Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Identity and Access Management per Amazon DocumentDB
AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle risorse. AWS Gli amministratori IAM controllano chi può essere *autenticato* (effettuare l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse Amazon DocumentDB. IAM è uno strumento Servizio AWS che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come funziona Amazon DocumentDB con IAM](security_iam_service-with-iam.md)
+ [Esempi di policy basate sull'identità per Amazon DocumentDB](security_iam_id-based-policy-examples.md)
+ [Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon DocumentDB](security_iam_troubleshoot.md)
+ [Gestione delle autorizzazioni di accesso alle risorse Amazon DocumentDB](UsingWithRDS.IAM.AccessControl.Overview.md)
+ [Utilizzo di politiche basate sull'identità (politiche IAM) per Amazon DocumentDB](UsingWithRDS.IAM.AccessControl.IdentityBased.md)
+ [AWS politiche gestite per Amazon DocumentDB](docdb-managed-policies.md)
+ [Autorizzazioni API Amazon DocumentDB: riferimento ad azioni, risorse e condizioni](UsingWithRDS.IAM.ResourcePermissions.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon DocumentDB](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come funziona Amazon DocumentDB con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate sull'identità per Amazon DocumentDB](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*.
### Identità federata
Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come funziona Amazon DocumentDB con IAM
Prima di utilizzare IAM per gestire l'accesso ad Amazon DocumentDB, scopri quali funzionalità IAM sono disponibili per l'uso con Amazon DocumentDB.
**Funzionalità IAM che puoi usare con Amazon DocumentDB**
| Funzionalità IAM | Cluster basati su istanze | Cluster elastici |
| --- | --- | --- |
| [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies) | Sì | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies) | No | No |
| [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions) | Sì | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources) | Sì | Sì |
| [Chiavi di condizione della policy (specifica del servizio)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sì | Sì |
| [ACLs](#security_iam_service-with-iam-acls) | No | No |
| [ABAC (tag nelle policy)](#security_iam_service-with-iam-tags) | Parziale | Sì |
| [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds) | Sì | Sì |
| [Autorizzazioni del principale](#security_iam_service-with-iam-principal-permissions) | Sì | Sì |
| [Ruoli di servizio](#security_iam_service-with-iam-roles-service) | Sì | Sì |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked) | No | Sì |
Per avere una visione di alto livello di come Amazon DocumentDB e AWS altri servizi funzionano con la maggior parte delle funzionalità IAM, [AWS consulta i servizi che funzionano con](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) IAM nella IAM User *Guide*.
## Policy basate sull'identità per Amazon DocumentDB
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
### Esempi di policy basate sull'identità per Amazon DocumentDB
Per visualizzare esempi di policy basate sull'identità di Amazon DocumentDB, consulta. [Esempi di policy basate sull'identità per Amazon DocumentDB](security_iam_id-based-policy-examples.md)
## Policy basate sulle risorse all'interno di Amazon DocumentDB
**Supporta le policy basate su risorse:** no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Azioni politiche per Amazon DocumentDB
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
**Nota**
Per alcune funzionalità di gestione, Amazon DocumentDB utilizza la tecnologia operativa condivisa con Amazon Relational Database Service (Amazon RDS).
Per visualizzare un elenco di azioni RDS, consulta [Actions defined by Amazon Relational Database Service nel Service Authorization](https://docs.aws.amazon.com/en_us/service-authorization/latest/reference/list_amazonrds.html#amazonrds-actions-as-permissions) *Reference*.
*Per visualizzare le azioni politiche per i cluster elastici di Amazon DocumentDB, consulta [Azioni definite dai cluster elastici di Amazon DocumentDB nel Service Authorization Reference.](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondocumentdbelasticclusters.html#amazondocumentdbelasticclusters-actions-as-permissions)*
Le azioni politiche in Amazon DocumentDB utilizzano il seguente prefisso prima dell'azione:
```
aws
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"aws:action1",
"aws:action2"
]
```
Per visualizzare esempi di policy basate sull'identità di Amazon DocumentDB, consulta. [Esempi di policy basate sull'identità per Amazon DocumentDB](security_iam_id-based-policy-examples.md)
## Risorse relative alle policy per Amazon DocumentDB
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
**Nota**
Per alcune funzionalità di gestione, Amazon DocumentDB utilizza la tecnologia operativa condivisa con Amazon Relational Database Service (Amazon RDS).
Per visualizzare un elenco dei tipi di risorse RDS e relativi ARNs, consulta [Resources defined by Amazon Relational Database Service nel Service Authorization](https://docs.aws.amazon.com/en_us/service-authorization/latest/reference/list_amazonrds.html#amazonrds-resources-for-iam-policies) *Reference*. Per sapere con quali azioni puoi specificare l'ARN di ogni risorsa, consulta [Azioni definite da Amazon Relational](https://docs.aws.amazon.com/en_us/service-authorization/latest/reference/list_amazonrds.html#amazonrds-actions-as-permissions) Database Service.
