Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk Amazon DocumentDB
<a name="UsingWithRDS.IAM.AccessControl.IdentityBased"></a>

**penting**  
Untuk fitur manajemen tertentu, Amazon DocumentDB menggunakan teknologi operasional yang dibagi dengan Amazon RDS. Konsol Amazon DocumentDB AWS CLI,, dan panggilan API dicatat sebagai panggilan yang dilakukan ke Amazon RDS API.  
Kami menyarankan Anda untuk terlebih dahulu meninjau topik pendahuluan yang menjelaskan konsep dasar dan opsi yang tersedia bagi Anda untuk mengelola akses ke sumber daya Amazon DocumentDB Anda. Untuk informasi selengkapnya, lihat [Mengelola izin akses ke sumber daya Amazon DocumentDB Anda](UsingWithRDS.IAM.AccessControl.Overview.md).

Topik ini menyediakan contoh kebijakan berbasis identitas di mana administrator akun dapat melampirkan kebijakan izin ke identitas IAM (yaitu, pengguna, grup, dan peran). 

Berikut ini adalah contoh kebijakan IAM.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCreateDBInstanceOnly",
            "Effect": "Allow",
            "Action": [
                "rds:CreateDBInstance"
            ],
            "Resource": [
                "arn:aws:rds:*:123456789012:db:test*",
                "arn:aws:rds:*:123456789012:pg:cluster-pg:default*",
                "arn:aws:rds:*:123456789012:subgrp:default"
            ]
        }
    ]
}
```

------

Kebijakan ini mencakup pernyataan tunggal yang menentukan izin berikut untuk pengguna IAM:
+ Kebijakan ini memungkinkan pengguna IAM untuk membuat instance menggunakan DBInstance tindakan [Create](https://docs.aws.amazon.com/documentdb/latest/developerguide/API_CreateDBInstance.html) (ini juga berlaku untuk [create-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-instance.html) AWS CLI operasi dan Konsol Manajemen AWS).
+ Elemen `Resource` menentukan bahwa pengguna dapat melakukan tindakan pada atau dengan sumber daya. Anda menentukan sumber daya menggunakan Amazon Resource Name (ARN). ARN ini mencakup nama layanan yang dimiliki sumber daya (`rds`), Wilayah AWS (`*`menunjukkan Wilayah apa pun dalam contoh ini), nomor akun pengguna (`123456789012`adalah ID pengguna dalam contoh ini), dan jenis sumber daya.

  Elemen `Resource` dalam contoh menentukan batasan kebijakan berikut pada sumber daya untuk pengguna:
  + Pengidentifikasi instans untuk instans baru harus dimulai dengan `test` (sebagai contoh, `testCustomerData1`, `test-region2-data`).
  + Grup parameter klaster untuk instans baru harus dimulai dengan `default`.
  + Grup subnet untuk instans baru harus grup subnet `default`.

Kebijakan tidak menentukan elemen `Principal` karena dalam kebijakan berbasis identitas, Anda tidak menentukan prinsipal yang mendapatkan izin. Saat Anda melampirkan kebijakan kepada pengguna, pengguna tersebut menjadi prinsipal secara implisit. Saat Anda melampirkan kebijakan izin pada IAM role, penanggung jawab yang diidentifikasi dalam kebijakan kepercayaan peran mendapatkan izin.

 Untuk tabel yang menampilkan semua operasi Amazon DocumentDB API dan sumber daya yang mereka terapkan, lihat [Izin API Amazon DocumentDB: referensi tindakan, sumber daya, dan kondisi](UsingWithRDS.IAM.ResourcePermissions.md). 

## Izin diperlukan untuk menggunakan konsol Amazon DocumentDB
<a name="UsingWithRDS.IAM.RequiredPermissions.Console"></a>

Agar pengguna dapat bekerja dengan konsol Amazon DocumentDB, pengguna tersebut harus memiliki rangkaian izin minimum. Izin ini memungkinkan pengguna untuk mendeskripsikan sumber daya Amazon DocumentDB Akun AWS untuk mereka dan untuk memberikan informasi terkait lainnya, termasuk keamanan Amazon EC2 dan informasi jaringan.

Jika Anda membuat kebijakan IAM yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana mestinya bagi pengguna dengan kebijakan IAM tersebut. Untuk memastikan bahwa pengguna tersebut masih dapat menggunakan konsol Amazon DocumentDB, lampirkan juga kebijakan terkelola `AmazonDocDBConsoleFullAccess` kepada pengguna, sebagaimana dijelaskan dalam [AWS kebijakan terkelola untuk Amazon DocumentDB](docdb-managed-policies.md).

Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke API Amazon DocumentDB AWS CLI atau Amazon DocumentDB. 

## Contoh kebijakan yang dikelola pelanggan
<a name="IAMPolicyExamples-RDS"></a>

Dalam bagian ini, Anda dapat menemukan contoh kebijakan pengguna yang memberikan izin untuk berbagai tindakan Amazon DocumentDB. Kebijakan ini berfungsi saat Anda menggunakan tindakan API Amazon DocumentDB AWS SDKs, atau. AWS CLI Saat Anda menggunakan konsol, Anda perlu memberikan izin tambahan yang khusus untuk konsol. yang dibahas dalam [Izin diperlukan untuk menggunakan konsol Amazon DocumentDB](#UsingWithRDS.IAM.RequiredPermissions.Console).

Untuk fitur manajemen tertentu, Amazon DocumentDB menggunakan teknologi operasional yang dibagi dengan Amazon Relational Database Service (Amazon RDS) dan Amazon Neptune.

**catatan**  
Semua contoh menggunakan Wilayah AS Timur (Virginia Utara) (`us-east-1`) dan berisi akun fiktif. IDs

**Topics**
+ [Contoh 1: Izinkan pengguna melakukan tindakan deskripsi apa pun pada sumber daya Amazon DocumentDB apa pun](#IAMPolicyExamples-RDS-perform-describe-action)
+ [Contoh 2: Mencegah pengguna menghapus instance](#IAMPolicyExamples-RDS-prevent-db-deletion)
+ [Contoh 3: Mencegah pengguna membuat cluster kecuali enkripsi penyimpanan diaktifkan](#IAMPolicyExamples-Prevent-Cluster)

### Contoh 1: Izinkan pengguna melakukan tindakan deskripsi apa pun pada sumber daya Amazon DocumentDB apa pun
<a name="IAMPolicyExamples-RDS-perform-describe-action"></a>

Kebijakan izin berikut ini memberikan izin kepada pengguna untuk menjalankan semua tindakan yang dimulai dengan `Describe`. Tindakan tersebut menunjukkan informasi tentang sumber daya Amazon DocumentDB, seperti instans. Karakter wildcard (\$1) di elemen `Resource` menunjukkan bahwa tindakan diizinkan untuk semua sumber daya Amazon DocumentDB yang dimiliki akun tersebut.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Sid":"AllowRDSDescribe",
         "Effect":"Allow",
         "Action":"rds:Describe*",
         "Resource":"*"
      }
   ]
}
```

