouvez utiliser avec Amazon DocumentDB**
| Fonctionnalité IAM | Clusters basés sur des instances | Clusters élastiques |
| --- | --- | --- |
| [Politiques basées sur l’identité](#security_iam_service-with-iam-id-based-policies) | Oui | Oui |
| [Politiques basées sur les ressources](#security_iam_service-with-iam-resource-based-policies) | Non | Non |
| [Actions de politique](#security_iam_service-with-iam-id-based-policies-actions) | Oui | Oui |
| [Ressources de politique](#security_iam_service-with-iam-id-based-policies-resources) | Oui | Oui |
| [Clés de condition de politique (spécifiques au service)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Oui | Oui |
| [ACLs](#security_iam_service-with-iam-acls) | Non | Non |
| [ABAC (identifications dans les politiques)](#security_iam_service-with-iam-tags) | Partielle | Oui |
| [Informations d’identification temporaires](#security_iam_service-with-iam-roles-tempcreds) | Oui | Oui |
| [Autorisations de principal](#security_iam_service-with-iam-principal-permissions) | Oui | Oui |
| [Rôles de service](#security_iam_service-with-iam-roles-service) | Oui | Oui |
| [Rôles liés à un service](#security_iam_service-with-iam-roles-service-linked) | Non | Oui |
*Pour obtenir une vue d'ensemble de la façon dont Amazon DocumentDB et les autres AWS services fonctionnent avec la plupart des fonctionnalités IAM, consultez les [AWS services compatibles avec IAM dans le guide de l'utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
## Politiques basées sur l'identité pour Amazon DocumentDB
**Prend en charge les politiques basées sur l’identité :** oui
Les politiques basées sur l’identité sont des documents de politique d’autorisations JSON que vous pouvez attacher à une identité telle qu’un utilisateur, un groupe d’utilisateurs ou un rôle IAM. Ces politiques contrôlent quel type d’actions des utilisateurs et des rôles peuvent exécuter, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Avec les politiques IAM basées sur l’identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Pour découvrir tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l’utilisateur IAM*.
### Exemples de politiques basées sur l'identité pour Amazon DocumentDB
Pour consulter des exemples de politiques basées sur l'identité Amazon DocumentDB, consultez. [Exemples de politiques basées sur l'identité pour Amazon DocumentDB](security_iam_id-based-policy-examples.md)
## Politiques basées sur les ressources au sein d'Amazon DocumentDB
**Prend en charge les politiques basées sur les ressources :** non
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Par exemple, les *politiques de confiance de rôle* IAM et les *politiques de compartiment* Amazon S3 sont des politiques basées sur les ressources. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Pour la ressource dans laquelle se trouve la politique, cette dernière définit quel type d’actions un principal spécifié peut effectuer sur cette ressource et dans quelles conditions. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources. Les principaux peuvent inclure des comptes, des utilisateurs, des rôles, des utilisateurs fédérés ou. Services AWS
Pour permettre un accès intercompte, vous pouvez spécifier un compte entier ou des entités IAM dans un autre compte en tant que principal dans une politique basée sur les ressources. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
## Actions politiques pour Amazon DocumentDB
**Prend en charge les actions de politique :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
**Note**
Pour certaines fonctionnalités de gestion, Amazon DocumentDB utilise une technologie opérationnelle partagée avec Amazon Relational Database Service (Amazon RDS).
Pour consulter la liste des actions RDS, consultez la section [Actions définies par Amazon Relational Database Service dans le Service Authorization](https://docs.aws.amazon.com/en_us/service-authorization/latest/reference/list_amazonrds.html#amazonrds-actions-as-permissions) *Reference*.
Pour consulter les actions politiques relatives aux clusters élastiques Amazon DocumentDB, consultez la section [Actions définies par les clusters élastiques Amazon DocumentDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondocumentdbelasticclusters.html#amazondocumentdbelasticclusters-actions-as-permissions) dans *la* référence d'autorisation de service.
Les actions politiques dans Amazon DocumentDB utilisent le préfixe suivant avant l'action :
```
aws
```
Pour indiquer plusieurs actions dans une seule déclaration, séparez-les par des virgules.
```
"Action": [
"aws:action1",
"aws:action2"
]
```
Pour consulter des exemples de politiques basées sur l'identité Amazon DocumentDB, consultez. [Exemples de politiques basées sur l'identité pour Amazon DocumentDB](security_iam_id-based-policy-examples.md)
## Ressources relatives aux politiques pour Amazon DocumentDB
**Prend en charge les ressources de politique :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément de politique JSON `Resource` indique le ou les objets auxquels l’action s’applique. Il est recommandé de définir une ressource à l’aide de son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.
```
"Resource": "*"
```
**Note**
Pour certaines fonctionnalités de gestion, Amazon DocumentDB utilise une technologie opérationnelle partagée avec Amazon Relational Database Service (Amazon RDS).
Pour consulter la liste des types de ressources RDS et leurs caractéristiques ARNs, consultez la section [Ressources définies par Amazon Relational Database Service dans le Service Authorization](https://docs.aws.amazon.com/en_us/service-authorization/latest/reference/list_amazonrds.html#amazonrds-resources-for-iam-policies) *Reference*. Pour savoir avec quelles actions vous pouvez spécifier l'ARN de chaque ressource, consultez [Actions définies par Amazon Relational Database Service](https://docs.aws.amazon.com/en_us/service-authorization/latest/reference/list_amazonrds.html#amazonrds-actions-as-permissions).
*Pour consulter les types de ressources pour les clusters élastiques Amazon DocumentDB, consultez la section [Types de ressources définis par les clusters élastiques Amazon DocumentDB dans la référence d'autorisation](https://docs.aws.amazon.com/en_us/service-authorization/latest/reference/list_amazondocumentdbelasticclusters.html#amazondocumentdbelasticclusters-resources-for-iam-policies) de service.*
Pour consulter des exemples de politiques basées sur l'identité Amazon DocumentDB, consultez. [Exemples de politiques basées sur l'identité pour Amazon DocumentDB](security_iam_id-based-policy-examples.md)
## Clés de conditions de politique pour Amazon DocumentDB
**Prend en charge les clés de condition de politique spécifiques au service :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Condition` indique à quel moment les instructions s’exécutent en fonction de critères définis. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
**Note**
Pour certaines fonctionnalités de gestion, Amazon DocumentDB utilise une technologie opérationnelle partagée avec Amazon Relational Database Service (Amazon RDS).
Pour consulter la liste des clés de condition RDS, consultez la section [Clés de condition pour Amazon Relational Database](https://docs.aws.amazon.com/en_us/service-authorization/latest/reference/list_amazonrds.html#amazonrds-policy-keys) Service dans *le Service Authorization Reference*. Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, consultez [Actions définies par Amazon Relational Database Service](https://docs.aws.amazon.com/en_us/service-authorization/latest/reference/list_amazonrds.html#amazonrds-actions-as-permissions).
*Pour consulter les clés de condition pour les clusters élastiques Amazon DocumentDB, consultez la section Clés de [condition pour les clusters élastiques Amazon DocumentDB dans la référence d'autorisation](https://docs.aws.amazon.com/en_us/service-authorization/latest/reference/list_amazondocumentdbelasticclusters.html#amazondocumentdbelasticclusters-policy-keys) de service.*
Pour consulter des exemples de politiques basées sur l'identité Amazon DocumentDB, consultez. [Exemples de politiques basées sur l'identité pour Amazon DocumentDB](security_iam_id-based-policy-examples.md)
## ACLs dans Amazon DocumentDB
**Supports ACLs :** Non
Les listes de contrôle d'accès (ACLs) contrôlent les principaux (membres du compte, utilisateurs ou rôles) autorisés à accéder à une ressource. ACLs sont similaires aux politiques basées sur les ressources, bien qu'elles n'utilisent pas le format de document de politique JSON.
## ABAC avec Amazon DocumentDB
**Note**
ABAC n'est que partiellement pris en charge pour les clusters basés sur des instances, mais il est pris en charge pour les clusters élastiques.
Le contrôle d’accès par attributs (ABAC) est une stratégie d’autorisation qui définit les autorisations en fonction des attributs appelés balises. Vous pouvez associer des balises aux entités et aux AWS ressources IAM, puis concevoir des politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de la ressource.
