Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Setiap AWS sumber daya dimiliki oleh Akun AWS, dan izin untuk membuat atau mengakses sumber daya diatur oleh kebijakan izin. Administrator akun dapat melampirkan kebijakan izin ke identitas IAM (yaitu, pengguna, grup, dan peran), dan beberapa layanan (seperti AWS Lambda) juga mendukung melampirkan kebijakan izin ke sumber daya.
catatan
Administrator akun (atau pengguna administrator) adalah pengguna dengan izin administrator. Untuk informasi selengkapnya, lihat Praktik Terbaik IAM dalam Panduan Pengguna IAM.
Topik
Sumber daya dan operasi Amazon DocumentDB
Di Amazon DocumentDB, sumber daya primer adalah klaster. Amazon DocumentDB mendukung sumber daya lain yang dapat digunakan dengan sumber daya primer seperti instans, grup parameter, dan langganan peristiwa. Sumber daya tersebut dirujuk sebagai sub-sumber daya.
Sumber daya dan subsumber daya ini memiliki Nama Sumber Daya Amazon (ARNs) unik yang terkait dengannya, seperti yang ditunjukkan pada tabel berikut.
| Jenis Sumber Daya | Format ARN |
|---|---|
Klaster |
|
Grup parameter klaster |
|
Snapshot klaster |
|
Instans |
|
Grup keamanan |
|
Grup subnet |
|
Amazon DocumentDB menyediakan serangkaian operasi untuk bekerja dengan sumber daya Amazon DocumentDB. Untuk daftar operasi yang tersedia, lihat Tindakan.
Memahami kepemilikan sumber daya
Pemilik sumber daya adalah Akun AWS yang menciptakan sumber daya. Artinya, pemilik sumber daya adalah entitas utama (akun root, pengguna IAM, atau peran IAM) yang mengautentikasi permintaan yang membuat sumber daya. Akun AWS Contoh berikut menggambarkan cara kerjanya:
-
Jika Anda menggunakan kredensi akun root Anda Akun AWS untuk membuat sumber daya Amazon DocumentDB, seperti instance, Akun AWS Anda adalah pemilik sumber daya Amazon DocumentDB.
-
Jika Anda membuat pengguna IAM di Anda Akun AWS dan memberikan izin untuk membuat sumber daya Amazon DocumentDB kepada pengguna tersebut, pengguna dapat membuat sumber daya Amazon DocumentDB. Namun, milik Anda Akun AWS, yang menjadi milik pengguna, memiliki sumber daya Amazon DocumentDB.
-
Jika Anda membuat peran IAM Akun AWS dengan izin untuk membuat sumber daya Amazon DocumentDB, siapa pun yang dapat mengambil peran tersebut dapat membuat sumber daya Amazon DocumentDB. Anda Akun AWS, yang menjadi milik peran tersebut, memiliki sumber daya Amazon DocumentDB.
Mengelola akses ke sumber daya
Kebijakan izin menjelaskan siapa yang memiliki akses ke suatu objek. Bagian berikut menjelaskan opsi yang tersedia untuk membuat kebijakan izin.
catatan
Bagian ini membahas penggunaan IAM dalam konteks Amazon DocumentDB. Bagian ini tidak memberikan informasi yang mendetail tentang layanan IAM. Untuk dokumentasi IAM lengkap, lihat Apa yang Dimaksud dengan IAM? dalam Panduan Pengguna IAM. Untuk informasi tentang sintaks dan deskripsi kebijakan IAM, lihat Referensi AWSIAM Kebijakan di Panduan Pengguna IAM.
Kebijakan yang terlampir pada identitas IAM disebut sebagai kebijakan berbasis identitas (kebijakan IAM). Kebijakan yang terlampir pada sumber daya disebut sebagai kebijakan berbasis sumber daya. Amazon DocumentDB hanya mendukung kebijakan berbasis identitas (kebijakan IAM).
Kebijakan berbasis identitas (kebijakan IAM)
Anda dapat melampirkan kebijakan ke identitas IAM Anda. Misalnya, Anda dapat melakukan hal berikut:
-
Lampirkan kebijakan izin ke pengguna atau grup dalam akun Anda – Administrator akun dapat menggunakan kebijakan izin yang berkaitan dengan pengguna tertentu untuk memberikan izin bagi pengguna tersebut untuk membuat sumber daya Amazon DocumentDB, seperti instans.
-
Lampirkan kebijakan izin untuk peran (memberikan izin lintas akun) – Anda dapat melampirkan kebijakan izin berbasis identitas ke IAM role untuk memberikan izin lintas akun. Misalnya, administrator dapat membuat peran untuk memberikan izin lintas akun kepada orang lain Akun AWS atau AWS layanan sebagai berikut:
-
Administrator akun A membuat peran IAM dan melampirkan kebijakan izin ke peran ini yang memberikan izin pada sumber daya di akun A.
-
Administrator akun A melampirkan kebijakan kepercayaan ke peran yang mengidentifikasi Akun B sebagai prinsipal yang dapat mengambil peran tersebut.