------

### Contoh 2: Mencegah pengguna menghapus instance
<a name="IAMPolicyExamples-RDS-prevent-db-deletion"></a>

Kebijakan izin berikut ini memberikan izin untuk mencegah pengguna menghapus instans tertentu. Sebagai contoh, Anda mungkin ingin menolak kemampuan untuk menghapus instans produksi Anda kepada setiap pengguna yang bukan administrator.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Sid":"DenyDelete1",
         "Effect":"Deny",
         "Action":"rds:DeleteDBInstance",
         "Resource":"arn:aws:rds:us-east-1:123456789012:db:my-db-instance"
      }
   ]
}
```

------

### Contoh 3: Mencegah pengguna membuat cluster kecuali enkripsi penyimpanan diaktifkan
<a name="IAMPolicyExamples-Prevent-Cluster"></a>

Kebijakan izin berikut ini menolak izin bagi pengguna untuk membuat klaster Amazon DocumentDB kecuali enkripsi penyimpanan diaktifkan.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Sid": "PreventUnencryptedDocumentDB",
         "Effect": "Deny",
         "Action": "RDS:CreateDBCluster",
         "Condition": {
         "Bool": {
         "rds:StorageEncrypted": "false"
      },
         "StringEquals": {
         "rds:DatabaseEngine": "docdb"
         }
      },
      "Resource": "*"
      }
   ]
}
```

------