Pour contrôler l’accès basé sur des étiquettes, vous devez fournir les informations d’étiquette dans l’[élément de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) d’une politique utilisant les clés de condition `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`.
Si un service prend en charge les trois clés de condition pour tous les types de ressources, alors la valeur pour ce service est **Oui**. Si un service prend en charge les trois clés de condition pour certains types de ressources uniquement, la valeur est **Partielle**.
Pour plus d’informations sur ABAC, consultez [Définition d’autorisations avec l’autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*. Pour accéder à un didacticiel décrivant les étapes de configuration de l’ABAC, consultez [Utilisation du contrôle d’accès par attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*.
## Utilisation d'informations d'identification temporaires avec Amazon DocumentDB
**Prend en charge les informations d’identification temporaires :** oui
Les informations d'identification temporaires fournissent un accès à court terme aux AWS ressources et sont automatiquement créées lorsque vous utilisez la fédération ou que vous changez de rôle. AWS recommande de générer dynamiquement des informations d'identification temporaires au lieu d'utiliser des clés d'accès à long terme. Pour plus d’informations, consultez [Informations d’identification de sécurité temporaires dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) et [Services AWS compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le *Guide de l’utilisateur IAM*.
## Autorisations principales interservices pour Amazon DocumentDB
**Prend en charge les sessions d’accès direct (FAS) :** oui
Les sessions d'accès direct (FAS) utilisent les autorisations du principal appelant et Service AWS, combinées Service AWS à la demande d'envoi de demandes aux services en aval. Pour plus de détails sur la politique relative à la transmission de demandes FAS, consultez la section [Sessions de transmission d’accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Rôles de service pour Amazon DocumentDB
**Prend en charge les rôles de service :** oui
Un rôle de service est un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) qu’un service endosse pour accomplir des actions en votre nom. Un administrateur IAM peut créer, modifier et supprimer un rôle de service à partir d’IAM. Pour plus d’informations, consultez [Création d’un rôle pour la délégation d’autorisations à un Service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *Guide de l’utilisateur IAM*.
**Avertissement**
La modification des autorisations associées à un rôle de service peut perturber les fonctionnalités d'Amazon DocumentDB. Modifiez les rôles de service uniquement lorsque Amazon DocumentDB fournit des instructions à cet effet.
## Rôles liés à un service pour Amazon DocumentDB
**Note**
Les rôles liés à un service ne sont pas pris en charge pour les clusters basés sur des instances, mais sont pris en charge pour les clusters élastiques.
Un rôle lié à un service est un type de rôle de service lié à un. Service AWS Le service peut endosser le rôle afin d’effectuer une action en votre nom. Les rôles liés au service apparaissent dans votre Compte AWS fichier et appartiennent au service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.
Pour plus d’informations sur la création ou la gestion des rôles liés à un service, consultez [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Recherchez un service dans le tableau qui inclut un `Yes` dans la colonne **Rôle lié à un service**. Choisissez le lien **Oui** pour consulter la documentation du rôle lié à ce service.
# Exemples de politiques basées sur l'identité pour Amazon DocumentDB
Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou à modifier des ressources Amazon DocumentDB. Pour octroyer aux utilisateurs des autorisations d’effectuer des actions sur les ressources dont ils ont besoin, un administrateur IAM peut créer des politiques IAM.
Pour apprendre à créer une politique basée sur l’identité IAM à l’aide de ces exemples de documents de politique JSON, consultez [Création de politiques IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) dans le *Guide de l’utilisateur IAM*.
*Pour plus de détails sur les actions et les types de ressources définis par Amazon DocumentDB, y compris le format du ARNs pour chacun des types de ressources, consultez la section [Actions, ressources et clés de condition pour Amazon Relational Database Service dans la référence d'autorisation du service](https://docs.aws.amazon.com/en_us/service-authorization/latest/reference/list_amazonrds.html).*
**Note**
Pour certaines fonctionnalités de gestion, Amazon DocumentDB utilise une technologie opérationnelle partagée avec Amazon Relational Database Service (Amazon RDS).
Pour les actions politiques relatives aux clusters élastiques Amazon DocumentDB, consultez la section [Actions, ressources et clés de condition pour les clusters élastiques Amazon DocumentDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondocumentdbelasticclusters.html) dans *la* référence d'autorisation de service.
**Topics**
+ [Bonnes pratiques en matière de politiques](#security_iam_service-with-iam-policy-best-practices)
+ [Utilisation de la console Amazon DocumentDB](#security_iam_id-based-policy-examples-console)
+ [Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations](#security_iam_id-based-policy-examples-view-own-permissions)
## Bonnes pratiques en matière de politiques
Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer des ressources Amazon DocumentDB dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations** à vos utilisateurs et à vos charges de travail, utilisez les *politiques AWS gérées* qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exiger l'authentification multifactorielle (MFA**) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
## Utilisation de la console Amazon DocumentDB
Pour accéder à la console Amazon DocumentDB (compatible avec MongoDB), vous devez disposer d'un ensemble minimum d'autorisations. Ces autorisations doivent vous permettre de répertorier et de consulter les informations relatives aux ressources Amazon DocumentDB présentes dans votre. Compte AWS Si vous créez une politique basée sur l’identité qui est plus restrictive que l’ensemble minimum d’autorisations requis, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs ou rôles) tributaires de cette politique.
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API AWS CLI ou l' AWS API. Autorisez plutôt l’accès à uniquement aux actions qui correspondent à l’opération d’API qu’ils tentent d’effectuer.
Pour garantir que les utilisateurs et les rôles peuvent toujours utiliser la console Amazon DocumentDB, associez également Amazon `ConsoleAccess` DocumentDB `ReadOnly` AWS ou la politique gérée aux entités. Pour plus d’informations, consultez [Ajout d’autorisations à un utilisateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dans le *Guide de l’utilisateur IAM*.
## Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Résolution des problèmes d'identité et d'accès à Amazon DocumentDB
Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec Amazon DocumentDB et IAM.
**Topics**
+ [Je ne suis pas autorisé à effectuer une action dans Amazon DocumentDB](#security_iam_troubleshoot-no-permissions)
+ [Je ne suis pas autorisé à effectuer iam : PassRole](#security_iam_troubleshoot-passrole)
+ [Je souhaite autoriser des personnes extérieures à moi Compte AWS à accéder à mes ressources Amazon DocumentDB](#security_iam_troubleshoot-cross-account-access)
## Je ne suis pas autorisé à effectuer une action dans Amazon DocumentDB
Si vous recevez une erreur qui indique que vous n’êtes pas autorisé à effectuer une action, vos politiques doivent être mises à jour afin de vous permettre d’effectuer l’action.
L’exemple d’erreur suivant se produit quand l’utilisateur IAM `mateojackson` tente d’utiliser la console pour afficher des informations détaillées sur une ressource `my-example-widget` fictive, mais ne dispose pas des autorisations `aws:GetWidget` fictives.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: aws:GetWidget on resource: my-example-widget
```
Dans ce cas, la politique qui s’applique à l’utilisateur `mateojackson` doit être mise à jour pour autoriser l’accès à la ressource `my-example-widget` à l’aide de l’action `aws:GetWidget`.
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.
## Je ne suis pas autorisé à effectuer iam : PassRole
Si vous recevez un message d'erreur indiquant que vous n'êtes pas autorisé à effectuer l'`iam:PassRole`action, vos politiques doivent être mises à jour pour vous permettre de transmettre un rôle à Amazon DocumentDB.
Certains vous Services AWS permettent de transmettre un rôle existant à ce service au lieu de créer un nouveau rôle de service ou un rôle lié à un service. Pour ce faire, vous devez disposer des autorisations nécessaires pour transmettre le rôle au service.
L'exemple d'erreur suivant se produit lorsqu'un utilisateur IAM nommé `marymajor` essaie d'utiliser la console pour effectuer une action dans Amazon DocumentDB. Toutefois, l’action nécessite que le service ait des autorisations accordées par un rôle de service. Mary n'est pas autorisée à transmettre le rôle au service.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dans ce cas, les politiques de Mary doivent être mises à jour pour lui permettre d’exécuter l’action `iam:PassRole`.
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.
## Je souhaite autoriser des personnes extérieures à moi Compte AWS à accéder à mes ressources Amazon DocumentDB
Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.