*Per visualizzare i tipi di risorse per i cluster eleastici di Amazon DocumentDB, consulta [Tipi di risorse definiti dai cluster elastici di Amazon DocumentDB nel Service Authorization](https://docs.aws.amazon.com/en_us/service-authorization/latest/reference/list_amazondocumentdbelasticclusters.html#amazondocumentdbelasticclusters-resources-for-iam-policies) Reference.*
Per visualizzare esempi di policy basate sull'identità di Amazon DocumentDB, consulta. [Esempi di policy basate sull'identità per Amazon DocumentDB](security_iam_id-based-policy-examples.md)
## Chiavi delle condizioni delle policy per Amazon DocumentDB
**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
**Nota**
Per alcune funzionalità di gestione, Amazon DocumentDB utilizza la tecnologia operativa condivisa con Amazon Relational Database Service (Amazon RDS).
Per visualizzare un elenco di chiavi di condizione RDS, consulta [Condition keys for Amazon Relational Database Service nel Service Authorization](https://docs.aws.amazon.com/en_us/service-authorization/latest/reference/list_amazonrds.html#amazonrds-policy-keys) *Reference*. Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, consulta [Azioni definite da Amazon Relational Database Service](https://docs.aws.amazon.com/en_us/service-authorization/latest/reference/list_amazonrds.html#amazonrds-actions-as-permissions).
*Per visualizzare le chiavi di condizione per i cluster eleastici di Amazon DocumentDB, consulta Chiavi di [condizione per i cluster elastici di Amazon DocumentDB nel Service Authorization](https://docs.aws.amazon.com/en_us/service-authorization/latest/reference/list_amazondocumentdbelasticclusters.html#amazondocumentdbelasticclusters-policy-keys) Reference.*
Per visualizzare esempi di policy basate sull'identità di Amazon DocumentDB, consulta. [Esempi di policy basate sull'identità per Amazon DocumentDB](security_iam_id-based-policy-examples.md)
## ACLs in Amazon DocumentDB
**Supporti ACLs: No**
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## ABAC con Amazon DocumentDB
**Nota**
ABAC è supportato solo parzialmente per i cluster basati su istanze, ma è supportato per i cluster elastici.
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base ad attributi chiamati tag. È possibile allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
## Utilizzo di credenziali temporanee con Amazon DocumentDB
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono un accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Autorizzazioni principali multiservizio per Amazon DocumentDB
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale che chiama an Servizio AWS, combinate con la richiesta di effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Ruoli di servizio per Amazon DocumentDB
**Supporta i ruoli di servizio:** sì
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
**avvertimento**
La modifica delle autorizzazioni per un ruolo di servizio potrebbe interrompere la funzionalità di Amazon DocumentDB. Modifica i ruoli di servizio solo quando Amazon DocumentDB fornisce indicazioni in tal senso.
## Ruoli collegati ai servizi per Amazon DocumentDB
**Nota**
I ruoli collegati ai servizi non sono supportati per i cluster basati su istanze, ma sono supportati per i cluster elastici.
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per ulteriori informazioni su come creare e gestire i ruoli collegati ai servizi, consulta [Servizi AWS supportati da IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova un servizio nella tabella che include un `Yes` nella colonna **Service-linked role (Ruolo collegato ai servizi)**. Scegli il collegamento **Sì** per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
# Esempi di policy basate sull'identità per Amazon DocumentDB
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare risorse Amazon DocumentDB. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
*Per dettagli sulle azioni e sui tipi di risorse definiti da Amazon DocumentDB, incluso il formato di ARNs per ogni tipo di risorsa, consulta [Azioni, risorse e chiavi di condizione per Amazon Relational Database Service nel Service](https://docs.aws.amazon.com/en_us/service-authorization/latest/reference/list_amazonrds.html) Authorization Reference.*
**Nota**
Per alcune funzionalità di gestione, Amazon DocumentDB utilizza la tecnologia operativa condivisa con Amazon Relational Database Service (Amazon RDS).
*Per le azioni politiche per i cluster elastici di Amazon DocumentDB, consulta [Azioni, risorse e chiavi di condizione per i cluster elastici di Amazon DocumentDB nel Service Authorization](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondocumentdbelasticclusters.html) Reference.*
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console Amazon DocumentDB](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
## Best practice per le policy
Le policy basate sull'identità determinano se qualcuno può creare, accedere o eliminare risorse Amazon DocumentDB nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le policy gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console Amazon DocumentDB
Per accedere alla console Amazon DocumentDB (con compatibilità con MongoDB), devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse Amazon DocumentDB presenti nel tuo. Account AWS Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario concedere autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso AWS CLI o l'API. AWS Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
Per garantire che utenti e ruoli possano ancora utilizzare la console Amazon DocumentDB, collega anche Amazon `ConsoleAccess` DocumentDB `ReadOnly` AWS o la policy gestita alle entità. Per maggiori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente di IAM*.
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa policy include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o in modo programmatico. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon DocumentDB
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con Amazon DocumentDB e IAM.
**Topics**
+ [Non sono autorizzato a eseguire un'azione in Amazon DocumentDB](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse Amazon DocumentDB](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire un'azione in Amazon DocumentDB
Se ricevi un errore che indica che non sei autorizzato a eseguire un’operazione, le tue policy devono essere aggiornate per poter eseguire l’operazione.
