Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Identity and Access Management untuk Amazon DocumentDB
<a name="security-iam"></a>





AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diotorisasi* (memiliki izin) untuk menggunakan sumber daya Amazon DocumentDB. IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.

**Topics**
+ [Audiens](#security_iam_audience)
+ [Mengautentikasi dengan identitas](#security_iam_authentication)
+ [Mengelola akses menggunakan kebijakan](#security_iam_access-manage)
+ [Bagaimana Amazon DocumentDB bekerja dengan IAM](security_iam_service-with-iam.md)
+ [Contoh kebijakan berbasis identitas untuk Amazon DocumentDB](security_iam_id-based-policy-examples.md)
+ [Memecahkan masalah identitas dan akses Amazon DocumentDB](security_iam_troubleshoot.md)
+ [Mengelola izin akses ke sumber daya Amazon DocumentDB Anda](UsingWithRDS.IAM.AccessControl.Overview.md)
+ [Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk Amazon DocumentDB](UsingWithRDS.IAM.AccessControl.IdentityBased.md)
+ [AWS kebijakan terkelola untuk Amazon DocumentDB](docdb-managed-policies.md)
+ [Izin API Amazon DocumentDB: referensi tindakan, sumber daya, dan kondisi](UsingWithRDS.IAM.ResourcePermissions.md)

## Audiens
<a name="security_iam_audience"></a>

Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:
+ **Pengguna layanan** - minta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihat [Memecahkan masalah identitas dan akses Amazon DocumentDB](security_iam_troubleshoot.md))
+ **Administrator layanan** - tentukan akses pengguna dan mengirimkan permintaan izin (lihat [Bagaimana Amazon DocumentDB bekerja dengan IAM](security_iam_service-with-iam.md))
+ **Administrator IAM** - tulis kebijakan untuk mengelola akses (lihat [Contoh kebijakan berbasis identitas untuk Amazon DocumentDB](security_iam_id-based-policy-examples.md))

## Mengautentikasi dengan identitas
<a name="security_iam_authentication"></a>

Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.

Anda dapat masuk sebagai identitas federasi menggunakan kredensional dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), otentikasi masuk tunggal, atau kredensional. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.

Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.

### Akun AWS pengguna root
<a name="security_iam_authentication-rootuser"></a>

 Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*. 

### Identitas terfederasi
<a name="security_iam_authentication-federated"></a>

Sebagai praktik terbaik, mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses Layanan AWS menggunakan kredensi sementara.

*Identitas federasi* adalah pengguna dari direktori perusahaan Anda, penyedia identitas web, atau Directory Service yang mengakses Layanan AWS menggunakan kredensi dari sumber identitas. Identitas terfederasi mengambil peran yang memberikan kredensial sementara.

Untuk manajemen akses terpusat, kami menyarankan AWS IAM Identity Center. Untuk informasi selengkapnya, lihat [Apa itu Pusat Identitas IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dalam *Panduan Pengguna AWS IAM Identity Center *.

### Pengguna dan grup IAM
<a name="security_iam_authentication-iamuser"></a>

*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.

[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.

### Peran IAM
<a name="security_iam_authentication-iamrole"></a>

*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.

Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.

## Mengelola akses menggunakan kebijakan
<a name="security_iam_access-manage"></a>

Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.

Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.

Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.

### Kebijakan berbasis identitas
<a name="security_iam_access-manage-id-based-policies"></a>

Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.

Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.

### Kebijakan berbasis sumber daya
<a name="security_iam_access-manage-resource-based-policies"></a>

Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk *kebijakan kepercayaan peran IAM* dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya.

Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.

### Jenis-jenis kebijakan lain
<a name="security_iam_access-manage-other-policies"></a>

AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations *.
+ **Kebijakan kontrol sumber daya (RCPs)** — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.

### Berbagai jenis kebijakan
<a name="security_iam_access-manage-multiple-policies"></a>

Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.

# Bagaimana Amazon DocumentDB bekerja dengan IAM
<a name="security_iam_service-with-iam"></a>

Sebelum Anda menggunakan IAM untuk mengelola akses ke Amazon DocumentDB, pelajari fitur IAM yang tersedia untuk digunakan dengan Amazon DocumentDB.






**Fitur IAM yang dapat Anda gunakan dengan Amazon DocumentDB**  

| Fitur IAM | Cluster berbasis instans | Cluster elastis | 
| --- | --- | --- | 
|  [Kebijakan berbasis identitas](#security_iam_service-with-iam-id-based-policies)  |   Ya  |  Ya  | 
|  [Kebijakan berbasis sumber daya](#security_iam_service-with-iam-resource-based-policies)  |   Tidak   |  Tidak  | 
|  [Tindakan kebijakan](#security_iam_service-with-iam-id-based-policies-actions)  |   Ya  |  Ya  | 
|  [Sumber daya kebijakan](#security_iam_service-with-iam-id-based-policies-resources)  |   Ya  |  Ya  | 
|  [kunci-kunci persyaratan kebijakan (spesifik layanan)](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Ya  |  Ya  | 
|  [ACLs](#security_iam_service-with-iam-acls)  |   Tidak   |  Tidak  | 
|  [ABAC (tanda dalam kebijakan)](#security_iam_service-with-iam-tags)  |   Parsial  |  Ya  | 
|  [Kredensial sementara](#security_iam_service-with-iam-roles-tempcreds)  |   Ya  |  Ya  | 
|  [Izin principal](#security_iam_service-with-iam-principal-permissions)  |   Ya  |  Ya  | 
|  [Peran layanan](#security_iam_service-with-iam-roles-service)  |   Ya  |  Ya  | 
|  [Peran terkait layanan](#security_iam_service-with-iam-roles-service-linked)  |   Tidak   |  Ya  | 

*Untuk mendapatkan tampilan tingkat tinggi tentang cara kerja Amazon DocumentDB AWS dan layanan lainnya dengan sebagian besar fitur IAM [AWS , lihat layanan yang bekerja](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dengan IAM di Panduan Pengguna IAM.*

## Kebijakan berbasis identitas untuk Amazon DocumentDB
<a name="security_iam_service-with-iam-id-based-policies"></a>

**Mendukung kebijakan berbasis identitas**: Ya

Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang dapat Anda lampirkan ke sebuah identitas, seperti pengguna IAM, grup pengguna IAM, atau peran IAM. Kebijakan ini mengontrol jenis tindakan yang dapat dilakukan oleh pengguna dan peran, di sumber daya mana, dan berdasarkan kondisi seperti apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan terkelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.

Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. Untuk mempelajari semua elemen yang dapat Anda gunakan dalam kebijakan JSON, lihat [Referensi elemen kebijakan JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.

### Contoh kebijakan berbasis identitas untuk Amazon DocumentDB
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



Untuk melihat contoh kebijakan berbasis identitas Amazon DocumentDB, lihat. [Contoh kebijakan berbasis identitas untuk Amazon DocumentDB](security_iam_id-based-policy-examples.md)

## Kebijakan berbasis sumber daya dalam Amazon DocumentDB
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**Mendukung kebijakan berbasis sumber daya:** Tidak 

Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contoh kebijakan berbasis sumber daya adalah *kebijakan kepercayaan peran* IAM dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Untuk sumber daya tempat kebijakan dilampirkan, kebijakan menentukan tindakan apa yang dapat dilakukan oleh principal tertentu pada sumber daya tersebut dan dalam kondisi apa. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya. Prinsipal dapat mencakup akun, pengguna, peran, pengguna federasi, atau. Layanan AWS

Untuk mengaktifkan akses lintas akun, Anda dapat menentukan secara spesifik seluruh akun atau entitas IAM di akun lain sebagai principal dalam kebijakan berbasis sumber daya. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.

## Tindakan kebijakan untuk Amazon DocumentDB
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**Mendukung tindakan kebijakan:** Ya

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.

Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.



**catatan**  
Untuk fitur pengelolaan tertentu, Amazon DocumentDB menggunakan teknologi operasional yang dibagi dengan Amazon Relational Database Service (Amazon RDS).  
Untuk melihat daftar tindakan RDS, lihat [Tindakan yang ditentukan oleh Amazon Relational Database](https://docs.aws.amazon.com/en_us/service-authorization/latest/reference/list_amazonrds.html#amazonrds-actions-as-permissions) Service di Referensi Otorisasi *Layanan*.  
*Untuk melihat tindakan kebijakan untuk klaster elastis Amazon DocumentDB, [lihat Tindakan yang ditentukan oleh klaster elastis Amazon DocumentDB di Referensi Otorisasi](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondocumentdbelasticclusters.html#amazondocumentdbelasticclusters-actions-as-permissions) Layanan.*

Tindakan kebijakan di Amazon DocumentDB menggunakan awalan berikut sebelum tindakan:

```
aws
```

Untuk menetapkan secara spesifik beberapa tindakan dalam satu pernyataan, pisahkan tindakan tersebut dengan koma.

```
"Action": [
      "aws:action1",
      "aws:action2"
         ]
```





Untuk melihat contoh kebijakan berbasis identitas Amazon DocumentDB, lihat. [Contoh kebijakan berbasis identitas untuk Amazon DocumentDB](security_iam_id-based-policy-examples.md)

## Sumber daya kebijakan untuk Amazon DocumentDB
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**Mendukung sumber daya kebijakan:** Ya

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.

Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.

```
"Resource": "*"
```

**catatan**  
Untuk fitur pengelolaan tertentu, Amazon DocumentDB menggunakan teknologi operasional yang dibagi dengan Amazon Relational Database Service (Amazon RDS).  
Untuk melihat daftar jenis sumber daya RDS dan jenisnya ARNs, lihat Sumber daya yang [ditentukan oleh Amazon Relational Database](https://docs.aws.amazon.com/en_us/service-authorization/latest/reference/list_amazonrds.html#amazonrds-resources-for-iam-policies) Service di Referensi Otorisasi *Layanan*. Untuk mempelajari tindakan yang dapat Anda tentukan ARN dari setiap sumber daya, lihat [Tindakan yang ditentukan oleh Amazon Relational](https://docs.aws.amazon.com/en_us/service-authorization/latest/reference/list_amazonrds.html#amazonrds-actions-as-permissions) Database Service.  
*Untuk melihat jenis sumber daya untuk klaster eleastic Amazon DocumentDB, lihat [Jenis sumber daya yang ditentukan oleh klaster elastis Amazon DocumentDB](https://docs.aws.amazon.com/en_us/service-authorization/latest/reference/list_amazondocumentdbelasticclusters.html#amazondocumentdbelasticclusters-resources-for-iam-policies) dalam Referensi Otorisasi Layanan.*





Untuk melihat contoh kebijakan berbasis identitas Amazon DocumentDB, lihat. [Contoh kebijakan berbasis identitas untuk Amazon DocumentDB](security_iam_id-based-policy-examples.md)

## Kunci kondisi kebijakan untuk Amazon DocumentDB
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Mendukung kunci kondisi kebijakan khusus layanan:** Yes

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.

Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.

**catatan**  
Untuk fitur pengelolaan tertentu, Amazon DocumentDB menggunakan teknologi operasional yang dibagi dengan Amazon Relational Database Service (Amazon RDS).  
Untuk melihat daftar kunci kondisi RDS, lihat Kunci kondisi [untuk Amazon Relational Database](https://docs.aws.amazon.com/en_us/service-authorization/latest/reference/list_amazonrds.html#amazonrds-policy-keys) Service di Referensi Otorisasi *Layanan*. Untuk mempelajari tindakan dan sumber daya yang dapat Anda gunakan kunci kondisi, lihat [Tindakan yang ditentukan oleh Amazon Relational Database Service](https://docs.aws.amazon.com/en_us/service-authorization/latest/reference/list_amazonrds.html#amazonrds-actions-as-permissions).  
*Untuk melihat kunci kondisi untuk klaster eleastic Amazon DocumentDB, lihat [Kunci kondisi untuk klaster elastis Amazon DocumentDB](https://docs.aws.amazon.com/en_us/service-authorization/latest/reference/list_amazondocumentdbelasticclusters.html#amazondocumentdbelasticclusters-policy-keys) di Referensi Otorisasi Layanan.*

Untuk melihat contoh kebijakan berbasis identitas Amazon DocumentDB, lihat. [Contoh kebijakan berbasis identitas untuk Amazon DocumentDB](security_iam_id-based-policy-examples.md)

## ACLs di Amazon DocumentDB
<a name="security_iam_service-with-iam-acls"></a>

**Mendukung ACLs:** Tidak 

Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.

## ABAC dengan Amazon DocumentDB
<a name="security_iam_service-with-iam-tags"></a>

**catatan**  
ABAC hanya didukung sebagian untuk cluster berbasis instance tetapi didukung untuk cluster elastis.

Kontrol akses berbasis atribut (ABAC) adalah strategi otorisasi yang menentukan izin berdasarkan atribut tanda. Anda dapat melampirkan tag ke entitas dan AWS sumber daya IAM, lalu merancang kebijakan ABAC untuk mengizinkan operasi saat tag prinsipal cocok dengan tag pada sumber daya.

Untuk mengendalikan akses berdasarkan tanda, berikan informasi tentang tanda di [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dari kebijakan menggunakan kunci kondisi `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`.

Jika sebuah layanan mendukung ketiga kunci kondisi untuk setiap jenis sumber daya, nilainya adalah **Ya** untuk layanan tersebut. Jika suatu layanan mendukung ketiga kunci kondisi untuk hanya beberapa jenis sumber daya, nilainya adalah **Parsial**.

Untuk informasi selengkapnya tentang ABAC, lihat [Tentukan izin dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dalam *Panduan Pengguna IAM.* Untuk melihat tutorial yang menguraikan langkah-langkah pengaturan ABAC, lihat [Menggunakan kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dalam *Panduan Pengguna IAM*.

## Menggunakan kredensi sementara dengan Amazon DocumentDB
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**Mendukung kredensial sementara:** Ya

Kredensi sementara menyediakan akses jangka pendek ke AWS sumber daya dan secara otomatis dibuat saat Anda menggunakan federasi atau beralih peran. AWS merekomendasikan agar Anda secara dinamis menghasilkan kredensi sementara alih-alih menggunakan kunci akses jangka panjang. Untuk informasi selengkapnya, lihat [Kredensial keamanan sementara di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) dan [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dalam *Panduan Pengguna IAM*.

## Izin utama lintas layanan untuk Amazon DocumentDB
<a name="security_iam_service-with-iam-principal-permissions"></a>

**Mendukung sesi akses terusan (FAS):** Ya

 Sesi akses teruskan (FAS) menggunakan izin pemanggilan utama Layanan AWS, dikombinasikan dengan permintaan Layanan AWS untuk membuat permintaan ke layanan hilir. Untuk detail kebijakan ketika mengajukan permintaan FAS, lihat [Sesi akses terusan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

## Peran layanan untuk Amazon DocumentDB
<a name="security_iam_service-with-iam-roles-service"></a>

**Mendukung peran layanan:** Ya

 Peran layanan adalah [peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang diambil oleh sebuah layanan untuk melakukan tindakan atas nama Anda. Administrator IAM dapat membuat, mengubah, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihat [Buat sebuah peran untuk mendelegasikan izin ke Layanan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dalam *Panduan pengguna IAM*. 

**Awas**  
Mengubah izin untuk peran layanan dapat merusak fungsionalitas Amazon DocumentDB. Edit peran layanan hanya jika Amazon DocumentDB memberikan panduan untuk melakukannya.

## Peran terkait layanan untuk Amazon DocumentDB
<a name="security_iam_service-with-iam-roles-service-linked"></a>

**catatan**  
Peran terkait layanan tidak didukung untuk cluster berbasis instance tetapi didukung untuk cluster elastis.

 Peran terkait layanan adalah jenis peran layanan yang ditautkan ke. Layanan AWS Layanan tersebut dapat menjalankan peran untuk melakukan tindakan atas nama Anda. Peran terkait layanan muncul di Anda Akun AWS dan dimiliki oleh layanan. Administrator IAM dapat melihat, tetapi tidak dapat mengedit izin untuk peran terkait layanan. 

Untuk detail tentang pembuatan atau manajemen peran terkait layanan, lihat [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Cari layanan dalam tabel yang memiliki `Yes` di kolom **Peran terkait layanan**. Pilih tautan **Ya** untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.

# Contoh kebijakan berbasis identitas untuk Amazon DocumentDB
<a name="security_iam_id-based-policy-examples"></a>

Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau memodifikasi sumber daya Amazon DocumentDB. Untuk memberikan izin kepada pengguna untuk melakukan tindakan di sumber daya yang mereka perlukan, administrator IAM dapat membuat kebijakan IAM.

*Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan IAM (konsol) di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html).*

*Untuk detail tentang tindakan dan jenis sumber daya yang ditentukan oleh Amazon DocumentDB, termasuk format untuk setiap jenis sumber daya, [lihat Kunci tindakan, sumber daya, dan kondisi untuk Amazon Relational Database Service](https://docs.aws.amazon.com/en_us/service-authorization/latest/reference/list_amazonrds.html) dalam Referensi Otorisasi Layanan. ARNs *

**catatan**  
Untuk fitur pengelolaan tertentu, Amazon DocumentDB menggunakan teknologi operasional yang dibagi dengan Amazon Relational Database Service (Amazon RDS).  
*Untuk tindakan kebijakan untuk klaster elastis Amazon DocumentDB, [lihat Kunci tindakan, sumber daya, dan kondisi untuk Amazon DocumentDB Elastic Cluster dalam Referensi Otorisasi](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondocumentdbelasticclusters.html) Layanan.*

**Topics**
+ [Praktik terbaik kebijakan](#security_iam_service-with-iam-policy-best-practices)
+ [Menggunakan konsol Amazon DocumentDB](#security_iam_id-based-policy-examples-console)
+ [Mengizinkan pengguna melihat izin mereka sendiri](#security_iam_id-based-policy-examples-view-own-permissions)

## Praktik terbaik kebijakan
<a name="security_iam_service-with-iam-policy-best-practices"></a>

Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya Amazon DocumentDB di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.

Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.

## Menggunakan konsol Amazon DocumentDB
<a name="security_iam_id-based-policy-examples-console"></a>

Untuk mengakses konsol Amazon DocumentDB (dengan kompatibilitas MongoDB), Anda harus memiliki set izin minimum. Izin ini harus memungkinkan Anda untuk membuat daftar dan melihat detail tentang sumber daya Amazon DocumentDB di Anda. Akun AWS Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana mestinya untuk entitas (pengguna atau peran) dengan kebijakan tersebut.

Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau AWS API. Sebagai gantinya, izinkan akses hanya ke tindakan yang sesuai dengan operasi API yang coba mereka lakukan.

Untuk memastikan bahwa pengguna dan peran masih dapat menggunakan konsol Amazon DocumentDB, lampirkan juga Amazon DocumentDB atau kebijakan terkelola ke `ConsoleAccess` entitas `ReadOnly` AWS . Untuk informasi selengkapnya, lihat [Menambah izin untuk pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.