Pour plus d’informations, consultez les éléments suivants :
+ Pour savoir si Amazon DocumentDB prend en charge ces fonctionnalités, consultez. [Comment Amazon DocumentDB fonctionne avec IAM](security_iam_service-with-iam.md)
+ Pour savoir comment fournir l'accès à vos ressources sur celles Comptes AWS que vous possédez, consultez la section [Fournir l'accès à un utilisateur IAM dans un autre utilisateur Compte AWS que vous possédez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) dans le Guide de l'*utilisateur IAM*.
+ Pour savoir comment fournir l'accès à vos ressources à des tiers Comptes AWS, consultez la section [Fournir un accès à des ressources Comptes AWS détenues par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le *guide de l'utilisateur IAM*.
+ Pour savoir comment fournir un accès par le biais de la fédération d’identité, consultez [Fournir un accès à des utilisateurs authentifiés en externe (fédération d’identité)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dans le *Guide de l’utilisateur IAM*.
+ Pour en savoir plus sur la différence entre l’utilisation des rôles et des politiques basées sur les ressources pour l’accès intercompte, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
# Gestion des autorisations d'accès à vos ressources Amazon DocumentDB
Chaque AWS ressource appartient à un Compte AWS, et les autorisations de création ou d'accès aux ressources sont régies par des politiques d'autorisation. Un administrateur de compte peut associer des politiques d'autorisations aux identités IAM (c'est-à-dire aux utilisateurs, aux groupes et aux rôles), et certains services (tels que AWS Lambda) prennent également en charge l'attachement de politiques d'autorisations aux ressources.
**Note**
Un *administrateur de compte* (ou utilisateur administrateur) est un utilisateur doté d'autorisations d'administrateur. Pour plus d'informations, consultez [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l'utilisateur IAM*.
**Topics**
+ [Ressources et opérations Amazon DocumentDB](#CreatingIAMPolicies-RDS)
+ [Présentation de la propriété des ressources](#UsingWithRDS.IAM.AccessControl.ResourceOwner)
+ [Gestion de l’accès aux ressources](#UsingWithRDS.IAM.AccessControl.ManagingAccess)
+ [Spécification des éléments de politique : actions, effets, ressources et principes](#SpecifyingIAMPolicyActions-RDS)
+ [Spécification de conditions dans une politique](#SpecifyingIAMPolicyConditions-RDS)
## Ressources et opérations Amazon DocumentDB
*Dans Amazon DocumentDB, la ressource principale est un cluster.* Amazon DocumentDB prend en charge d'autres ressources qui peuvent être utilisées avec la ressource principale, telles que les *instances, les* *groupes de paramètres et les* abonnements aux *événements*. Ces ressources sont appelées *sous-ressources*.
Ces ressources et sous-ressources sont associées à des noms de ressources Amazon uniques (ARNs), comme indiqué dans le tableau suivant.
| **Type de ressource** | **Format ARN** |
| --- | --- |
| Cluster | `arn:aws:rds:region:account-id:cluster:db-cluster-name` |
| Groupe de paramètres du cluster | `arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name` |
| Instantané du cluster | `arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name` |
| Instance | `arn:aws:rds:region:account-id:db:db-instance-name` |
| Groupe de sécurité | `arn:aws:rds:region:account-id:secgrp:security-group-name` |
| Groupe de sous-réseaux | `arn:aws:rds:region:account-id:subgrp:subnet-group-name` |
Amazon DocumentDB fournit un ensemble d'opérations permettant de travailler avec les ressources Amazon DocumentDB. Pour obtenir la liste des opérations disponibles, consultez [Actions](https://docs.aws.amazon.com/documentdb/latest/developerguide/API_Operations.html).
## Présentation de la propriété des ressources
*Le propriétaire d'une ressource* est celui Compte AWS qui a créé une ressource. En d'autres termes, le propriétaire Compte AWS de la ressource est l'*entité principale* (le compte root, un utilisateur IAM ou un rôle IAM) qui authentifie la demande qui crée la ressource. Les exemples suivants illustrent comment cela fonctionne :
+ Si vous utilisez les informations d'identification de votre compte root Compte AWS pour créer une ressource Amazon DocumentDB, telle qu'une instance, vous Compte AWS êtes le propriétaire de la ressource Amazon DocumentDB.
+ Si vous créez un utilisateur IAM dans votre compte Compte AWS et que vous accordez l'autorisation de créer des ressources Amazon DocumentDB à cet utilisateur, celui-ci peut créer des ressources Amazon DocumentDB. Cependant, vous Compte AWS, à laquelle appartient l'utilisateur, êtes propriétaire des ressources Amazon DocumentDB.
+ Si vous créez un rôle IAM Compte AWS avec l'autorisation de créer des ressources Amazon DocumentDB, toute personne capable d'assumer ce rôle peut créer des ressources Amazon DocumentDB. À qui appartient le rôle Compte AWS, vous êtes propriétaire des ressources Amazon DocumentDB.
## Gestion de l’accès aux ressources
Une *politique d'autorisation* décrit qui a accès à quoi. La section suivante explique les options disponibles pour créer des politiques d'autorisations.
**Note**
Cette section décrit l'utilisation d'IAM dans le contexte d'Amazon DocumentDB. Elle ne fournit pas d’informations détaillées sur le service IAM. Pour une documentation complète sur IAM, veuillez consulter [Qu'est-ce qu'IAM ?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) dans le *Guide de l'utilisateur IAM*. Pour plus d'informations sur la syntaxe et les descriptions des politiques IAM, consultez la section [Référence des AWSIAM politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dans le guide de l'*utilisateur IAM*.
Les politiques qui sont associées à une identité IAM sont appelées des politiques *basées sur l'identité* (politiques IAM). Les politiques qui sont attachées à une ressource sont appelées politiques *basées sur la ressource*. Amazon DocumentDB prend uniquement en charge les politiques basées sur l'identité (politiques IAM).
**Topics**
+ [Politiques basées sur une identité (politiques IAM)](#UsingWithRDS.IAM.AccessControl.ManagingAccess.IdentityBased)
+ [Politiques basées sur les ressources](#UsingWithRDS.IAM.AccessControl.ManagingAccess.ResourceBased)
### Politiques basées sur une identité (politiques IAM)
Vous pouvez attacher des politiques à des identités IAM. Par exemple, vous pouvez effectuer les opérations suivantes :
+ **Associez une politique d'autorisations à un utilisateur ou à un groupe de votre compte** : un administrateur de compte peut utiliser une politique d'autorisations associée à un utilisateur particulier pour autoriser cet utilisateur à créer une ressource Amazon DocumentDB, telle qu'une instance.
+ **Attacher une politique d'autorisations à un rôle (accorder des autorisations entre comptes)** : vous pouvez attacher une politique d'autorisation basée sur une identité à un rôle IAM afin d'accorder des autorisations entre comptes. Par exemple, un administrateur peut créer un rôle pour accorder des autorisations entre comptes à un autre Compte AWS ou à un AWS service comme suit :
1. L'administrateur du Compte A crée un rôle IAM et attache une politique d'autorisation à ce rôle qui accorde des autorisations sur les ressources dans le Compte A.
1. L'administrateur du Compte A attache une politique d'approbation au rôle identifiant le Compte B comme principal pouvant assumer ce rôle.
1. L'administrateur du compte B peut ensuite déléguer les autorisations nécessaires pour assumer le rôle à n'importe quel utilisateur du compte B. Cela permet aux utilisateurs du compte B de créer ou d'accéder aux ressources du compte A. Le principal de la politique de confiance peut également être un principal de AWS service si vous souhaitez autoriser un AWS service à assumer ce rôle.
Pour en savoir plus sur l'utilisation d'IAM pour déléguer des autorisations, consultez [Gestion des accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) dans le *Guide de l'utilisateur IAM*.
