Autorizzazioni necessarie per utilizzare la console Amazon DocumentDB Esempi di policy gestite dal cliente

Utilizzo di politiche (IAMpolitiche) basate sull'identità per Amazon DocumentDB

Importante

Per alcune funzionalità di gestione, Amazon DocumentDB utilizza una tecnologia operativa condivisa con Amazon. RDS La console Amazon DocumentDB e AWS CLI le API chiamate vengono registrate come chiamate effettuate su Amazon. RDS API

Ti consigliamo di consultare prima gli argomenti introduttivi che spiegano i concetti e le opzioni di base disponibili per gestire l'accesso alle tue risorse di Amazon DocumentDB. Per ulteriori informazioni, consulta Gestione delle autorizzazioni di accesso alle risorse Amazon DocumentDB.

In questo argomento vengono forniti esempi di policy basate su identità in cui un amministratore account può collegare policy di autorizzazioni a identità IAM (ovvero utenti, gruppi e ruoli).

Di seguito è riportato un esempio di policy IAM.



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateDBInstanceOnly",
            "Effect": "Allow",
            "Action": [
                "rds:CreateDBInstance"
            ],
            "Resource": [
                "arn:aws:rds:*:123456789012:db:test*",
                "arn:aws:rds:*:123456789012:pg:cluster-pg:default*",
                "arn:aws:rds:*:123456789012:subgrp:default"
            ]
        }
    ]
}

La policy include una singola istruzione che specifica le autorizzazioni seguenti per l'utente IAM:

La policy consente all'IAMutente di creare un'istanza utilizzando l'reateDBInstanceazione C (ciò vale anche per l'create-db-instance AWS CLI operazione e la). AWS Management Console
L'elemento Resource specifica che l'utente può eseguire azioni in o con altre risorse. Specifichi le risorse utilizzando un Amazon Resource Name (ARN). Ciò ARN include il nome del servizio a cui appartiene la risorsa (rds), la Regione AWS (*indica qualsiasi regione in questo esempio), il numero di account utente (123456789012è l'ID utente in questo esempio) e il tipo di risorsa.

L'elemento Resource nell'esempio specifica i seguenti vincoli della policy sulle risorse per l'utente:
- L'identificatore dell'istanza per la nuova istanza deve iniziare con test (per esempio, testCustomerData1, test-region2-data).
- Il gruppo di parametri cluster per la nuova istanza database deve iniziare con default.
- Il gruppo di sottoreti per la nuova istanza deve essere il gruppo di sottoreti default.

La policy non specifica l'elemento Principal poiché in una policy basata su identità l'entità che ottiene l'autorizzazione non viene specificata. Quando si collega una policy a un utente, quest'ultimo è l'entità implicita. Quando colleghi una policy di autorizzazioni a un ruolo IAM, il principale identificato nella policy di attendibilità del ruolo ottiene le autorizzazioni.

Per una tabella che mostra tutte le API operazioni di Amazon DocumentDB e le risorse a cui si applicano, consulta. APIAutorizzazioni Amazon DocumentDB: riferimento ad azioni, risorse e condizioni

Autorizzazioni necessarie per utilizzare la console Amazon DocumentDB

Affinché un utente possa lavorare con la console Amazon DocumentDB, deve disporre di un set minimo di autorizzazioni. Queste autorizzazioni consentono all'utente di descrivere le Account AWS proprie risorse Amazon DocumentDB e di fornire altre informazioni correlate, incluse le informazioni sulla sicurezza e sulla EC2 rete di Amazon.

Se si crea una policy IAM più restrittiva delle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per gli utenti con tale policy IAM. Per garantire che tali utenti possano continuare a utilizzare la console Amazon DocumentDB, collega anche la policy AmazonDocDBConsoleFullAccess gestita all'utente, come descritto in. AWS politiche gestite per Amazon DocumentDB

Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso Amazon DocumentDB AWS CLI o Amazon API DocumentDB.

Esempi di policy gestite dal cliente

In questa sezione, puoi trovare esempi di politiche utente che concedono autorizzazioni per varie azioni di Amazon DocumentDB. Queste policy funzionano quando utilizzi le API azioni di Amazon DocumentDB o AWS SDKs il. AWS CLI Se utilizzi la console, sarà necessario concedere autorizzazioni aggiuntive specifiche per quest'ultima, come illustrato in Autorizzazioni necessarie per utilizzare la console Amazon DocumentDB.

Per alcune funzionalità di gestione, Amazon DocumentDB utilizza una tecnologia operativa condivisa con Amazon Relational Database Service (Amazon) e RDS Amazon Neptune.

Nota

Tutti gli esempi utilizzano la regione Stati Uniti orientali (Virginia settentrionale) () e contengono account us-east-1 fittizi. IDs

Esempi

Esempio 1: consentire a un utente di eseguire qualsiasi azione di descrizione su qualsiasi risorsa Amazon DocumentDB
Esempio 2: impedire a un utente di eliminare un'istanza
Esempio 3: impedire a un utente di creare un cluster a meno che non sia abilitata la crittografia dello storage

Esempio 1: consentire a un utente di eseguire qualsiasi azione di descrizione su qualsiasi risorsa Amazon DocumentDB

La seguente policy di autorizzazione concede a un utente le autorizzazioni per eseguire tutte le operazioni che iniziano con Describe. Queste azioni mostrano informazioni su una risorsa Amazon DocumentDB, ad esempio un'istanza. Il carattere jolly (*) nell'Resourceelemento indica che le azioni sono consentite per tutte le risorse Amazon DocumentDB di proprietà dell'account.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"AllowRDSDescribe",
         "Effect":"Allow",
         "Action":"rds:Describe*",
         "Resource":"*"
      }
   ]
}

Esempio 2: impedire a un utente di eliminare un'istanza

La seguente policy di autorizzazione assegna le autorizzazioni per impedire a un utente di eliminare un'istanza specifica. Ad esempio, potresti voler negare la possibilità di eliminare le istanze di produzione a qualsiasi utente che non sia un amministratore.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"DenyDelete1",
         "Effect":"Deny",
         "Action":"rds:DeleteDBInstance",
         "Resource":"arn:aws:rds:us-east-1:123456789012:db:my-db-instance"
      }
   ]
}

Esempio 3: impedire a un utente di creare un cluster a meno che non sia abilitata la crittografia dello storage

La seguente politica di autorizzazione nega l'autorizzazione a un utente per la creazione di un cluster Amazon DocumentDB a meno che non sia abilitata la crittografia dello storage.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "PreventUnencryptedDocumentDB",
         "Effect": "Deny",
         "Action": "RDS:CreateDBCluster",
         "Condition": {
         "Bool": {
         "rds:StorageEncrypted": "false"
      },
         "StringEquals": {
         "rds:DatabaseEngine": "docdb"
         }
      },
      "Resource": "*"
      }
   ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Gestione delle autorizzazioni di accesso alle risorse Amazon DocumentDB

AWS politiche gestite per Amazon DocumentDB