## Mengizinkan pengguna melihat izin mereka sendiri
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

Contoh ini menunjukkan cara membuat kebijakan yang mengizinkan pengguna IAM melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS 

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```







# Memecahkan masalah identitas dan akses Amazon DocumentDB
<a name="security_iam_troubleshoot"></a>

Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan Amazon DocumentDB dan IAM.

**Topics**
+ [Saya tidak berwenang untuk melakukan tindakan di Amazon DocumentDB](#security_iam_troubleshoot-no-permissions)
+ [Saya tidak berwenang untuk melakukan iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Saya ingin mengizinkan orang di luar saya Akun AWS untuk mengakses sumber daya Amazon DocumentDB saya](#security_iam_troubleshoot-cross-account-access)

## Saya tidak berwenang untuk melakukan tindakan di Amazon DocumentDB
<a name="security_iam_troubleshoot-no-permissions"></a>

Jika Anda menerima pesan kesalahan bahwa Anda tidak memiliki otorisasi untuk melakukan tindakan, kebijakan Anda harus diperbarui agar Anda dapat melakukan tindakan tersebut.

Contoh kesalahan berikut terjadi ketika pengguna IAM `mateojackson` mencoba menggunakan konsol untuk melihat detail tentang suatu sumber daya `my-example-widget` rekaan, tetapi tidak memiliki izin `aws:GetWidget` rekaan.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: aws:GetWidget on resource: my-example-widget
```

Dalam hal ini, kebijakan untuk pengguna `mateojackson` harus diperbarui untuk mengizinkan akses ke sumber daya `my-example-widget` dengan menggunakan tindakan `aws:GetWidget`.

Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.

## Saya tidak berwenang untuk melakukan iam: PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Jika Anda menerima kesalahan yang tidak diizinkan untuk melakukan `iam:PassRole` tindakan, kebijakan Anda harus diperbarui agar Anda dapat meneruskan peran ke Amazon DocumentDB.

Beberapa Layanan AWS memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.

Contoh kesalahan berikut terjadi ketika pengguna IAM bernama `marymajor` mencoba menggunakan konsol untuk melakukan tindakan di Amazon DocumentDB. Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

Dalam kasus ini, kebijakan Mary harus diperbarui agar dia mendapatkan izin untuk melakukan tindakan `iam:PassRole` tersebut.

Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.

## Saya ingin mengizinkan orang di luar saya Akun AWS untuk mengakses sumber daya Amazon DocumentDB saya
<a name="security_iam_troubleshoot-cross-account-access"></a>

Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.

Untuk mempelajari selengkapnya, periksa referensi berikut:
+ Untuk mengetahui apakah Amazon DocumentDB mendukung fitur-fitur ini, lihat. [Bagaimana Amazon DocumentDB bekerja dengan IAM](security_iam_service-with-iam.md)
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat [Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ *Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Akses sumber daya lintas akun di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*

# Mengelola izin akses ke sumber daya Amazon DocumentDB Anda
<a name="UsingWithRDS.IAM.AccessControl.Overview"></a>

Setiap AWS sumber daya dimiliki oleh Akun AWS, dan izin untuk membuat atau mengakses sumber daya diatur oleh kebijakan izin. Administrator akun dapat melampirkan kebijakan izin ke identitas IAM (yaitu, pengguna, grup, dan peran), dan beberapa layanan (seperti AWS Lambda) juga mendukung melampirkan kebijakan izin ke sumber daya.

**catatan**  
*Administrator akun* (atau pengguna administrator) adalah pengguna dengan izin administrator. Untuk informasi selengkapnya, lihat [Praktik Terbaik IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.

**Topics**
+ [Sumber daya dan operasi Amazon DocumentDB](#CreatingIAMPolicies-RDS)
+ [Memahami kepemilikan sumber daya](#UsingWithRDS.IAM.AccessControl.ResourceOwner)
+ [Mengelola akses ke sumber daya](#UsingWithRDS.IAM.AccessControl.ManagingAccess)
+ [Menentukan elemen kebijakan: tindakan, efek, sumber daya, dan prinsip](#SpecifyingIAMPolicyActions-RDS)
+ [Menentukan kondisi dalam kebijakan](#SpecifyingIAMPolicyConditions-RDS)

## Sumber daya dan operasi Amazon DocumentDB
<a name="CreatingIAMPolicies-RDS"></a>

Di Amazon DocumentDB, sumber daya primer adalah *klaster*. Amazon DocumentDB mendukung sumber daya lain yang dapat digunakan dengan sumber daya primer seperti *instans*, *grup parameter*, dan *langganan peristiwa*. Sumber daya tersebut dirujuk sebagai *sub-sumber daya*. 

Sumber daya dan subsumber daya ini memiliki Nama Sumber Daya Amazon (ARNs) unik yang terkait dengannya, seperti yang ditunjukkan pada tabel berikut.


| **Jenis Sumber Daya**  |  **Format ARN**  | 
| --- | --- | 
| Kluster | `arn:aws:rds:region:account-id:cluster:db-cluster-name` | 
| Grup parameter klaster | `arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name` | 
| Snapshot klaster | `arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name` | 
| Instans | `arn:aws:rds:region:account-id:db:db-instance-name` | 
| Grup keamanan | `arn:aws:rds:region:account-id:secgrp:security-group-name` | 
| Grup subnet | `arn:aws:rds:region:account-id:subgrp:subnet-group-name` | 

Amazon DocumentDB menyediakan serangkaian operasi untuk bekerja dengan sumber daya Amazon DocumentDB. Untuk daftar operasi yang tersedia, lihat [Tindakan](https://docs.aws.amazon.com/documentdb/latest/developerguide/API_Operations.html). 

## Memahami kepemilikan sumber daya
<a name="UsingWithRDS.IAM.AccessControl.ResourceOwner"></a>

*Pemilik sumber daya* adalah Akun AWS yang menciptakan sumber daya. Artinya, pemilik sumber daya adalah *entitas utama* (akun root, pengguna IAM, atau peran IAM) yang mengautentikasi permintaan yang membuat sumber daya. Akun AWS Contoh berikut menggambarkan cara kerjanya:
+ Jika Anda menggunakan kredensi akun root Anda Akun AWS untuk membuat sumber daya Amazon DocumentDB, seperti instance, Akun AWS Anda adalah pemilik sumber daya Amazon DocumentDB.
+ Jika Anda membuat pengguna IAM di Anda Akun AWS dan memberikan izin untuk membuat sumber daya Amazon DocumentDB kepada pengguna tersebut, pengguna dapat membuat sumber daya Amazon DocumentDB. Namun, milik Anda Akun AWS, yang menjadi milik pengguna, memiliki sumber daya Amazon DocumentDB.
+ Jika Anda membuat peran IAM Akun AWS dengan izin untuk membuat sumber daya Amazon DocumentDB, siapa pun yang dapat mengambil peran tersebut dapat membuat sumber daya Amazon DocumentDB. Anda Akun AWS, yang menjadi milik peran tersebut, memiliki sumber daya Amazon DocumentDB. 

## Mengelola akses ke sumber daya
<a name="UsingWithRDS.IAM.AccessControl.ManagingAccess"></a>

*Kebijakan izin* menjelaskan siapa yang memiliki akses ke suatu objek. Bagian berikut menjelaskan opsi yang tersedia untuk membuat kebijakan izin.

**catatan**  
Bagian ini membahas penggunaan IAM dalam konteks Amazon DocumentDB. Bagian ini tidak memberikan informasi yang mendetail tentang layanan IAM. Untuk dokumentasi IAM lengkap, lihat [Apa yang Dimaksud dengan IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) dalam *Panduan Pengguna IAM*. Untuk informasi tentang sintaks dan deskripsi kebijakan IAM, lihat [Referensi AWSIAM Kebijakan di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) Pengguna *IAM*.

Kebijakan yang terlampir pada identitas IAM disebut sebagai kebijakan *berbasis identitas* (kebijakan IAM). Kebijakan yang terlampir pada sumber daya disebut sebagai kebijakan *berbasis sumber daya*. Amazon DocumentDB hanya mendukung kebijakan berbasis identitas (kebijakan IAM).

**Topics**
+ [Kebijakan berbasis identitas (kebijakan IAM)](#UsingWithRDS.IAM.AccessControl.ManagingAccess.IdentityBased)
+ [Kebijakan berbasis sumber daya](#UsingWithRDS.IAM.AccessControl.ManagingAccess.ResourceBased)

### Kebijakan berbasis identitas (kebijakan IAM)
<a name="UsingWithRDS.IAM.AccessControl.ManagingAccess.IdentityBased"></a>

Anda dapat melampirkan kebijakan ke identitas IAM Anda. Misalnya, Anda dapat melakukan hal berikut: 
+ **Lampirkan kebijakan izin ke pengguna atau grup dalam akun Anda** – Administrator akun dapat menggunakan kebijakan izin yang berkaitan dengan pengguna tertentu untuk memberikan izin bagi pengguna tersebut untuk membuat sumber daya Amazon DocumentDB, seperti instans. 
+ **Lampirkan kebijakan izin untuk peran (memberikan izin lintas akun)** – Anda dapat melampirkan kebijakan izin berbasis identitas ke IAM role untuk memberikan izin lintas akun. Misalnya, administrator dapat membuat peran untuk memberikan izin lintas akun kepada orang lain Akun AWS atau AWS layanan sebagai berikut:

  1. Administrator akun A membuat peran IAM dan melampirkan kebijakan izin ke peran ini yang memberikan izin pada sumber daya di akun A.

  1. Administrator akun A melampirkan kebijakan kepercayaan ke peran yang mengidentifikasi Akun B sebagai prinsipal yang dapat mengambil peran tersebut. 

  1. Administrator Akun B kemudian dapat mendelegasikan izin untuk mengambil peran kepada setiap pengguna di Akun B. Melakukan hal ini memungkinkan pengguna di Akun B untuk membuat atau mengakses sumber daya di Akun A. Prinsip dalam kebijakan kepercayaan juga dapat menjadi prinsip AWS layanan jika Anda ingin memberikan izin ke AWS layanan untuk mengambil peran.

   Untuk informasi selengkapnya tentang penggunaan IAM untuk mendelegasikan izin, lihat [Manajemen Akses](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) dalam *Panduan Pengguna IAM*. 

Berikut ini adalah kebijakan contoh yang mengizinkan pengguna dengan ID `123456789012` untuk membuat instans untuk Akun AWS Anda. Instans yang baru harus menggunakan grup opsi dan grup parameter yang dimulai dengan `default`, dan harus menggunakan grup subnet `default`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCreateDBInstanceOnly",
            "Effect": "Allow",
            "Action": [
                "rds:CreateDBInstance"
            ],
            "Resource": [
                "arn:aws:rds:*:123456789012:db:test*",
                "arn:aws:rds:*:123456789012:pg:cluster-pg:default*",
                "arn:aws:rds:*:123456789012:subgrp:default"
            ]
        }
    ]
}
```

