Mengelola izin akses ke sumber daya Amazon DocumentDB - Amazon DocumentDB

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola izin akses ke sumber daya Amazon DocumentDB

Setiap AWS sumber daya dimiliki oleh Akun AWS, dan izin untuk membuat atau mengakses sumber daya diatur oleh kebijakan izin. Administrator akun dapat melampirkan kebijakan izin ke IAM identitas (yaitu, pengguna, grup, dan peran), dan beberapa layanan (seperti AWS Lambda) juga mendukung melampirkan kebijakan izin ke sumber daya.

catatan

Administrator akun (atau pengguna administrator) adalah pengguna dengan izin administrator. Untuk informasi selengkapnya, lihat Praktik IAM Terbaik di Panduan IAM Pengguna.

Sumber daya dan operasi Amazon DocumentDB

Di Amazon DocumentDB, sumber daya primer adalah klaster. Amazon DocumentDB mendukung sumber daya lain yang dapat digunakan dengan sumber daya primer seperti instans, grup parameter, dan langganan peristiwa. Sumber daya tersebut dirujuk sebagai sub-sumber daya.

Sumber daya dan subsumber daya ini memiliki Nama Sumber Daya Amazon (ARNs) unik yang terkait dengannya, seperti yang ditunjukkan pada tabel berikut.

Jenis Sumber Daya ARNFormat

Klaster

arn:aws:rds:region:account-id:cluster:db-cluster-name

Grup parameter klaster

arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name

Snapshot klaster

arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name

Instans

arn:aws:rds:region:account-id:db:db-instance-name

Grup keamanan

arn:aws:rds:region:account-id:secgrp:security-group-name

Grup subnet

arn:aws:rds:region:account-id:subgrp:subnet-group-name

Amazon DocumentDB menyediakan serangkaian operasi untuk bekerja dengan sumber daya Amazon DocumentDB. Untuk daftar operasi yang tersedia, lihat Tindakan.

Memahami kepemilikan sumber daya

Pemilik sumber daya adalah Akun AWS yang menciptakan sumber daya. Artinya, pemilik sumber daya adalah entitas utama (akun root, IAM pengguna, atau IAM peran) yang mengautentikasi permintaan yang membuat sumber daya. Akun AWS Contoh berikut menggambarkan cara kerjanya:

  • Jika Anda menggunakan kredensi akun root Anda Akun AWS untuk membuat sumber daya Amazon DocumentDB, seperti instance, Akun AWS Anda adalah pemilik sumber daya Amazon DocumentDB.

  • Jika Anda membuat IAM pengguna di dalam Akun AWS dan memberikan izin untuk membuat sumber daya Amazon DocumentDB kepada pengguna tersebut, pengguna dapat membuat sumber daya Amazon DocumentDB. Namun, milik Anda Akun AWS, yang menjadi milik pengguna, memiliki sumber daya Amazon DocumentDB.

  • Jika Anda membuat IAM peran Akun AWS dengan izin untuk membuat sumber daya Amazon DocumentDB, siapa pun yang dapat mengambil peran tersebut dapat membuat sumber daya Amazon DocumentDB. Anda Akun AWS, yang menjadi milik peran tersebut, memiliki sumber daya Amazon DocumentDB.

Mengelola akses ke sumber daya

Kebijakan izin menjelaskan siapa yang memiliki akses ke suatu objek. Bagian berikut menjelaskan opsi yang tersedia untuk membuat kebijakan izin.

catatan

Bagian ini membahas penggunaan IAM dalam konteks Amazon DocumentDB. Itu tidak memberikan informasi rinci tentang IAM layanan. Untuk IAM dokumentasi selengkapnya, lihat Apa ituIAM? dalam IAMUser Guide. Untuk informasi tentang sintaks IAM kebijakan dan deskripsi, lihat Referensi AWSIAM Kebijakan di IAMPanduan Pengguna.

Kebijakan yang melekat pada IAM identitas disebut sebagai kebijakan berbasis identitas (kebijakan)IAM. Kebijakan yang terlampir pada sumber daya disebut sebagai kebijakan berbasis sumber daya. Amazon DocumentDB hanya mendukung kebijakan (kebijakan) berbasis identitas. IAM

Kebijakan berbasis identitas (kebijakan IAM)

Anda dapat melampirkan kebijakan ke IAM identitas. Misalnya, Anda dapat melakukan hal berikut:

  • Lampirkan kebijakan izin ke pengguna atau grup dalam akun Anda – Administrator akun dapat menggunakan kebijakan izin yang berkaitan dengan pengguna tertentu untuk memberikan izin bagi pengguna tersebut untuk membuat sumber daya Amazon DocumentDB, seperti instans.

  • Lampirkan kebijakan izin ke peran (berikan izin lintas akun) — Anda dapat melampirkan kebijakan izin berbasis identitas ke peran untuk memberikan izin lintas akun. IAM Misalnya, administrator dapat membuat peran untuk memberikan izin lintas akun kepada orang lain Akun AWS atau AWS layanan sebagai berikut:

    1. Akun Administrator membuat IAM peran dan melampirkan kebijakan izin ke peran yang memberikan izin pada sumber daya di Akun A.