Voici un exemple de politique qui permet à l'utilisateur possédant l'ID `123456789012` de créer des instances pour votre Compte AWS. La nouvelle instance doit utiliser un groupe d'options et un groupe de paramètres de base de données commençant par `default`, et elle doit utiliser le groupe de sous-réseaux `default`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateDBInstanceOnly",
"Effect": "Allow",
"Action": [
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:rds:*:123456789012:db:test*",
"arn:aws:rds:*:123456789012:pg:cluster-pg:default*",
"arn:aws:rds:*:123456789012:subgrp:default"
]
}
]
}
```
------
Pour plus d'informations sur l'utilisation de politiques basées sur l'identité avec Amazon DocumentDB, consultez. [Utilisation de politiques basées sur l'identité (politiques IAM) pour Amazon DocumentDB](UsingWithRDS.IAM.AccessControl.IdentityBased.md) Pour de plus amples informations sur les utilisateurs, les groupes, les rôles et les autorisations, consultez [Identités (utilisateurs, groupes et rôles)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) dans le *Guide de l'utilisateur IAM*.
### Politiques basées sur les ressources
D'autres services, tels qu'Amazon Simple Storage Service (Amazon S3), prennent également en charge les politiques d'autorisation basées sur les ressources. Par exemple, vous pouvez attacher une politique à un compartiment Amazon S3 pour gérer les autorisations d'accès à ce compartiment. Amazon DocumentDB ne prend pas en charge les politiques basées sur les ressources.
## Spécification des éléments de politique : actions, effets, ressources et principes
Pour chaque ressource Amazon DocumentDB (voir[Ressources et opérations Amazon DocumentDB](#CreatingIAMPolicies-RDS)), le service définit un ensemble d'opérations d'API. Pour plus d'informations, consultez [Actions](https://docs.aws.amazon.com/redshift/latest/APIReference/API_Operations.html). Pour accorder des autorisations pour ces opérations d'API, Amazon DocumentDB définit un ensemble d'actions que vous pouvez spécifier dans une politique. Une opération d’API peut exiger des autorisations pour plusieurs actions.
Voici les éléments de base d’une politique :
+ **Ressource** : dans une politique, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la politique s’applique.
+ **Action :** vous utilisez des mots clés d’action pour identifier les opérations de ressource que vous voulez accorder ou refuser. Par exemple, l'autorisation `rds:DescribeDBInstances` permet à l'utilisateur d'effectuer l'opération `DescribeDBInstances`.
+ **Effet** – Vous spécifiez l’effet produit lorsque l’utilisateur demande l’action spécifique, qui peut être une autorisation ou un refus. Si vous n’accordez pas explicitement l’accès pour (autoriser) une ressource, l’accès est implicitement refusé. Vous pouvez aussi explicitement refuser l’accès à une ressource, ce que vous pouvez faire afin de vous assurer qu’un utilisateur n’y a pas accès, même si une politique différente accorde l’accès.
+ **Principal** – dans les politiques basées sur une identité (politiques IAM), l’utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur une ressource, vous spécifiez l’utilisateur, le compte, le service ou une autre entité qui doit recevoir les autorisations (s’applique uniquement aux politiques basées sur une ressource). Amazon DocumentDB ne prend pas en charge les politiques basées sur les ressources.
Pour en savoir plus sur la syntaxe des stratégies IAM et pour obtenir des descriptions, consultez [Référence de stratégie IAM AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dans le *Guide de l'utilisateur IAM*.
Pour un tableau présentant toutes les actions de l'API Amazon DocumentDB et les ressources auxquelles elles s'appliquent, consultez. [Autorisations d'API Amazon DocumentDB : référence aux actions, aux ressources et aux conditions](UsingWithRDS.IAM.ResourcePermissions.md)
## Spécification de conditions dans une politique
Lorsque vous accordez des autorisations, vous pouvez utiliser le langage des politiques IAM afin de spécifier les conditions définissant à quel moment une politique doit prendre effet. Par exemple, il est possible d'appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification de conditions dans un langage de politique, consultez [Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) dans le *Guide de l'utilisateur IAM*.
Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. Amazon DocumentDB ne possède aucune clé de contexte spécifique à un service pouvant être utilisée dans une politique IAM. Pour accéder à la liste des clés de contexte de condition disponibles pour tous les services, consultez [Clés de condition disponibles](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) dans le *Guide de l'utilisateur IAM*.
# Utilisation de politiques basées sur l'identité (politiques IAM) pour Amazon DocumentDB
**Important**
Pour certaines fonctionnalités de gestion, Amazon DocumentDB utilise une technologie opérationnelle partagée avec Amazon RDS. Les appels à la console Amazon DocumentDB et à l'API sont enregistrés en tant qu'appels passés à l'API Amazon RDS. AWS CLI
Nous vous recommandons de consulter d'abord les rubriques d'introduction qui expliquent les concepts de base et les options disponibles pour gérer l'accès à vos ressources Amazon DocumentDB. Pour de plus amples informations, veuillez consulter [Gestion des autorisations d'accès à vos ressources Amazon DocumentDB](UsingWithRDS.IAM.AccessControl.Overview.md).
Cette rubrique fournit des exemples de politiques basées sur une identité dans lesquelles un administrateur de compte peut attacher des politiques d’autorisation aux identités IAM (c’est-à-dire aux utilisateurs, groupes et rôles).
Voici un exemple de politique IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateDBInstanceOnly",
"Effect": "Allow",
"Action": [
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:rds:*:123456789012:db:test*",
"arn:aws:rds:*:123456789012:pg:cluster-pg:default*",
"arn:aws:rds:*:123456789012:subgrp:default"
]
}
]
}
```
------
La politique inclut une instruction unique spécifiant les autorisations suivantes pour l'utilisateur IAM :
+ La politique permet à l'utilisateur IAM de créer une instance à l'aide de l'DBInstanceaction [Créer](https://docs.aws.amazon.com/documentdb/latest/developerguide/API_CreateDBInstance.html) (cela s'applique également à l'[create-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-instance.html) AWS CLI opération et au AWS Management Console).
+ L’élément `Resource` spécifie que l’utilisateur peut effectuer des actions sur et avec des ressources. Vous indiquez des ressources à l'aide d'un Amazon Resources Name (ARN). Cet ARN inclut le nom du service auquel appartient la ressource (`rds`), le Région AWS (`*`indique n'importe quelle région dans cet exemple), le numéro de compte utilisateur (`123456789012`il s'agit de l'ID utilisateur dans cet exemple) et le type de ressource.
L’élément `Resource` dans l’exemple spécifie les contraintes de stratégie suivantes sur les ressources de l’utilisateur :
+ L'identifiant d'instance de la nouvelle instance doit commencer par `test` (par exemple, `testCustomerData1`, `test-region2-data`).
+ Le groupe de paramètres du cluster de la nouvelle instance doit commencer par `default`.
+ Le groupe de sous-réseaux de la nouvelle instance doit être le groupe de sous-réseaux `default`.
La politique ne spécifie pas l’élément `Principal` car, dans une politique basée sur une identité, vous ne spécifiez pas le principal qui obtient l’autorisation. Quand vous attachez une politique à un utilisateur, l'utilisateur est le principal implicite. Lorsque vous attachez une politique d'autorisation à un rôle IAM, le principal identifié dans la politique d'approbation de ce rôle obtient les autorisations.
Pour un tableau présentant toutes les opérations de l'API Amazon DocumentDB et les ressources auxquelles elles s'appliquent, consultez. [Autorisations d'API Amazon DocumentDB : référence aux actions, aux ressources et aux conditions](UsingWithRDS.IAM.ResourcePermissions.md)
## Autorisations requises pour utiliser la console Amazon DocumentDB
Pour qu'un utilisateur puisse utiliser la console Amazon DocumentDB, il doit disposer d'un ensemble minimal d'autorisations. Ces autorisations permettent à l'utilisateur de décrire les ressources Amazon DocumentDB qui lui sont associées Compte AWS et de fournir d'autres informations connexes, notamment des informations relatives à la sécurité et au réseau Amazon EC2.
Si vous créez une politique IAM plus restrictive que les autorisations minimales requises, la console ne fonctionnera pas comme prévu pour les utilisateurs dotés de cette politique IAM. Pour garantir que ces utilisateurs peuvent toujours utiliser la console Amazon DocumentDB, associez également la politique `AmazonDocDBConsoleFullAccess` gérée à l'utilisateur, comme décrit dans. [AWS politiques gérées pour Amazon DocumentDB](docdb-managed-policies.md)
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API Amazon DocumentDB AWS CLI ou l'API Amazon DocumentDB.