------

Untuk informasi selengkapnya tentang menggunakan kebijakan berbasis identitas dengan Amazon DocumentDB, lihat [Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk Amazon DocumentDB](UsingWithRDS.IAM.AccessControl.IdentityBased.md). Untuk informasi lebih lanjut tentang pengguna, grup, peran, dan izin, lihat [Identitas (Pengguna, Grup, dan Peran)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) dalam *Panduan Pengguna IAM*. 

### Kebijakan berbasis sumber daya
<a name="UsingWithRDS.IAM.AccessControl.ManagingAccess.ResourceBased"></a>

Layanan lainnya, seperti Amazon Simple Storage Service (Amazon S3), juga mendukung kebijakan izin berbasis sumber daya. Misalnya, Anda dapat melampirkan kebijakan ke bucket Amazon S3 untuk mengelola izin akses ke bucket tersebut. Amazon DocumentDB tidak mendukung kebijakan berbasis sumber daya.

## Menentukan elemen kebijakan: tindakan, efek, sumber daya, dan prinsip
<a name="SpecifyingIAMPolicyActions-RDS"></a>

Untuk setiap sumber daya Amazon DocumentDB (lihat [Sumber daya dan operasi Amazon DocumentDB](#CreatingIAMPolicies-RDS)), layanan menentukan serangkaian operasi API. Untuk informasi selengkapnya, lihat [Tindakan](https://docs.aws.amazon.com/redshift/latest/APIReference/API_Operations.html). Untuk memberikan izin bagi operasi API tersebut, Amazon DocumentDB menentukan serangkaian tindakan yang dapat Anda tentukan dalam kebijakan. Melakukan operasi API dapat memerlukan izin untuk lebih dari satu tindakan. 

Berikut ini adalah elemen-elemen kebijakan dasar:
+ **Sumber Daya** – Dalam kebijakan, Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang diberlakukan oleh kebijakan tersebut. 
+ **Tindakan** – Anda menggunakan kata kunci tindakan untuk mengidentifikasi operasi sumber daya yang ingin Anda izinkan atau tolak. Misalnya, izin `rds:DescribeDBInstances` memungkinkan pengguna untuk melakukan operasi `DescribeDBInstances`. 
+ **Efek** – Anda menetapkan efek ketika pengguna meminta tindakan tertentu—hal ini dapat mengizinkan maupun menolak. Jika Anda tidak secara eksplisit memberikan akses ke (mengizinkan) sumber daya, akses akan ditolak secara implisit. Anda juga dapat secara eksplisit menolak akses ke sumber daya, yang mungkin Anda lakukan untuk memastikan bahwa pengguna tidak dapat mengaksesnya, meskipun kebijakan yang berbeda memberikan akses.
+ **Principal** – Dalam kebijakan berbasis identitas (Kebijakan IAM), pengguna yang kebijakannya terlampir adalah principal yang implisit. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang diinginkan untuk menerima izin (berlaku hanya untuk kebijakan berbasis sumber daya). Amazon DocumentDB tidak mendukung kebijakan berbasis sumber daya.

Untuk mempelajari selengkapnya tentang sintaksis dan penjelasan kebijakan IAM, lihat [AWS Referensi Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dalam *Panduan Pengguna IAM*.

Untuk tabel yang menampilkan semua Tindakan Amazon DocumentDB API dan sumber daya yang diterapkan, lihat [Izin API Amazon DocumentDB: referensi tindakan, sumber daya, dan kondisi](UsingWithRDS.IAM.ResourcePermissions.md). 

## Menentukan kondisi dalam kebijakan
<a name="SpecifyingIAMPolicyConditions-RDS"></a>

Ketika Anda memberikan izin, Anda dapat menggunakan bahasa kebijakan IAM untuk menentukan kondisi ketika kebijakan harus berlaku. Misalnya, Anda mungkin ingin kebijakan diterapkan hanya setelah tanggal tertentu. Untuk informasi selengkapnya tentang menentukan kondisi dalam bahasa kebijakan, lihat [Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) dalam *Panduan Pengguna IAM*.

Untuk menyatakan kondisi, Anda menggunakan kunci kondisi standar. Amazon DocumentDB tidak memiliki kunci konteks layanan khusus yang dapat digunakan dalam kebijakan IAM. Untuk daftar kunci konteks syarat global yang tersedia untuk semua layanan, lihat [Kunci yang Tersedia untuk Syarat](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) di *Panduan Pengguna IAM*.

# Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk Amazon DocumentDB
<a name="UsingWithRDS.IAM.AccessControl.IdentityBased"></a>

**penting**  
Untuk fitur manajemen tertentu, Amazon DocumentDB menggunakan teknologi operasional yang dibagi dengan Amazon RDS. Konsol Amazon DocumentDB AWS CLI,, dan panggilan API dicatat sebagai panggilan yang dilakukan ke Amazon RDS API.  
Kami menyarankan Anda untuk terlebih dahulu meninjau topik pendahuluan yang menjelaskan konsep dasar dan opsi yang tersedia bagi Anda untuk mengelola akses ke sumber daya Amazon DocumentDB Anda. Untuk informasi selengkapnya, lihat [Mengelola izin akses ke sumber daya Amazon DocumentDB Anda](UsingWithRDS.IAM.AccessControl.Overview.md).

Topik ini menyediakan contoh kebijakan berbasis identitas di mana administrator akun dapat melampirkan kebijakan izin ke identitas IAM (yaitu, pengguna, grup, dan peran). 