-
Administrator Akun B kemudian dapat mendelegasikan izin untuk mengambil peran kepada setiap pengguna di Akun B. Melakukan hal ini memungkinkan pengguna di Akun B untuk membuat atau mengakses sumber daya di Akun A. Prinsip dalam kebijakan kepercayaan juga dapat menjadi prinsip AWS layanan jika Anda ingin memberikan izin ke AWS layanan untuk mengambil peran.
Untuk informasi selengkapnya tentang penggunaan IAM untuk mendelegasikan izin, lihat Manajemen Akses dalam Panduan Pengguna IAM.
-
Berikut ini adalah kebijakan contoh yang mengizinkan pengguna dengan ID 123456789012 untuk membuat instans untuk Akun AWS Anda. Instans yang baru harus menggunakan grup opsi dan grup parameter yang dimulai dengan default, dan harus menggunakan grup subnet default.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCreateDBInstanceOnly",
"Effect": "Allow",
"Action": [
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:rds:*:123456789012:db:test*",
"arn:aws:rds:*:123456789012:pg:cluster-pg:default*",
"arn:aws:rds:*:123456789012:subgrp:default"
]
}
]
}
Untuk informasi selengkapnya tentang menggunakan kebijakan berbasis identitas dengan Amazon DocumentDB, lihat Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk Amazon DocumentDB. Untuk informasi lebih lanjut tentang pengguna, grup, peran, dan izin, lihat Identitas (Pengguna, Grup, dan Peran) dalam Panduan Pengguna IAM.
Kebijakan berbasis sumber daya
Layanan lainnya, seperti Amazon Simple Storage Service (Amazon S3), juga mendukung kebijakan izin berbasis sumber daya. Misalnya, Anda dapat melampirkan kebijakan ke bucket Amazon S3 untuk mengelola izin akses ke bucket tersebut. Amazon DocumentDB tidak mendukung kebijakan berbasis sumber daya.
Menentukan elemen kebijakan: tindakan, efek, sumber daya, dan prinsip
Untuk setiap sumber daya Amazon DocumentDB (lihat Sumber daya dan operasi Amazon DocumentDB), layanan menentukan serangkaian operasi API. Untuk informasi selengkapnya, lihat Tindakan. Untuk memberikan izin bagi operasi API tersebut, Amazon DocumentDB menentukan serangkaian tindakan yang dapat Anda tentukan dalam kebijakan. Melakukan operasi API dapat memerlukan izin untuk lebih dari satu tindakan.
Berikut ini adalah elemen-elemen kebijakan dasar:
-
Sumber Daya – Dalam kebijakan, Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang diberlakukan oleh kebijakan tersebut.
-
Tindakan – Anda menggunakan kata kunci tindakan untuk mengidentifikasi operasi sumber daya yang ingin Anda izinkan atau tolak. Misalnya, izin
rds:DescribeDBInstancesmemungkinkan pengguna untuk melakukan operasiDescribeDBInstances. -
Efek – Anda menetapkan efek ketika pengguna meminta tindakan tertentu—hal ini dapat mengizinkan maupun menolak. Jika Anda tidak secara eksplisit memberikan akses ke (mengizinkan) sumber daya, akses akan ditolak secara implisit. Anda juga dapat secara eksplisit menolak akses ke sumber daya, yang mungkin Anda lakukan untuk memastikan bahwa pengguna tidak dapat mengaksesnya, meskipun kebijakan yang berbeda memberikan akses.
-
Principal – Dalam kebijakan berbasis identitas (Kebijakan IAM), pengguna yang kebijakannya terlampir adalah principal yang implisit. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang diinginkan untuk menerima izin (berlaku hanya untuk kebijakan berbasis sumber daya). Amazon DocumentDB tidak mendukung kebijakan berbasis sumber daya.
Untuk mempelajari selengkapnya tentang sintaksis dan penjelasan kebijakan IAM, lihat AWS Referensi Kebijakan IAM dalam Panduan Pengguna IAM.
Untuk tabel yang menampilkan semua Tindakan Amazon DocumentDB API dan sumber daya yang diterapkan, lihat Izin API Amazon DocumentDB: referensi tindakan, sumber daya, dan kondisi.
Menentukan kondisi dalam kebijakan
Ketika Anda memberikan izin, Anda dapat menggunakan bahasa kebijakan IAM untuk menentukan kondisi ketika kebijakan harus berlaku. Misalnya, Anda mungkin ingin kebijakan diterapkan hanya setelah tanggal tertentu. Untuk informasi selengkapnya tentang menentukan kondisi dalam bahasa kebijakan, lihat Kondisi dalam Panduan Pengguna IAM.
Untuk menyatakan kondisi, Anda menggunakan kunci kondisi standar. Amazon DocumentDB tidak memiliki kunci konteks layanan khusus yang dapat digunakan dalam kebijakan IAM. Untuk daftar kunci konteks syarat global yang tersedia untuk semua layanan, lihat Kunci yang Tersedia untuk Syarat di Panduan Pengguna IAM.