## Exemples de politiques gérées par le client
Dans cette section, vous trouverez des exemples de politiques utilisateur qui accordent des autorisations pour diverses actions Amazon DocumentDB. Ces politiques fonctionnent lorsque vous utilisez des actions d'API Amazon DocumentDB AWS SDKs, ou le. AWS CLI Lorsque vous utilisez la console, vous devez accorder des autorisations supplémentaires spécifiques à la console, ce qui est détaillé dans [Autorisations requises pour utiliser la console Amazon DocumentDB](#UsingWithRDS.IAM.RequiredPermissions.Console).
Pour certaines fonctionnalités de gestion, Amazon DocumentDB utilise une technologie opérationnelle partagée avec Amazon Relational Database Service (Amazon RDS) et Amazon Neptune.
**Note**
Tous les exemples utilisent la région de l'Est des États-Unis (Virginie du Nord`us-east-1`) () et contiennent un récit fictif. IDs
**Topics**
+ [Exemple 1 : autoriser un utilisateur à effectuer n'importe quelle action de description sur n'importe quelle ressource Amazon DocumentDB](#IAMPolicyExamples-RDS-perform-describe-action)
+ [Exemple 2 : Empêcher un utilisateur de supprimer une instance](#IAMPolicyExamples-RDS-prevent-db-deletion)
+ [Exemple 3 : Empêcher un utilisateur de créer un cluster à moins que le chiffrement du stockage ne soit activé](#IAMPolicyExamples-Prevent-Cluster)
### Exemple 1 : autoriser un utilisateur à effectuer n'importe quelle action de description sur n'importe quelle ressource Amazon DocumentDB
La politique d’autorisation suivante accorde des autorisations à un utilisateur lui permettant d’exécuter toutes les actions commençant par `Describe`. Ces actions affichent des informations sur une ressource Amazon DocumentDB, telle qu'une instance. Le caractère générique (\$1) dans l'`Resource`élément indique que les actions sont autorisées pour toutes les ressources Amazon DocumentDB détenues par le compte.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AllowRDSDescribe",
"Effect":"Allow",
"Action":"rds:Describe*",
"Resource":"*"
}
]
}
```
------
### Exemple 2 : Empêcher un utilisateur de supprimer une instance
La stratégie d'autorisation suivante accorde des autorisations empêchant un utilisateur de supprimer une instance spécifique. Par exemple, il est possible de refuser la capacité à supprimer vos instances de production à un utilisateur quelconque qui n'est pas un administrateur.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"DenyDelete1",
"Effect":"Deny",
"Action":"rds:DeleteDBInstance",
"Resource":"arn:aws:rds:us-east-1:123456789012:db:my-db-instance"
}
]
}
```
------
### Exemple 3 : Empêcher un utilisateur de créer un cluster à moins que le chiffrement du stockage ne soit activé
La politique d'autorisation suivante interdit à un utilisateur de créer un cluster Amazon DocumentDB à moins que le chiffrement du stockage ne soit activé.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PreventUnencryptedDocumentDB",
"Effect": "Deny",
"Action": "RDS:CreateDBCluster",
"Condition": {
"Bool": {
"rds:StorageEncrypted": "false"
},
"StringEquals": {
"rds:DatabaseEngine": "docdb"
}
},
"Resource": "*"
}
]
}
```
------
# AWS politiques gérées pour Amazon DocumentDB
Pour ajouter des autorisations aux utilisateurs, aux groupes et aux rôles, il est plus facile d'utiliser des politiques AWS gérées que de les rédiger vous-même. Il faut du temps et de l’expertise pour [créer des politiques gérées par le client IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) qui ne fournissent à votre équipe que les autorisations dont elle a besoin. Pour démarrer rapidement, vous pouvez utiliser nos politiques AWS gérées. Ces politiques couvrent les cas d'utilisation courants et sont disponibles dans votre AWS compte. Pour plus d'informations sur les politiques AWS gérées, consultez les [politiques AWS gérées](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *guide de l'utilisateur d'AWS Identity and Access Management*.
AWS les services maintiennent et mettent à jour les politiques AWS gérées. Vous ne pouvez pas modifier les autorisations dans les politiques AWS gérées. Les services ajoutent parfois des autorisations supplémentaires à une politique AWS gérée pour prendre en charge de nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont plus susceptibles de mettre à jour une politique AWS gérée lorsqu'une nouvelle fonctionnalité est lancée ou lorsque de nouvelles opérations sont disponibles. Les services ne suppriment pas les autorisations d'une politique AWS gérée. Les mises à jour des politiques n'endommageront donc pas vos autorisations existantes.
En outre, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, la politique `ViewOnlyAccess` AWS gérée fournit un accès en lecture seule à de nombreux AWS services et ressources. Lorsqu'un service lance une nouvelle fonctionnalité, il AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir une liste et une description des politiques relatives aux fonctions de travail, voir [les politiques AWS gérées pour les fonctions de travail](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *guide de l'utilisateur d'AWS Identity and Access Management*.
Les politiques AWS gérées suivantes, que vous pouvez associer aux utilisateurs de votre compte, sont spécifiques à Amazon DocumentDB :
+ [AmazonDocDBFullAccès](#AmazonDocDBFullAccess)— Accorde un accès complet à toutes les ressources Amazon DocumentDB pour le compte root AWS .
+ [AmazonDocDBReadOnlyAccess](#AmazonDocDBReadOnlyAccess)— Accorde un accès en lecture seule à toutes les ressources Amazon DocumentDB pour le compte root. AWS
+ [AmazonDocDBConsoleFullAccess](#AmazonDocDBConsoleFullAccess)— Accorde un accès complet pour gérer les ressources du cluster élastique Amazon DocumentDB et Amazon DocumentDB à l'aide du. AWS Management Console
+ [AmazonDocDBElasticReadOnlyAccess](#AmazonDocDB-ElasticReadOnlyAccess)— Accorde un accès en lecture seule à toutes les ressources du cluster élastique Amazon DocumentDB pour le compte racine. AWS
+ [AmazonDocDBElasticFullAccess](#AmazonDocDB-ElasticFullAccess)— Accorde un accès complet à toutes les ressources du cluster élastique Amazon DocumentDB pour le compte root AWS .
## AmazonDocDBFullAccès
Cette politique accorde des autorisations administratives qui permettent un accès complet principal à toutes les actions Amazon DocumentDB. Les autorisations définies dans cette politique sont regroupées comme suit :
+ Les autorisations Amazon DocumentDB autorisent toutes les actions Amazon DocumentDB.
+ Certaines des autorisations Amazon EC2 définies dans cette politique sont requises pour valider les ressources transmises dans le cadre d'une demande d'API. Cela permet de s'assurer qu'Amazon DocumentDB est capable d'utiliser correctement les ressources avec un cluster. Les autres autorisations Amazon EC2 de cette politique permettent à Amazon DocumentDB de AWS créer les ressources nécessaires pour vous permettre de vous connecter à vos clusters.
+ Les autorisations Amazon DocumentDB sont utilisées lors des appels d'API pour valider les ressources transmises dans une demande. Ils sont nécessaires pour qu'Amazon DocumentDB puisse utiliser la clé transmise avec le cluster Amazon DocumentDB.