Berikut ini adalah contoh kebijakan IAM.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCreateDBInstanceOnly",
            "Effect": "Allow",
            "Action": [
                "rds:CreateDBInstance"
            ],
            "Resource": [
                "arn:aws:rds:*:123456789012:db:test*",
                "arn:aws:rds:*:123456789012:pg:cluster-pg:default*",
                "arn:aws:rds:*:123456789012:subgrp:default"
            ]
        }
    ]
}
```

------

Kebijakan ini mencakup pernyataan tunggal yang menentukan izin berikut untuk pengguna IAM:
+ Kebijakan ini memungkinkan pengguna IAM untuk membuat instance menggunakan DBInstance tindakan [Create](https://docs.aws.amazon.com/documentdb/latest/developerguide/API_CreateDBInstance.html) (ini juga berlaku untuk [create-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-instance.html) AWS CLI operasi dan Konsol Manajemen AWS).
+ Elemen `Resource` menentukan bahwa pengguna dapat melakukan tindakan pada atau dengan sumber daya. Anda menentukan sumber daya menggunakan Amazon Resource Name (ARN). ARN ini mencakup nama layanan yang dimiliki sumber daya (`rds`), Wilayah AWS (`*`menunjukkan Wilayah apa pun dalam contoh ini), nomor akun pengguna (`123456789012`adalah ID pengguna dalam contoh ini), dan jenis sumber daya.

  Elemen `Resource` dalam contoh menentukan batasan kebijakan berikut pada sumber daya untuk pengguna:
  + Pengidentifikasi instans untuk instans baru harus dimulai dengan `test` (sebagai contoh, `testCustomerData1`, `test-region2-data`).
  + Grup parameter klaster untuk instans baru harus dimulai dengan `default`.
  + Grup subnet untuk instans baru harus grup subnet `default`.

Kebijakan tidak menentukan elemen `Principal` karena dalam kebijakan berbasis identitas, Anda tidak menentukan prinsipal yang mendapatkan izin. Saat Anda melampirkan kebijakan kepada pengguna, pengguna tersebut menjadi prinsipal secara implisit. Saat Anda melampirkan kebijakan izin pada IAM role, penanggung jawab yang diidentifikasi dalam kebijakan kepercayaan peran mendapatkan izin.

 Untuk tabel yang menampilkan semua operasi Amazon DocumentDB API dan sumber daya yang mereka terapkan, lihat [Izin API Amazon DocumentDB: referensi tindakan, sumber daya, dan kondisi](UsingWithRDS.IAM.ResourcePermissions.md). 

## Izin diperlukan untuk menggunakan konsol Amazon DocumentDB
<a name="UsingWithRDS.IAM.RequiredPermissions.Console"></a>

Agar pengguna dapat bekerja dengan konsol Amazon DocumentDB, pengguna tersebut harus memiliki rangkaian izin minimum. Izin ini memungkinkan pengguna untuk mendeskripsikan sumber daya Amazon DocumentDB Akun AWS untuk mereka dan untuk memberikan informasi terkait lainnya, termasuk keamanan Amazon EC2 dan informasi jaringan.

Jika Anda membuat kebijakan IAM yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana mestinya bagi pengguna dengan kebijakan IAM tersebut. Untuk memastikan bahwa pengguna tersebut masih dapat menggunakan konsol Amazon DocumentDB, lampirkan juga kebijakan terkelola `AmazonDocDBConsoleFullAccess` kepada pengguna, sebagaimana dijelaskan dalam [AWS kebijakan terkelola untuk Amazon DocumentDB](docdb-managed-policies.md).

Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke API Amazon DocumentDB AWS CLI atau Amazon DocumentDB. 

## Contoh kebijakan yang dikelola pelanggan
<a name="IAMPolicyExamples-RDS"></a>

Dalam bagian ini, Anda dapat menemukan contoh kebijakan pengguna yang memberikan izin untuk berbagai tindakan Amazon DocumentDB. Kebijakan ini berfungsi saat Anda menggunakan tindakan API Amazon DocumentDB AWS SDKs, atau. AWS CLI Saat Anda menggunakan konsol, Anda perlu memberikan izin tambahan yang khusus untuk konsol. yang dibahas dalam [Izin diperlukan untuk menggunakan konsol Amazon DocumentDB](#UsingWithRDS.IAM.RequiredPermissions.Console).

Untuk fitur manajemen tertentu, Amazon DocumentDB menggunakan teknologi operasional yang dibagi dengan Amazon Relational Database Service (Amazon RDS) dan Amazon Neptune.

**catatan**  
Semua contoh menggunakan Wilayah AS Timur (Virginia Utara) (`us-east-1`) dan berisi akun fiktif. IDs

**Topics**
+ [Contoh 1: Izinkan pengguna melakukan tindakan deskripsi apa pun pada sumber daya Amazon DocumentDB apa pun](#IAMPolicyExamples-RDS-perform-describe-action)
+ [Contoh 2: Mencegah pengguna menghapus instance](#IAMPolicyExamples-RDS-prevent-db-deletion)
+ [Contoh 3: Mencegah pengguna membuat cluster kecuali enkripsi penyimpanan diaktifkan](#IAMPolicyExamples-Prevent-Cluster)

### Contoh 1: Izinkan pengguna melakukan tindakan deskripsi apa pun pada sumber daya Amazon DocumentDB apa pun
<a name="IAMPolicyExamples-RDS-perform-describe-action"></a>

Kebijakan izin berikut ini memberikan izin kepada pengguna untuk menjalankan semua tindakan yang dimulai dengan `Describe`. Tindakan tersebut menunjukkan informasi tentang sumber daya Amazon DocumentDB, seperti instans. Karakter wildcard (\$1) di elemen `Resource` menunjukkan bahwa tindakan diizinkan untuk semua sumber daya Amazon DocumentDB yang dimiliki akun tersebut.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Sid":"AllowRDSDescribe",
         "Effect":"Allow",
         "Action":"rds:Describe*",
         "Resource":"*"
      }
   ]
}
```

------

### Contoh 2: Mencegah pengguna menghapus instance
<a name="IAMPolicyExamples-RDS-prevent-db-deletion"></a>

Kebijakan izin berikut ini memberikan izin untuk mencegah pengguna menghapus instans tertentu. Sebagai contoh, Anda mungkin ingin menolak kemampuan untuk menghapus instans produksi Anda kepada setiap pengguna yang bukan administrator.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Sid":"DenyDelete1",
         "Effect":"Deny",
         "Action":"rds:DeleteDBInstance",
         "Resource":"arn:aws:rds:us-east-1:123456789012:db:my-db-instance"
      }
   ]
}
```

------

### Contoh 3: Mencegah pengguna membuat cluster kecuali enkripsi penyimpanan diaktifkan
<a name="IAMPolicyExamples-Prevent-Cluster"></a>

Kebijakan izin berikut ini menolak izin bagi pengguna untuk membuat klaster Amazon DocumentDB kecuali enkripsi penyimpanan diaktifkan.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Sid": "PreventUnencryptedDocumentDB",
         "Effect": "Deny",
         "Action": "RDS:CreateDBCluster",
         "Condition": {
         "Bool": {
         "rds:StorageEncrypted": "false"
      },
         "StringEquals": {
         "rds:DatabaseEngine": "docdb"
         }
      },
      "Resource": "*"
      }
   ]
}
```

------

# AWS kebijakan terkelola untuk Amazon DocumentDB
<a name="docdb-managed-policies"></a>

Untuk menambahkan izin ke pengguna, grup, dan peran, lebih mudah menggunakan kebijakan AWS terkelola daripada menulis kebijakan sendiri. Dibutuhkan waktu dan keahlian untuk [membuat kebijakan yang dikelola pelanggan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) yang hanya memberi tim Anda izin yang mereka butuhkan. Untuk memulai dengan cepat, Anda dapat menggunakan kebijakan AWS terkelola kami. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di AWS akun Anda. Untuk informasi selengkapnya tentang kebijakan AWS terkelola, lihat [kebijakan AWS terkelola](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) di *Panduan Pengguna AWS Identity and Access Management*.

AWS layanan memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan terkadang menambahkan izin tambahan ke kebijakan AWS terkelola untuk mendukung fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan AWS terkelola saat fitur baru diluncurkan atau saat operasi baru tersedia. Layanan tidak menghapus izin dari kebijakan AWS terkelola, sehingga pembaruan kebijakan tidak akan merusak izin yang ada.

Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan `ViewOnlyAccess` AWS terkelola menyediakan akses hanya-baca ke banyak AWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS tambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk daftar dan deskripsi kebijakan fungsi pekerjaan, lihat [kebijakan AWS terkelola untuk fungsi pekerjaan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) di *Panduan Pengguna AWS Identity and Access Management*.

Kebijakan AWS terkelola berikut, yang dapat Anda lampirkan ke pengguna di akun Anda, khusus untuk Amazon DocumentDB:
+ [AmazonDocDBFullAkses](#AmazonDocDBFullAccess)— Memberikan akses penuh ke semua sumber daya Amazon DocumentDB untuk akun root. AWS 
+ [AmazonDocDBReadOnlyAccess](#AmazonDocDBReadOnlyAccess)— Memberikan akses hanya-baca ke semua sumber daya Amazon DocumentDB untuk akun root. AWS 
+ [AmazonDocDBConsoleFullAccess](#AmazonDocDBConsoleFullAccess)— Memberikan akses penuh untuk mengelola sumber daya cluster elastis Amazon DocumentDB dan Amazon DocumentDB menggunakan file. Konsol Manajemen AWS
+ [AmazonDocDBElasticReadOnlyAccess](#AmazonDocDB-ElasticReadOnlyAccess)— Memberikan akses hanya-baca ke semua sumber daya cluster elastis Amazon DocumentDB untuk akun root. AWS 
+ [AmazonDocDBElasticFullAccess](#AmazonDocDB-ElasticFullAccess)— Memberikan akses penuh ke semua sumber daya cluster elastis Amazon DocumentDB untuk akun root. AWS 