    2. Administrator akun A melampirkan kebijakan kepercayaan ke peran yang mengidentifikasi Akun B sebagai prinsipal yang dapat mengambil peran tersebut.

    3. Administrator Akun B kemudian dapat mendelegasikan izin untuk mengambil peran kepada pengguna mana pun di Akun B. Melakukan hal ini memungkinkan pengguna di Akun B untuk membuat atau mengakses sumber daya di Akun A. Prinsip dalam kebijakan kepercayaan juga dapat menjadi prinsipal AWS layanan jika Anda ingin memberikan izin ke AWS layanan untuk mengambil peran tersebut.

    Untuk informasi selengkapnya tentang penggunaan IAM untuk mendelegasikan izin, lihat Manajemen Akses di IAMPanduan Pengguna.

Berikut ini adalah kebijakan contoh yang mengizinkan pengguna dengan ID 123456789012 untuk membuat instans untuk Akun AWS Anda. Instans yang baru harus menggunakan grup opsi dan grup parameter yang dimulai dengan default, dan harus menggunakan grup subnet default.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateDBInstanceOnly", "Effect": "Allow", "Action": [ "rds:CreateDBInstance" ], "Resource": [ "arn:aws:rds:*:123456789012:db:test*", "arn:aws:rds:*:123456789012:pg:cluster-pg:default*", "arn:aws:rds:*:123456789012:subgrp:default" ] } ] }

Untuk informasi selengkapnya tentang menggunakan kebijakan berbasis identitas dengan Amazon DocumentDB, lihat Menggunakan kebijakan (IAMkebijakan) berbasis identitas untuk Amazon DocumentDB. Untuk informasi selengkapnya tentang pengguna, grup, peran, dan izin, lihat Identitas (Pengguna, Grup, dan Peran) di IAMPanduan Pengguna.

Kebijakan berbasis sumber daya

Layanan lainnya, seperti Amazon Simple Storage Service (Amazon S3), juga mendukung kebijakan izin berbasis sumber daya. Misalnya, Anda dapat melampirkan kebijakan ke bucket Amazon S3 untuk mengelola izin akses ke bucket tersebut. Amazon DocumentDB tidak mendukung kebijakan berbasis sumber daya.

Menentukan elemen kebijakan: tindakan, efek, sumber daya, dan prinsip

Untuk setiap sumber daya Amazon DocumentDB (Sumber daya dan operasi Amazon DocumentDBlihat), layanan mendefinisikan serangkaian operasi. API Untuk informasi selengkapnya, lihat Tindakan. Untuk memberikan izin untuk API operasi ini, Amazon DocumentDB mendefinisikan serangkaian tindakan yang dapat Anda tentukan dalam kebijakan. Melakukan API operasi dapat memerlukan izin untuk lebih dari satu tindakan.

Berikut ini adalah elemen-elemen kebijakan dasar:

  • Sumber Daya — Dalam kebijakan, Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang diterapkan kebijakan tersebut.

  • Tindakan – Anda menggunakan kata kunci tindakan untuk mengidentifikasi operasi sumber daya yang ingin Anda izinkan atau tolak. Misalnya, izin rds:DescribeDBInstances memungkinkan pengguna untuk melakukan operasi DescribeDBInstances.

  • Efek – Anda menetapkan efek ketika pengguna meminta tindakan tertentu—hal ini dapat mengizinkan maupun menolak. Jika Anda tidak secara eksplisit memberikan akses ke (mengizinkan) sumber daya, akses akan ditolak secara implisit. Anda juga dapat secara eksplisit menolak akses ke sumber daya, yang mungkin Anda lakukan untuk memastikan bahwa pengguna tidak dapat mengaksesnya, meskipun ada akses memberikan kebijakan yang berbeda.

  • Principal — Dalam kebijakan (IAMkebijakan) berbasis identitas, pengguna yang melekat pada kebijakan tersebut adalah prinsipal implisit. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang diinginkan untuk menerima izin (berlaku hanya untuk kebijakan berbasis sumber daya). Amazon DocumentDB tidak mendukung kebijakan berbasis sumber daya.

Untuk mempelajari lebih lanjut tentang sintaks dan deskripsi IAM kebijakan, lihat Referensi AWS IAM Kebijakan di IAMPanduan Pengguna.

Untuk tabel yang menunjukkan semua tindakan Amazon API DocumentDB dan sumber daya yang diterapkan, lihat. Izin Amazon API DocumentDB: referensi tindakan, sumber daya, dan kondisi

Menentukan kondisi dalam kebijakan

Saat memberikan izin, Anda dapat menggunakan bahasa IAM kebijakan untuk menentukan kondisi kapan kebijakan harus diterapkan. Misalnya, Anda mungkin ingin kebijakan diterapkan hanya setelah tanggal tertentu. Untuk informasi selengkapnya tentang menentukan kondisi dalam bahasa kebijakan, lihat Kondisi di Panduan IAM Pengguna.

Untuk menyatakan kondisi, Anda menggunakan kunci kondisi standar. Amazon DocumentDB tidak memiliki kunci konteks khusus layanan yang dapat digunakan dalam kebijakan. IAM Untuk daftar kunci konteks kondisi global yang tersedia untuk semua layanan, lihat Kunci yang Tersedia untuk Ketentuan di Panduan IAM Pengguna.