+ Les CloudWatch journaux sont nécessaires pour qu'Amazon DocumentDB puisse garantir que les destinations de livraison des journaux sont accessibles et qu'ils sont valides pour l'utilisation des journaux des courtiers.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"rds:AddRoleToDBCluster",
"rds:AddSourceIdentifierToSubscription",
"rds:AddTagsToResource",
"rds:ApplyPendingMaintenanceAction",
"rds:CopyDBClusterParameterGroup",
"rds:CopyDBClusterSnapshot",
"rds:CopyDBParameterGroup",
"rds:CreateDBCluster",
"rds:CreateDBClusterParameterGroup",
"rds:CreateDBClusterSnapshot",
"rds:CreateDBInstance",
"rds:CreateDBParameterGroup",
"rds:CreateDBSubnetGroup",
"rds:CreateEventSubscription",
"rds:DeleteDBCluster",
"rds:DeleteDBClusterParameterGroup",
"rds:DeleteDBClusterSnapshot",
"rds:DeleteDBInstance",
"rds:DeleteDBParameterGroup",
"rds:DeleteDBSubnetGroup",
"rds:DeleteEventSubscription",
"rds:DescribeAccountAttributes",
"rds:DescribeCertificates",
"rds:DescribeDBClusterParameterGroups",
"rds:DescribeDBClusterParameters",
"rds:DescribeDBClusterSnapshotAttributes",
"rds:DescribeDBClusterSnapshots",
"rds:DescribeDBClusters",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeDBLogFiles",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBParameters",
"rds:DescribeDBSecurityGroups",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEngineDefaultClusterParameters",
"rds:DescribeEngineDefaultParameters",
"rds:DescribeEventCategories",
"rds:DescribeEventSubscriptions",
"rds:DescribeEvents",
"rds:DescribeOptionGroups",
"rds:DescribeOrderableDBInstanceOptions",
"rds:DescribePendingMaintenanceActions",
"rds:DescribeValidDBInstanceModifications",
"rds:DownloadDBLogFilePortion",
"rds:FailoverDBCluster",
"rds:ListTagsForResource",
"rds:ModifyDBCluster",
"rds:ModifyDBClusterParameterGroup",
"rds:ModifyDBClusterSnapshotAttribute",
"rds:ModifyDBInstance",
"rds:ModifyDBParameterGroup",
"rds:ModifyDBSubnetGroup",
"rds:ModifyEventSubscription",
"rds:PromoteReadReplicaDBCluster",
"rds:RebootDBInstance",
"rds:RemoveRoleFromDBCluster",
"rds:RemoveSourceIdentifierFromSubscription",
"rds:RemoveTagsFromResource",
"rds:ResetDBClusterParameterGroup",
"rds:ResetDBParameterGroup",
"rds:RestoreDBClusterFromSnapshot",
"rds:RestoreDBClusterToPointInTime"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcs",
"kms:ListAliases",
"kms:ListKeyPolicies",
"kms:ListKeys",
"kms:ListRetirableGrants",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"sns:ListSubscriptions",
"sns:ListTopics",
"sns:Publish"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
"Condition": {
"StringLike": {
"iam:AWS ServiceName": "rds.amazonaws.com"
}
}
}
]
}
```
------
## AmazonDocDBReadOnlyAccess
Cette politique accorde des autorisations en lecture seule qui permettent aux utilisateurs de consulter les informations dans Amazon DocumentDB. Les directeurs auxquels cette politique est attachée ne peuvent effectuer aucune mise à jour ou supprimer des ressources existantes, ni créer de nouvelles ressources Amazon DocumentDB. Par exemple, les principaux disposant de ces autorisations peuvent consulter la liste des clusters et des configurations associés à leur compte, mais ne peuvent pas modifier la configuration ou les paramètres des clusters. Les autorisations définies dans cette politique sont regroupées comme suit :
+ Les autorisations Amazon DocumentDB vous permettent de répertorier les ressources Amazon DocumentDB, de les décrire et d'obtenir des informations les concernant.
+ Les autorisations Amazon EC2 sont utilisées pour décrire le VPC Amazon, les sous-réseaux, les groupes de sécurité et ceux ENIs qui sont associés à un cluster.
+ Une autorisation Amazon DocumentDB est utilisée pour décrire la clé associée au cluster.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"rds:DescribeAccountAttributes",
"rds:DescribeCertificates",
"rds:DescribeDBClusterParameterGroups",
"rds:DescribeDBClusterParameters",
"rds:DescribeDBClusterSnapshotAttributes",
"rds:DescribeDBClusterSnapshots",
"rds:DescribeDBClusters",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeDBLogFiles",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBParameters",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEventCategories",
"rds:DescribeEventSubscriptions",
"rds:DescribeEvents",
"rds:DescribeOrderableDBInstanceOptions",
"rds:DescribePendingMaintenanceActions",
"rds:DownloadDBLogFilePortion",
"rds:ListTagsForResource"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInternetGateways",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcs"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"kms:ListKeys",
"kms:ListRetirableGrants",
"kms:ListAliases",
"kms:ListKeyPolicies"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"logs:DescribeLogStreams",
"logs:GetLogEvents"
],
"Effect": "Allow",
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*",
"arn:aws:logs:*:*:log-group:/aws/docdb/*:log-stream:*"
]
}
]
}
```
------
## AmazonDocDBConsoleFullAccess
Accorde un accès complet à la gestion des ressources Amazon DocumentDB à l' AWS Management Console aide des méthodes suivantes :
+ Les autorisations Amazon DocumentDB permettant d'autoriser toutes les actions de cluster Amazon DocumentDB et Amazon DocumentDB.
+ Certaines des autorisations Amazon EC2 définies dans cette politique sont requises pour valider les ressources transmises dans le cadre d'une demande d'API. Cela permet de s'assurer qu'Amazon DocumentDB est en mesure d'utiliser correctement les ressources pour approvisionner et gérer le cluster. Les autres autorisations Amazon EC2 de cette politique permettent à Amazon DocumentDB de AWS créer les ressources nécessaires pour vous permettre de vous connecter à vos clusters, par exemple. VPCEndpoint
+ AWS KMS les autorisations sont utilisées lors des appels d'API AWS KMS pour valider les ressources transmises dans une demande. Ils sont nécessaires pour qu'Amazon DocumentDB puisse utiliser la clé transmise pour chiffrer et déchiffrer les données au repos avec le cluster élastique Amazon DocumentDB.
+ Les CloudWatch journaux sont nécessaires pour qu'Amazon DocumentDB puisse garantir que les destinations de livraison des journaux sont accessibles et qu'ils sont valides pour l'audit et le profilage de l'utilisation des journaux.
+ Les autorisations de Secrets Manager sont requises pour valider un secret donné et l'utiliser pour configurer l'utilisateur administrateur pour les clusters élastiques Amazon DocumentDB.
+ Les autorisations Amazon RDS sont requises pour les actions de gestion du cluster Amazon DocumentDB. Pour certaines fonctionnalités de gestion, Amazon DocumentDB utilise une technologie opérationnelle partagée avec Amazon RDS.
+ Les autorisations SNS permettent aux principaux d'accéder à des abonnements et à des rubriques Amazon Simple Notification Service (Amazon SNS), ainsi que de publier des messages Amazon SNS.