## AmazonDocDBFullAkses
<a name="AmazonDocDBFullAccess"></a>

Kebijakan ini memberikan izin administratif yang memungkinkan akses penuh utama ke semua tindakan Amazon DocumentDB. Izin dalam kebijakan ini dikelompokkan sebagai berikut:
+ Izin Amazon DocumentDB memungkinkan semua tindakan Amazon DocumentDB.
+ Beberapa izin Amazon EC2 dalam kebijakan ini diperlukan untuk memvalidasi sumber daya yang diteruskan dalam permintaan API. Ini untuk memastikan Amazon DocumentDB berhasil menggunakan sumber daya dengan cluster. Izin Amazon EC2 lainnya dalam kebijakan ini memungkinkan Amazon DocumentDB membuat AWS sumber daya yang diperlukan untuk memungkinkan Anda terhubung ke cluster Anda.
+ Izin Amazon DocumentDB digunakan selama panggilan API untuk memvalidasi sumber daya yang diteruskan dalam permintaan. Mereka diperlukan untuk Amazon DocumentDB untuk dapat menggunakan kunci yang diteruskan dengan cluster Amazon DocumentDB.
+  CloudWatch Log diperlukan untuk Amazon DocumentDB untuk dapat memastikan bahwa tujuan pengiriman log dapat dijangkau, dan valid untuk penggunaan log broker.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "rds:AddRoleToDBCluster",
                "rds:AddSourceIdentifierToSubscription",
                "rds:AddTagsToResource",
                "rds:ApplyPendingMaintenanceAction",
                "rds:CopyDBClusterParameterGroup",
                "rds:CopyDBClusterSnapshot",
                "rds:CopyDBParameterGroup",
                "rds:CreateDBCluster",
                "rds:CreateDBClusterParameterGroup",
                "rds:CreateDBClusterSnapshot",
                "rds:CreateDBInstance",
                "rds:CreateDBParameterGroup",
                "rds:CreateDBSubnetGroup",
                "rds:CreateEventSubscription",
                "rds:DeleteDBCluster",
                "rds:DeleteDBClusterParameterGroup",
                "rds:DeleteDBClusterSnapshot",
                "rds:DeleteDBInstance",
                "rds:DeleteDBParameterGroup",
                "rds:DeleteDBSubnetGroup",
                "rds:DeleteEventSubscription",
                "rds:DescribeAccountAttributes",
                "rds:DescribeCertificates",
                "rds:DescribeDBClusterParameterGroups",
                "rds:DescribeDBClusterParameters",
                "rds:DescribeDBClusterSnapshotAttributes",
                "rds:DescribeDBClusterSnapshots",
                "rds:DescribeDBClusters",
                "rds:DescribeDBEngineVersions",
                "rds:DescribeDBInstances",
                "rds:DescribeDBLogFiles",
                "rds:DescribeDBParameterGroups",
                "rds:DescribeDBParameters",
                "rds:DescribeDBSecurityGroups",
                "rds:DescribeDBSubnetGroups",
                "rds:DescribeEngineDefaultClusterParameters",
                "rds:DescribeEngineDefaultParameters",
                "rds:DescribeEventCategories",
                "rds:DescribeEventSubscriptions",
                "rds:DescribeEvents",
                "rds:DescribeOptionGroups",
                "rds:DescribeOrderableDBInstanceOptions",
                "rds:DescribePendingMaintenanceActions",
                "rds:DescribeValidDBInstanceModifications",
                "rds:DownloadDBLogFilePortion",
                "rds:FailoverDBCluster",
                "rds:ListTagsForResource",
                "rds:ModifyDBCluster",
                "rds:ModifyDBClusterParameterGroup",
                "rds:ModifyDBClusterSnapshotAttribute",
                "rds:ModifyDBInstance",
                "rds:ModifyDBParameterGroup",
                "rds:ModifyDBSubnetGroup",
                "rds:ModifyEventSubscription",
                "rds:PromoteReadReplicaDBCluster",
                "rds:RebootDBInstance",
                "rds:RemoveRoleFromDBCluster",
                "rds:RemoveSourceIdentifierFromSubscription",
                "rds:RemoveTagsFromResource",
                "rds:ResetDBClusterParameterGroup",
                "rds:ResetDBParameterGroup",
                "rds:RestoreDBClusterFromSnapshot",
                "rds:RestoreDBClusterToPointInTime"
            ],
            "Effect": "Allow",
            "Resource": [
                "*"
            ]
        },
        {
            "Action": [
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics",
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcAttribute",
                "ec2:DescribeVpcs",
                "kms:ListAliases",
                "kms:ListKeyPolicies",
                "kms:ListKeys",
                "kms:ListRetirableGrants",
                "logs:DescribeLogStreams",
                "logs:GetLogEvents",
                "sns:ListSubscriptions",
                "sns:ListTopics",
                "sns:Publish"
            ],
            "Effect": "Allow",
            "Resource": [
                "*"
            ]
        },
        {
            "Action": "iam:CreateServiceLinkedRole",
            "Effect": "Allow",
            "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
            "Condition": {
                "StringLike": {
                    "iam:AWS ServiceName": "rds.amazonaws.com"
                }
            }
        }
    ]
}
```

------

## AmazonDocDBReadOnlyAccess
<a name="AmazonDocDBReadOnlyAccess"></a>

Kebijakan ini memberikan izin hanya-baca yang memungkinkan pengguna melihat informasi di Amazon DocumentDB. Prinsipal dengan kebijakan terlampir ini tidak dapat membuat pembaruan atau menghapus sumber daya yang keluar, juga tidak dapat membuat sumber daya Amazon DocumentDB baru. Misalnya, prinsipal dengan izin ini dapat melihat daftar cluster dan konfigurasi yang terkait dengan akun mereka, tetapi tidak dapat mengubah konfigurasi atau pengaturan cluster apa pun. Izin dalam kebijakan ini dikelompokkan sebagai berikut:
+ Izin Amazon DocumentDB memungkinkan Anda mencantumkan sumber daya Amazon DocumentDB, menjelaskannya, dan mendapatkan informasi tentangnya.
+ Izin Amazon EC2 digunakan untuk menggambarkan VPC Amazon, subnet, grup keamanan, dan ENIs yang terkait dengan cluster.
+ Izin Amazon DocumentDB digunakan untuk menggambarkan kunci yang terkait dengan cluster.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "rds:DescribeAccountAttributes",
                "rds:DescribeCertificates",
                "rds:DescribeDBClusterParameterGroups",
                "rds:DescribeDBClusterParameters",
                "rds:DescribeDBClusterSnapshotAttributes",
                "rds:DescribeDBClusterSnapshots",
                "rds:DescribeDBClusters",
                "rds:DescribeDBEngineVersions",
                "rds:DescribeDBInstances",
                "rds:DescribeDBLogFiles",
                "rds:DescribeDBParameterGroups",
                "rds:DescribeDBParameters",
                "rds:DescribeDBSubnetGroups",
                "rds:DescribeEventCategories",
                "rds:DescribeEventSubscriptions",
                "rds:DescribeEvents",
                "rds:DescribeOrderableDBInstanceOptions",
                "rds:DescribePendingMaintenanceActions",
                "rds:DownloadDBLogFilePortion",
                "rds:ListTagsForResource"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeInternetGateways",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcAttribute",
                "ec2:DescribeVpcs"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "kms:ListKeys",
                "kms:ListRetirableGrants",
                "kms:ListAliases",
                "kms:ListKeyPolicies"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": [
                "logs:DescribeLogStreams",
                "logs:GetLogEvents"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*",
                "arn:aws:logs:*:*:log-group:/aws/docdb/*:log-stream:*"
            ]
        }
    ]
}
```

------

## AmazonDocDBConsoleFullAccess
<a name="AmazonDocDBConsoleFullAccess"></a>

Memberikan akses penuh untuk mengelola sumber daya Konsol Manajemen AWS Amazon DocumentDB menggunakan berikut ini:
+ Izin Amazon DocumentDB untuk mengizinkan semua tindakan cluster Amazon DocumentDB dan Amazon DocumentDB.
+ Beberapa izin Amazon EC2 dalam kebijakan ini diperlukan untuk memvalidasi sumber daya yang diteruskan dalam permintaan API. Ini untuk memastikan Amazon DocumentDB berhasil menggunakan sumber daya untuk menyediakan dan memelihara cluster. Izin Amazon EC2 lainnya dalam kebijakan ini memungkinkan Amazon DocumentDB membuat AWS sumber daya yang diperlukan untuk memungkinkan Anda terhubung ke cluster Anda seperti. VPCEndpoint
+ AWS KMS izin digunakan selama panggilan API AWS KMS untuk memvalidasi sumber daya yang diteruskan dalam permintaan. Mereka diperlukan untuk Amazon DocumentDB untuk dapat menggunakan kunci yang diteruskan untuk mengenkripsi dan mendekripsi data saat istirahat dengan cluster elastis Amazon DocumentDB.
+  CloudWatch Log diperlukan untuk Amazon DocumentDB agar dapat memastikan bahwa tujuan pengiriman log dapat dijangkau, dan valid untuk mengaudit dan membuat profil penggunaan log.
+ Izin Secrets Manager diperlukan untuk memvalidasi rahasia yang diberikan dan menggunakannya untuk mengatur pengguna admin untuk cluster elastis Amazon DocumentDB.
+ Izin Amazon RDS diperlukan untuk tindakan pengelolaan klaster Amazon DocumentDB. Untuk fitur manajemen tertentu, Amazon DocumentDB menggunakan teknologi operasional yang dibagi dengan Amazon RDS.
+ Izin SNS memungkinkan prinsipal untuk langganan dan topik Amazon Simple Notification Service (Amazon SNS), dan untuk mempublikasikan pesan Amazon SNS.
+ Izin IAM diperlukan untuk membuat peran terkait layanan yang diperlukan untuk metrik dan penerbitan log.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DocdbSids",
            "Effect": "Allow",
            "Action": [
                "docdb-elastic:CreateCluster",
                "docdb-elastic:UpdateCluster",
                "docdb-elastic:GetCluster",
                "docdb-elastic:DeleteCluster",
                "docdb-elastic:ListClusters",
                "docdb-elastic:CreateClusterSnapshot",
                "docdb-elastic:GetClusterSnapshot",
                "docdb-elastic:DeleteClusterSnapshot",
                "docdb-elastic:ListClusterSnapshots",
                "docdb-elastic:RestoreClusterFromSnapshot",
                "docdb-elastic:TagResource",
                "docdb-elastic:UntagResource",
                "docdb-elastic:ListTagsForResource",
                "docdb-elastic:CopyClusterSnapshot",
                "docdb-elastic:StartCluster",
                "docdb-elastic:StopCluster",
                "docdb-elastic:GetPendingMaintenanceAction",
                "docdb-elastic:ListPendingMaintenanceActions",
                "docdb-elastic:ApplyPendingMaintenanceAction",
                "rds:AddRoleToDBCluster",
                "rds:AddSourceIdentifierToSubscription",
                "rds:AddTagsToResource",
                "rds:ApplyPendingMaintenanceAction",
                "rds:CopyDBClusterParameterGroup",
                "rds:CopyDBClusterSnapshot",
                "rds:CopyDBParameterGroup",
                "rds:CreateDBCluster",
                "rds:CreateDBClusterParameterGroup",
                "rds:CreateDBClusterSnapshot",
                "rds:CreateDBInstance",
                "rds:CreateDBParameterGroup",
                "rds:CreateDBSubnetGroup",
                "rds:CreateEventSubscription",
                "rds:CreateGlobalCluster",
                "rds:DeleteDBCluster",
                "rds:DeleteDBClusterParameterGroup",
                "rds:DeleteDBClusterSnapshot",
                "rds:DeleteDBInstance",
                "rds:DeleteDBParameterGroup",
                "rds:DeleteDBSubnetGroup",
                "rds:DeleteEventSubscription",
                "rds:DeleteGlobalCluster",
                "rds:DescribeAccountAttributes",
                "rds:DescribeCertificates",
                "rds:DescribeDBClusterParameterGroups",
                "rds:DescribeDBClusterParameters",
                "rds:DescribeDBClusterSnapshotAttributes",
                "rds:DescribeDBClusterSnapshots",
                "rds:DescribeDBClusters",
                "rds:DescribeDBEngineVersions",
                "rds:DescribeDBInstances",
                "rds:DescribeDBLogFiles",
                "rds:DescribeDBParameterGroups",
                "rds:DescribeDBParameters",
                "rds:DescribeDBSecurityGroups",
                "rds:DescribeDBSubnetGroups",
                "rds:DescribeEngineDefaultClusterParameters",
                "rds:DescribeEngineDefaultParameters",
                "rds:DescribeEventCategories",
                "rds:DescribeEventSubscriptions",
                "rds:DescribeEvents",
                "rds:DescribeGlobalClusters",
                "rds:DescribeOptionGroups",
                "rds:DescribeOrderableDBInstanceOptions",
                "rds:DescribePendingMaintenanceActions",
                "rds:DescribeValidDBInstanceModifications",
                "rds:DownloadDBLogFilePortion",
                "rds:FailoverDBCluster",
                "rds:ListTagsForResource",
                "rds:ModifyDBCluster",
                "rds:ModifyDBClusterParameterGroup",
                "rds:ModifyDBClusterSnapshotAttribute",
                "rds:ModifyDBInstance",
                "rds:ModifyDBParameterGroup",
                "rds:ModifyDBSubnetGroup",
                "rds:ModifyEventSubscription",
                "rds:ModifyGlobalCluster",
                "rds:PromoteReadReplicaDBCluster",
                "rds:RebootDBInstance",
                "rds:RemoveFromGlobalCluster",
                "rds:RemoveRoleFromDBCluster",
                "rds:RemoveSourceIdentifierFromSubscription",
                "rds:RemoveTagsFromResource",
                "rds:ResetDBClusterParameterGroup",
                "rds:ResetDBParameterGroup",
                "rds:RestoreDBClusterFromSnapshot",
                "rds:RestoreDBClusterToPointInTime"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "DependencySids",
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "cloudwatch:GetMetricData",
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics",
                "ec2:AllocateAddress",
                "ec2:AssignIpv6Addresses",
                "ec2:AssignPrivateIpAddresses",
                "ec2:AssociateAddress",
                "ec2:AssociateRouteTable",
                "ec2:AssociateSubnetCidrBlock",
                "ec2:AssociateVpcCidrBlock",
                "ec2:AttachInternetGateway",
                "ec2:AttachNetworkInterface",
                "ec2:CreateCustomerGateway",
                "ec2:CreateDefaultSubnet",
                "ec2:CreateDefaultVpc",
                "ec2:CreateInternetGateway",
                "ec2:CreateNatGateway",
                "ec2:CreateNetworkInterface",
                "ec2:CreateRoute",
                "ec2:CreateRouteTable",
                "ec2:CreateSecurityGroup",
                "ec2:CreateSubnet",
                "ec2:CreateVpc",
                "ec2:CreateVpcEndpoint",
                "ec2:DescribeAccountAttributes",
                "ec2:DescribeAddresses",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeCustomerGateways",
                "ec2:DescribeInstances",
                "ec2:DescribeNatGateways",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribePrefixLists",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroupReferences",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcAttribute",
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeVpcs",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:ModifySubnetAttribute",
                "ec2:ModifyVpcAttribute",
                "ec2:ModifyVpcEndpoint",
                "kms:DescribeKey",
                "kms:ListAliases",
                "kms:ListKeyPolicies",
                "kms:ListKeys",
                "kms:ListRetirableGrants",
                "logs:DescribeLogStreams",
                "logs:GetLogEvents",
                "sns:ListSubscriptions",
                "sns:ListTopics",
                "sns:Publish"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "DocdbSLRSid",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "rds.amazonaws.com"
                }
            }
        },
        {
            "Sid": "DocdbElasticSLRSid",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "docdb-elastic.amazonaws.com"
                }
            }
        }
    ]
}
```

------

## AmazonDocDBElasticReadOnlyAccess
<a name="AmazonDocDB-ElasticReadOnlyAccess"></a>

Kebijakan ini memberikan izin hanya-baca yang memungkinkan pengguna melihat informasi klaster elastis di Amazon DocumentDB. Prinsipal dengan kebijakan terlampir ini tidak dapat membuat pembaruan atau menghapus sumber daya yang keluar, juga tidak dapat membuat sumber daya Amazon DocumentDB baru. Misalnya, prinsipal dengan izin ini dapat melihat daftar cluster dan konfigurasi yang terkait dengan akun mereka, tetapi tidak dapat mengubah konfigurasi atau pengaturan cluster apa pun. Izin dalam kebijakan ini dikelompokkan sebagai berikut:
+ Izin cluster elastis Amazon DocumentDB memungkinkan Anda mencantumkan sumber daya cluster elastis Amazon DocumentDB, menjelaskannya, dan mendapatkan informasi tentangnya.
+ CloudWatch izin digunakan untuk memverifikasi metrik layanan.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "docdb-elastic:ListClusters",
            "docdb-elastic:GetCluster",
            "docdb-elastic:ListClusterSnapshots",
            "docdb-elastic:GetClusterSnapshot",
            "docdb-elastic:ListTagsForResource"
         ],
         "Resource": "*"
      },
      {
         "Effect": "Allow",
         "Action": [
            "cloudwatch:GetMetricData",
            "cloudwatch:ListMetrics",
            "cloudwatch:GetMetricStatistics"
         ],
         "Resource": "*"
      }
   ]
}
```

------

## AmazonDocDBElasticFullAccess
<a name="AmazonDocDB-ElasticFullAccess"></a>

Kebijakan ini memberikan izin administratif yang memungkinkan akses penuh utama ke semua tindakan Amazon DocumentDB untuk klaster elastis Amazon DocumentDB.

Kebijakan ini menggunakan AWS tag (https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) dalam kondisi untuk cakupan akses ke sumber daya. Jika Anda menggunakan rahasia, itu harus ditandai dengan kunci tag `DocDBElasticFullAccess` dan nilai tag. Jika Anda menggunakan kunci yang dikelola pelanggan, itu harus ditandai dengan kunci tag `DocDBElasticFullAccess` dan nilai tag.

Izin dalam kebijakan ini dikelompokkan sebagai berikut:
+ Izin cluster elastis Amazon DocumentDB memungkinkan semua tindakan Amazon DocumentDB.
+ Beberapa izin Amazon EC2 dalam kebijakan ini diperlukan untuk memvalidasi sumber daya yang diteruskan dalam permintaan API. Ini untuk memastikan Amazon DocumentDB berhasil menggunakan sumber daya untuk menyediakan dan memelihara cluster. Izin Amazon EC2 lainnya dalam kebijakan ini memungkinkan Amazon DocumentDB membuat AWS sumber daya yang diperlukan untuk memungkinkan Anda terhubung ke cluster Anda seperti titik akhir VPC.
+ AWS KMS izin diperlukan agar Amazon DocumentDB dapat menggunakan kunci yang diteruskan untuk mengenkripsi dan mendekripsi data saat istirahat dalam cluster elastis Amazon DocumentDB.
**catatan**  
Kunci yang dikelola pelanggan harus memiliki tag dengan kunci `DocDBElasticFullAccess` dan nilai tag.
+ SecretsManager izin diperlukan untuk memvalidasi rahasia yang diberikan dan menggunakannya untuk mengatur pengguna admin untuk cluster elastis Amazon DocumentDB.
**catatan**  
Rahasia yang digunakan harus memiliki tag dengan kunci `DocDBElasticFullAccess` dan nilai tag.
+ Izin IAM diperlukan untuk membuat peran terkait layanan yang diperlukan untuk metrik dan penerbitan log.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DocdbElasticSid",
            "Effect": "Allow",
            "Action": [
                "docdb-elastic:CreateCluster",
                "docdb-elastic:UpdateCluster",
                "docdb-elastic:GetCluster",
                "docdb-elastic:DeleteCluster",
                "docdb-elastic:ListClusters",
                "docdb-elastic:CreateClusterSnapshot",
                "docdb-elastic:GetClusterSnapshot",
                "docdb-elastic:DeleteClusterSnapshot",
                "docdb-elastic:ListClusterSnapshots",
                "docdb-elastic:RestoreClusterFromSnapshot",
                "docdb-elastic:TagResource",
                "docdb-elastic:UntagResource",
                "docdb-elastic:ListTagsForResource",
                "docdb-elastic:CopyClusterSnapshot",
                "docdb-elastic:StartCluster",
                "docdb-elastic:StopCluster",
                "docdb-elastic:GetPendingMaintenanceAction",
                "docdb-elastic:ListPendingMaintenanceActions",
                "docdb-elastic:ApplyPendingMaintenanceAction"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "EC2Sid",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateVpcEndpoint",
                "ec2:DescribeVpcEndpoints",
                "ec2:DeleteVpcEndpoints",
                "ec2:ModifyVpcEndpoint",
                "ec2:DescribeVpcAttribute",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeAvailabilityZones",
                "secretsmanager:ListSecrets"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaFirst": "docdb-elastic.amazonaws.com"
                }
            }
        },
        {
            "Sid": "KMSSid",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:GenerateDataKey"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": [
                        "docdb-elastic.*.amazonaws.com"
                    ],
                    "aws:ResourceTag/DocDBElasticFullAccess": "*"
                }
            }
        },
        {
            "Sid": "KMSGrantSid",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/DocDBElasticFullAccess": "*",
                    "kms:ViaService": [
                        "docdb-elastic.*.amazonaws.com"
                    ]
                },
                "Bool": {
                    "kms:GrantIsForAWSResource": true
                }
            }
        },
        {
            "Sid": "SecretManagerSid",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:ListSecretVersionIds",
                "secretsmanager:DescribeSecret",
                "secretsmanager:GetSecretValue",
                "secretsmanager:GetResourcePolicy"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "secretsmanager:ResourceTag/DocDBElasticFullAccess": "*"
                },
                "StringEquals": {
                    "aws:CalledViaFirst": "docdb-elastic.amazonaws.com"
                }
            }
        },
        {
            "Sid": "CloudwatchSid",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetMetricData",
                "cloudwatch:ListMetrics",
                "cloudwatch:GetMetricStatistics"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "SLRSid",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "docdb-elastic.amazonaws.com"
                }
            }
        }
    ]
}
```

------

## AmazonDocDB- ElasticServiceRolePolicy
<a name="docdb-elastic-service-role"></a>

Anda tidak dapat melampirkan `AmazonDocDBElasticServiceRolePolicy` ke AWS Identity and Access Management entitas Anda. Kebijakan ini dilampirkan ke peran terkait layanan yang memungkinkan Amazon DocumentDB melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat [Peran terkait layanan dalam kelompok elastis](elastic-service-linked-roles.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": [
                        "AWS/DocDB-Elastic"
                    ]
                }
            }
        }
    ]
}
```