+ Les autorisations IAM sont requises pour créer les rôles liés au service requis pour la publication des métriques et des journaux.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DocdbSids",
"Effect": "Allow",
"Action": [
"docdb-elastic:CreateCluster",
"docdb-elastic:UpdateCluster",
"docdb-elastic:GetCluster",
"docdb-elastic:DeleteCluster",
"docdb-elastic:ListClusters",
"docdb-elastic:CreateClusterSnapshot",
"docdb-elastic:GetClusterSnapshot",
"docdb-elastic:DeleteClusterSnapshot",
"docdb-elastic:ListClusterSnapshots",
"docdb-elastic:RestoreClusterFromSnapshot",
"docdb-elastic:TagResource",
"docdb-elastic:UntagResource",
"docdb-elastic:ListTagsForResource",
"docdb-elastic:CopyClusterSnapshot",
"docdb-elastic:StartCluster",
"docdb-elastic:StopCluster",
"docdb-elastic:GetPendingMaintenanceAction",
"docdb-elastic:ListPendingMaintenanceActions",
"docdb-elastic:ApplyPendingMaintenanceAction",
"rds:AddRoleToDBCluster",
"rds:AddSourceIdentifierToSubscription",
"rds:AddTagsToResource",
"rds:ApplyPendingMaintenanceAction",
"rds:CopyDBClusterParameterGroup",
"rds:CopyDBClusterSnapshot",
"rds:CopyDBParameterGroup",
"rds:CreateDBCluster",
"rds:CreateDBClusterParameterGroup",
"rds:CreateDBClusterSnapshot",
"rds:CreateDBInstance",
"rds:CreateDBParameterGroup",
"rds:CreateDBSubnetGroup",
"rds:CreateEventSubscription",
"rds:CreateGlobalCluster",
"rds:DeleteDBCluster",
"rds:DeleteDBClusterParameterGroup",
"rds:DeleteDBClusterSnapshot",
"rds:DeleteDBInstance",
"rds:DeleteDBParameterGroup",
"rds:DeleteDBSubnetGroup",
"rds:DeleteEventSubscription",
"rds:DeleteGlobalCluster",
"rds:DescribeAccountAttributes",
"rds:DescribeCertificates",
"rds:DescribeDBClusterParameterGroups",
"rds:DescribeDBClusterParameters",
"rds:DescribeDBClusterSnapshotAttributes",
"rds:DescribeDBClusterSnapshots",
"rds:DescribeDBClusters",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeDBLogFiles",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBParameters",
"rds:DescribeDBSecurityGroups",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEngineDefaultClusterParameters",
"rds:DescribeEngineDefaultParameters",
"rds:DescribeEventCategories",
"rds:DescribeEventSubscriptions",
"rds:DescribeEvents",
"rds:DescribeGlobalClusters",
"rds:DescribeOptionGroups",
"rds:DescribeOrderableDBInstanceOptions",
"rds:DescribePendingMaintenanceActions",
"rds:DescribeValidDBInstanceModifications",
"rds:DownloadDBLogFilePortion",
"rds:FailoverDBCluster",
"rds:ListTagsForResource",
"rds:ModifyDBCluster",
"rds:ModifyDBClusterParameterGroup",
"rds:ModifyDBClusterSnapshotAttribute",
"rds:ModifyDBInstance",
"rds:ModifyDBParameterGroup",
"rds:ModifyDBSubnetGroup",
"rds:ModifyEventSubscription",
"rds:ModifyGlobalCluster",
"rds:PromoteReadReplicaDBCluster",
"rds:RebootDBInstance",
"rds:RemoveFromGlobalCluster",
"rds:RemoveRoleFromDBCluster",
"rds:RemoveSourceIdentifierFromSubscription",
"rds:RemoveTagsFromResource",
"rds:ResetDBClusterParameterGroup",
"rds:ResetDBParameterGroup",
"rds:RestoreDBClusterFromSnapshot",
"rds:RestoreDBClusterToPointInTime"
],
"Resource": [
"*"
]
},
{
"Sid": "DependencySids",
"Effect": "Allow",
"Action": [
"iam:GetRole",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"ec2:AllocateAddress",
"ec2:AssignIpv6Addresses",
"ec2:AssignPrivateIpAddresses",
"ec2:AssociateAddress",
"ec2:AssociateRouteTable",
"ec2:AssociateSubnetCidrBlock",
"ec2:AssociateVpcCidrBlock",
"ec2:AttachInternetGateway",
"ec2:AttachNetworkInterface",
"ec2:CreateCustomerGateway",
"ec2:CreateDefaultSubnet",
"ec2:CreateDefaultVpc",
"ec2:CreateInternetGateway",
"ec2:CreateNatGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateVpc",
"ec2:CreateVpcEndpoint",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeCustomerGateways",
"ec2:DescribeInstances",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePrefixLists",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroupReferences",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:ModifySubnetAttribute",
"ec2:ModifyVpcAttribute",
"ec2:ModifyVpcEndpoint",
"kms:DescribeKey",
"kms:ListAliases",
"kms:ListKeyPolicies",
"kms:ListKeys",
"kms:ListRetirableGrants",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"sns:ListSubscriptions",
"sns:ListTopics",
"sns:Publish"
],
"Resource": [
"*"
]
},
{
"Sid": "DocdbSLRSid",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "rds.amazonaws.com"
}
}
},
{
"Sid": "DocdbElasticSLRSid",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "docdb-elastic.amazonaws.com"
}
}
}
]
}
```
------
## AmazonDocDBElasticReadOnlyAccess
Cette politique accorde des autorisations en lecture seule qui permettent aux utilisateurs de consulter les informations relatives aux clusters élastiques dans Amazon DocumentDB. Les directeurs auxquels cette politique est attachée ne peuvent effectuer aucune mise à jour ou supprimer des ressources existantes, ni créer de nouvelles ressources Amazon DocumentDB. Par exemple, les principaux disposant de ces autorisations peuvent consulter la liste des clusters et des configurations associés à leur compte, mais ne peuvent pas modifier la configuration ou les paramètres des clusters. Les autorisations définies dans cette politique sont regroupées comme suit :
+ Les autorisations du cluster élastique Amazon DocumentDB vous permettent de répertorier les ressources du cluster élastique Amazon DocumentDB, de les décrire et d'obtenir des informations à leur sujet.
+ CloudWatch les autorisations sont utilisées pour vérifier les métriques de service.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"docdb-elastic:ListClusters",
"docdb-elastic:GetCluster",
"docdb-elastic:ListClusterSnapshots",
"docdb-elastic:GetClusterSnapshot",
"docdb-elastic:ListTagsForResource"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
}
]
}
```
------
## AmazonDocDBElasticFullAccess
Cette politique accorde des autorisations administratives qui permettent un accès complet principal à toutes les actions Amazon DocumentDB pour le cluster élastique Amazon DocumentDB.
Cette politique utilise des AWS balises (https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) dans certaines conditions pour définir l'accès aux ressources. Si vous utilisez un secret, il doit être étiqueté avec une clé de balise `DocDBElasticFullAccess` et une valeur de balise. Si vous utilisez une clé gérée par le client, elle doit être étiquetée avec une clé de balise `DocDBElasticFullAccess` et une valeur de balise.
Les autorisations définies dans cette politique sont regroupées comme suit :
+ Les autorisations du cluster élastique Amazon DocumentDB autorisent toutes les actions Amazon DocumentDB.
+ Certaines des autorisations Amazon EC2 définies dans cette politique sont requises pour valider les ressources transmises dans le cadre d'une demande d'API. Cela permet de s'assurer qu'Amazon DocumentDB est en mesure d'utiliser correctement les ressources pour approvisionner et gérer le cluster. Les autres autorisations Amazon EC2 de cette politique permettent à Amazon DocumentDB de AWS créer les ressources nécessaires pour vous permettre de vous connecter à vos clusters comme un point de terminaison VPC.
+ AWS KMS des autorisations sont requises pour qu'Amazon DocumentDB puisse utiliser la clé transmise pour chiffrer et déchiffrer les données au repos au sein du cluster élastique Amazon DocumentDB.
**Note**
La clé gérée par le client doit comporter une étiquette avec clé `DocDBElasticFullAccess` et une valeur de balise.
+ SecretsManager des autorisations sont requises pour valider le secret donné et l'utiliser pour configurer l'utilisateur administrateur pour les clusters élastiques Amazon DocumentDB.
**Note**
Le secret utilisé doit avoir une balise avec clé `DocDBElasticFullAccess` et une valeur de balise.