------

## Amazon DocumentDB memperbarui kebijakan terkelola AWS
<a name="managed-policy-updates"></a>


| Ubah | Deskripsi | Date | 
| --- | --- | --- | 
| [AmazonDocDBElasticFullAccess](#AmazonDocDB-ElasticFullAccess), [AmazonDocDBConsoleFullAccess](#AmazonDocDBConsoleFullAccess) - Ubah | Kebijakan diperbarui untuk menambahkan tindakan pemeliharaan yang tertunda. | 2/11/2025 | 
| [AmazonDocDBElasticFullAccess](#AmazonDocDB-ElasticFullAccess), [AmazonDocDBConsoleFullAccess](#AmazonDocDBConsoleFullAccess) - Ubah | Kebijakan diperbarui untuk menambahkan tindakan snapshot start/stop cluster dan menyalin cluster. | 2/21/2024 | 
| [AmazonDocDBElasticReadOnlyAccess](#AmazonDocDB-ElasticReadOnlyAccess), [AmazonDocDBElasticFullAccess](#AmazonDocDB-ElasticFullAccess) - Ubah | Kebijakan diperbarui untuk menambahkan cloudwatch:GetMetricData tindakan. | 6/21/2023 | 
| [AmazonDocDBElasticReadOnlyAccess](#AmazonDocDB-ElasticReadOnlyAccess)- Kebijakan baru | Kebijakan terkelola baru untuk cluster elastis Amazon DocumentDB. | 6/8/2023 | 
| [AmazonDocDBElasticFullAccess](#AmazonDocDB-ElasticFullAccess)- Kebijakan baru | Kebijakan terkelola baru untuk cluster elastis Amazon DocumentDB. | 6/5/2023 | 
| [AmazonDocDB- ElasticServiceRolePolicy](#docdb-elastic-service-role) – Kebijakan baru | Amazon DocumentDB menciptakan peran terkait layanan DB-Elastic AWS ServiceRoleForDoc baru untuk cluster elastis Amazon DocumentDB. | 11/30/2022 | 
| [AmazonDocDBConsoleFullAccess](#AmazonDocDBConsoleFullAccess)- Ubah | Kebijakan diperbarui untuk menambahkan izin klaster global dan elastis Amazon DocumentDB. | 11/30/2022 | 
| [AmazonDocDBConsoleFullAccess](#AmazonDocDBConsoleFullAccess),[AmazonDocDBFullAkses](#AmazonDocDBFullAccess), [AmazonDocDBReadOnlyAccess](#AmazonDocDBReadOnlyAccess) - Kebijakan Baru | Peluncuran layanan. | 1/19/2017 | 

# Izin API Amazon DocumentDB: referensi tindakan, sumber daya, dan kondisi
<a name="UsingWithRDS.IAM.ResourcePermissions"></a>

Gunakan bagian berikut ini sebagai referensi ketika Anda mengatur [Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk Amazon DocumentDB](UsingWithRDS.IAM.AccessControl.IdentityBased.md) dan menulis kebijakan izin yang dapat Anda lampirkan ke identitas IAM (kebijakan berbasis identitas). 

Berikut ini daftar setiap operasi Amazon DocumentDB API. Termasuk dalam daftar adalah tindakan terkait yang dapat Anda berikan izin untuk melakukan tindakan, AWS sumber daya yang dapat Anda berikan izin, dan kunci kondisi yang dapat Anda sertakan untuk kontrol akses berbutir halus. Anda menentukan tindakan di bidang `Action` kebijakan, nilai sumber daya di bidang `Resource` kebijakan, dan syarat di bidang `Condition` kebijakan. Untuk informasi lebih lanjut tentang syarat, lihat [Menentukan kondisi dalam kebijakan](UsingWithRDS.IAM.AccessControl.Overview.md#SpecifyingIAMPolicyConditions-RDS). 

Anda dapat menggunakan kunci kondisi AWS-wide dalam kebijakan Amazon DocumentDB Anda untuk menyatakan kondisi. Untuk daftar lengkap tombol AWS-wide, lihat Kunci yang [Tersedia](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) di *Panduan Pengguna IAM*. 

Anda dapat menguji kebijakan IAM dengan simulator kebijakan IAM. Secara otomatis menyediakan daftar sumber daya dan parameter yang diperlukan untuk setiap AWS tindakan, termasuk tindakan Amazon DocumentDB. Simulator kebijakan IAM menentukan izin yang diperlukan untuk setiap tindakan yang Anda tentukan. Untuk informasi tentang simulator kebijakan IAM, lihat [Menguji Kebijakan IAM dengan Simulator Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html) di *Panduan Pengguna IAM*. 

**catatan**  
Untuk menentukan tindakan, gunakan awalan `rds:` yang diikuti dengan nama operasi API (sebagai contoh, `rds:CreateDBInstance`).

Berikut ini daftar operasi Amazon RDS API dan tindakan, sumber daya, dan kunci syarat yang berkaitan.

**Topics**
+ [Tindakan Amazon DocumentDB yang mendukung izin tingkat sumber daya](#UsingWithRDS.IAM.ResourceLevelPermissions)
+ [Tindakan Amazon DocumentDB yang tidak mendukung izin tingkat sumber daya](#UsingWithRDS.IAM.UnsupportedResourceLevelPermissions)

## Tindakan Amazon DocumentDB yang mendukung izin tingkat sumber daya
<a name="UsingWithRDS.IAM.ResourceLevelPermissions"></a>

Izin tingkat sumber daya menyediakan kemampuan untuk menentukan sumber daya di mana pengguna diizinkan untuk melakukan tindakan. Amazon DocumentDB memiliki dukungan parsial untuk izin tingkat sumber daya. Artinya untuk tindakan Amazon DocumentDB tertentu, Anda dapat mengontrol kapan pengguna diizinkan untuk menggunakan tindakan tersebut berdasarkan syarat yang harus dipenuhi, atau sumber daya tertentu yang diizinkan untuk digunakan oleh pengguna. Sebagai contoh, Anda dapat memberikan izin kepada pengguna untuk memodifikasi hanya instans tertentu.

Berikut ini daftar operasi Amazon DocumentDB API dan tindakan, sumber daya, dan kunci syarat miliknya yang berkaitan.

**catatan**  
Untuk fitur manajemen tertentu, Amazon DocumentDB menggunakan teknologi operasional yang dibagi dengan Amazon RDS. *Untuk tindakan dan izin Amazon DocumentDB lainnya, lihat Tindakan, [sumber daya, dan kunci kondisi untuk Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrds.html) RDS di Referensi Otorisasi Layanan.*

<a name="actions-related-to-objects-table"></a>[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/documentdb/latest/developerguide/UsingWithRDS.IAM.ResourcePermissions.html)

## Tindakan Amazon DocumentDB yang tidak mendukung izin tingkat sumber daya
<a name="UsingWithRDS.IAM.UnsupportedResourceLevelPermissions"></a>

Anda dapat menggunakan semua tindakan Amazon DocumentDB dalam kebijakan IAM untuk memberikan maupun menolak izin pengguna untuk menggunakan tindakan tersebut. Namun demikian, tidak semua tindakan Amazon DocumentDB mendukung izin tingkat sumber daya, yang memungkinkan Anda untuk menentukan sumber daya di mana tindakan dapat dilakukan. Tindakan Amazon DocumentDB API berikut ini saat ini tidak mendukung izin tingkat sumber daya. Oleh karena itu, untuk menggunakan tindakan tersebut dalam kebijakan IAM, Anda harus memberikan izin pengguna untuk menggunakan semua sumber daya untuk tindakan dengan menggunakan wildcard `*` untuk elemen `Resource` dalam pernyataan Anda.
+ `rds:DescribeDBClusterSnapshots`
+ `rds:DescribeDBInstances`