+ Les autorisations IAM sont requises pour créer les rôles liés au service requis pour la publication des métriques et des journaux.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DocdbElasticSid",
"Effect": "Allow",
"Action": [
"docdb-elastic:CreateCluster",
"docdb-elastic:UpdateCluster",
"docdb-elastic:GetCluster",
"docdb-elastic:DeleteCluster",
"docdb-elastic:ListClusters",
"docdb-elastic:CreateClusterSnapshot",
"docdb-elastic:GetClusterSnapshot",
"docdb-elastic:DeleteClusterSnapshot",
"docdb-elastic:ListClusterSnapshots",
"docdb-elastic:RestoreClusterFromSnapshot",
"docdb-elastic:TagResource",
"docdb-elastic:UntagResource",
"docdb-elastic:ListTagsForResource",
"docdb-elastic:CopyClusterSnapshot",
"docdb-elastic:StartCluster",
"docdb-elastic:StopCluster",
"docdb-elastic:GetPendingMaintenanceAction",
"docdb-elastic:ListPendingMaintenanceActions",
"docdb-elastic:ApplyPendingMaintenanceAction"
],
"Resource": [
"*"
]
},
{
"Sid": "EC2Sid",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DescribeVpcEndpoints",
"ec2:DeleteVpcEndpoints",
"ec2:ModifyVpcEndpoint",
"ec2:DescribeVpcAttribute",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeAvailabilityZones",
"secretsmanager:ListSecrets"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "docdb-elastic.amazonaws.com"
}
}
},
{
"Sid": "KMSSid",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"docdb-elastic.*.amazonaws.com"
],
"aws:ResourceTag/DocDBElasticFullAccess": "*"
}
}
},
{
"Sid": "KMSGrantSid",
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/DocDBElasticFullAccess": "*",
"kms:ViaService": [
"docdb-elastic.*.amazonaws.com"
]
},
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
},
{
"Sid": "SecretManagerSid",
"Effect": "Allow",
"Action": [
"secretsmanager:ListSecretVersionIds",
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:GetResourcePolicy"
],
"Resource": "*",
"Condition": {
"StringLike": {
"secretsmanager:ResourceTag/DocDBElasticFullAccess": "*"
},
"StringEquals": {
"aws:CalledViaFirst": "docdb-elastic.amazonaws.com"
}
}
},
{
"Sid": "CloudwatchSid",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics"
],
"Resource": [
"*"
]
},
{
"Sid": "SLRSid",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "docdb-elastic.amazonaws.com"
}
}
}
]
}
```
------
## AmazonDocDB- ElasticServiceRolePolicy
Vous ne pouvez pas vous attacher `AmazonDocDBElasticServiceRolePolicy` à vos Gestion des identités et des accès AWS entités. Cette politique est associée à un rôle lié à un service qui permet à Amazon DocumentDB d'effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter [Rôles liés aux services dans les clusters élastiques](elastic-service-linked-roles.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": [
"AWS/DocDB-Elastic"
]
}
}
}
]
}
```
------
## Amazon DocumentDB met à jour les politiques gérées AWS
| Modifier | Description | Date |
| --- | --- | --- |
| [AmazonDocDBElasticFullAccess](#AmazonDocDB-ElasticFullAccess), [AmazonDocDBConsoleFullAccess](#AmazonDocDBConsoleFullAccess) - Modifier | Politiques mises à jour pour ajouter les actions de maintenance en attente. | 11/02/2025 |
| [AmazonDocDBElasticFullAccess](#AmazonDocDB-ElasticFullAccess), [AmazonDocDBConsoleFullAccess](#AmazonDocDBConsoleFullAccess) - Modifier | Politiques mises à jour pour ajouter des actions de capture de start/stop cluster et de copie de cluster. | 21/02/2024 |
| [AmazonDocDBElasticReadOnlyAccess](#AmazonDocDB-ElasticReadOnlyAccess), [AmazonDocDBElasticFullAccess](#AmazonDocDB-ElasticFullAccess) - Modifier | Politiques mises à jour pour ajouter des cloudwatch:GetMetricData mesures. | 21/06/2023 |
| [AmazonDocDBElasticReadOnlyAccess](#AmazonDocDB-ElasticReadOnlyAccess) : nouvelle politique | Nouvelle politique gérée pour les clusters élastiques Amazon DocumentDB. | 08/06/2023 |
| [AmazonDocDBElasticFullAccess](#AmazonDocDB-ElasticFullAccess) : nouvelle politique | Nouvelle politique gérée pour les clusters élastiques Amazon DocumentDB. | 05/06/2023 |
| [AmazonDocDB- ElasticServiceRolePolicy](#docdb-elastic-service-role) : nouvelle politique | Amazon DocumentDB crée un nouveau rôle lié au service AWS ServiceRoleForDoc DB-Elastic pour les clusters élastiques Amazon DocumentDB. | 30/11/2022 |
| [AmazonDocDBConsoleFullAccess](#AmazonDocDBConsoleFullAccess)- Changement | Politique mise à jour pour ajouter les autorisations de cluster globales et élastiques d'Amazon DocumentDB. | 30/11/2022 |
| [AmazonDocDBConsoleFullAccess](#AmazonDocDBConsoleFullAccess),[AmazonDocDBFullAccès](#AmazonDocDBFullAccess), [AmazonDocDBReadOnlyAccess](#AmazonDocDBReadOnlyAccess) - Nouvelle politique | Lancement du service. | 19/01/2017 |
# Autorisations d'API Amazon DocumentDB : référence aux actions, aux ressources et aux conditions
Utilisez les sections suivantes comme référence lorsque vous configurez [Utilisation de politiques basées sur l'identité (politiques IAM) pour Amazon DocumentDB](UsingWithRDS.IAM.AccessControl.IdentityBased.md) et rédigez des politiques d'autorisation que vous pouvez associer à une identité IAM (politiques basées sur l'identité).
La liste suivante répertorie chaque opération d'API Amazon DocumentDB. La liste comprend les actions correspondantes pour lesquelles vous pouvez accorder des autorisations pour effectuer l'action, la AWS ressource pour laquelle vous pouvez accorder les autorisations et les clés de condition que vous pouvez inclure pour un contrôle d'accès précis. Vous spécifiez les actions dans le champ `Action` de la politique, la valeur de ressource dans le champ `Resource` de la politique, et les conditions dans le champ `Condition` de la politique. Pour plus d’informations sur les conditions, consultez [Spécification de conditions dans une politique](UsingWithRDS.IAM.AccessControl.Overview.md#SpecifyingIAMPolicyConditions-RDS).
Vous pouvez utiliser des clés AWS de condition larges dans vos politiques Amazon DocumentDB pour exprimer des conditions. Pour obtenir la liste complète des touches AWS-wide, consultez la section [Clés disponibles](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) dans le *guide de l'utilisateur IAM*.
Vous pouvez tester les politiques IAM à l'aide du simulateur de politiques IAM. Il fournit automatiquement une liste des ressources et des paramètres requis pour chaque AWS action, y compris les actions Amazon DocumentDB. Le simulateur de politique IAM détermine les autorisations requises pour chacune des actions que vous spécifiez. Pour plus d'informations sur le simulateur de politique IAM, voir [Tester les politiques IAM avec le simulateur de politique IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html) dans le guide de l'utilisateur *IAM*.
**Note**
Pour indiquer une action, utilisez le préfixe `rds:` suivi du nom de l'opération d'API (par exemple, `rds:CreateDBInstance`).
La liste suivante répertorie les opérations d'API Amazon RDS ainsi que leurs actions, ressources et clés de condition associées.
**Topics**
+ [Actions Amazon DocumentDB qui prennent en charge les autorisations au niveau des ressources](#UsingWithRDS.IAM.ResourceLevelPermissions)
+ [Actions Amazon DocumentDB qui ne prennent pas en charge les autorisations au niveau des ressources](#UsingWithRDS.IAM.UnsupportedResourceLevelPermissions)
## Actions Amazon DocumentDB qui prennent en charge les autorisations au niveau des ressources
Les autorisations au niveau des ressources permettent de spécifier les ressources sur lesquelles les utilisateurs sont autorisés à effectuer des actions. Amazon DocumentDB prend partiellement en charge les autorisations au niveau des ressources. Cela signifie que pour certaines actions Amazon DocumentDB, vous pouvez contrôler le moment où les utilisateurs sont autorisés à utiliser ces actions en fonction des conditions qui doivent être remplies ou des ressources spécifiques que les utilisateurs sont autorisés à utiliser. Par exemple, vous pouvez accorder aux utilisateurs l'autorisation de modifier uniquement des instances spécifiques.
La liste suivante répertorie les opérations de l'API Amazon DocumentDB ainsi que leurs actions, ressources et clés de condition associées.
**Note**
Pour certaines fonctionnalités de gestion, Amazon DocumentDB utilise une technologie opérationnelle partagée avec Amazon RDS. Pour plus d'actions et d'autorisations Amazon DocumentDB, reportez-vous à la section [Actions, ressources et clés de condition pour Amazon RDS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrds.html) dans la référence d'autorisation de *service*.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/documentdb/latest/developerguide/UsingWithRDS.IAM.ResourcePermissions.html)
## Actions Amazon DocumentDB qui ne prennent pas en charge les autorisations au niveau des ressources
Vous pouvez utiliser toutes les actions Amazon DocumentDB dans une politique IAM pour accorder ou refuser aux utilisateurs l'autorisation d'utiliser cette action. Cependant, toutes les actions Amazon DocumentDB ne prennent pas en charge les autorisations au niveau des ressources, qui vous permettent de spécifier les ressources sur lesquelles une action peut être effectuée. Les actions d'API Amazon DocumentDB suivantes ne prennent actuellement pas en charge les autorisations au niveau des ressources. Par conséquent, pour utiliser ces actions dans une politique IAM, vous devez autoriser les utilisateurs à utiliser toutes les ressources nécessaires à l'action en utilisant un `*` caractère générique pour l'`Resource`élément de votre déclaration.
+ `rds:DescribeDBClusterSnapshots`
+ `rds:DescribeDBInstances`