L’errore di esempio seguente si verifica quando l’utente IAM `mateojackson` prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia ma non dispone di autorizzazioni `aws:GetWidget` fittizie.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: aws:GetWidget on resource: my-example-widget
```
In questo caso, la policy per l’utente `mateojackson` deve essere aggiornata per consentire l’accesso alla risorsa `my-example-widget` utilizzando l’azione `aws:GetWidget`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue policy devono essere aggiornate per consentirti di passare un ruolo ad Amazon DocumentDB.
Alcuni Servizi AWS consentono di passare un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
Il seguente errore di esempio si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in Amazon DocumentDB. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse Amazon DocumentDB
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali policy per consentire alle persone di accedere alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Amazon DocumentDB supporta queste funzionalità, consulta. [Come funziona Amazon DocumentDB con IAM](security_iam_service-with-iam.md)
+ Per sapere come fornire l'accesso alle tue risorse attraverso Account AWS le risorse di tua proprietà, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente di IAM*.
# Gestione delle autorizzazioni di accesso alle risorse Amazon DocumentDB
Ogni AWS risorsa è di proprietà di un utente e Account AWS le autorizzazioni per creare o accedere alle risorse sono regolate da politiche di autorizzazione. Un amministratore di account può associare politiche di autorizzazione alle identità IAM (ovvero utenti, gruppi e ruoli) e alcuni servizi (come AWS Lambda) supportano anche l'associazione di politiche di autorizzazione alle risorse.
**Nota**
Un *amministratore account* (o un utente amministratore) è un utente con autorizzazioni di amministratore. Per ulteriori informazioni, consulta [Best practice IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente di IAM*.
**Topics**
+ [Amazon DocumentDB Risorse e operazioni](#CreatingIAMPolicies-RDS)
+ [Informazioni sulla proprietà delle risorse](#UsingWithRDS.IAM.AccessControl.ResourceOwner)
+ [Gestione dell'accesso alle risorse](#UsingWithRDS.IAM.AccessControl.ManagingAccess)
+ [Specificazione degli elementi della policy: azioni, effetti, risorse e principi](#SpecifyingIAMPolicyActions-RDS)
+ [Specifica delle condizioni in una policy](#SpecifyingIAMPolicyConditions-RDS)
## Amazon DocumentDB Risorse e operazioni
*In Amazon DocumentDB, la risorsa principale è un cluster.* *Amazon DocumentDB supporta altre risorse che possono essere utilizzate con la risorsa principale, come *istanze*, *gruppi di parametri* e sottoscrizioni a eventi.* Queste risorse vengono chiamate *risorse secondarie*.
A queste risorse e sottorisorse sono associati Amazon Resource Names (ARNs) univoci, come illustrato nella tabella seguente.
| **Tipo di risorsa** | **Formato ARN** |
| --- | --- |
| Cluster | `arn:aws:rds:region:account-id:cluster:db-cluster-name` |
| Cluster parameter group (Gruppo di parametri del cluster) | `arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name` |
| Snapshot del cluster | `arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name` |
| Istanza | `arn:aws:rds:region:account-id:db:db-instance-name` |
| Gruppo di sicurezza | `arn:aws:rds:region:account-id:secgrp:security-group-name` |
| Gruppo di sottoreti | `arn:aws:rds:region:account-id:subgrp:subnet-group-name` |
Amazon DocumentDB fornisce una serie di operazioni per lavorare con le risorse di Amazon DocumentDB. Per un elenco di operazioni disponibili, consulta [Operazioni](https://docs.aws.amazon.com/documentdb/latest/developerguide/API_Operations.html).
## Informazioni sulla proprietà delle risorse
*Il proprietario di una risorsa* è colui Account AWS che ha creato una risorsa. Cioè, il proprietario Account AWS della risorsa è l'*entità principale* (l'account root, un utente IAM o un ruolo IAM) che autentica la richiesta che crea la risorsa. Negli esempi seguenti viene illustrato il funzionamento:
+ Se utilizzi le credenziali dell'account root del tuo account Account AWS per creare una risorsa Amazon DocumentDB, ad esempio un'istanza, sei Account AWS il proprietario della risorsa Amazon DocumentDB.
+ Se crei un utente IAM nel tuo Account AWS e concedi le autorizzazioni per creare risorse Amazon DocumentDB a quell'utente, l'utente può creare risorse Amazon DocumentDB. Tuttavia, l'utente Account AWS a cui appartiene l'utente possiede le risorse di Amazon DocumentDB.
+ Se crei un ruolo IAM in azienda Account AWS con le autorizzazioni necessarie per creare risorse Amazon DocumentDB, chiunque possa assumere il ruolo può creare risorse Amazon DocumentDB. Il tuo Account AWS, a cui appartiene il ruolo, possiede le risorse di Amazon DocumentDB.
## Gestione dell'accesso alle risorse
La *policy delle autorizzazioni* descrive chi ha accesso a cosa. Nella sezione seguente vengono descritte le opzioni disponibili per la creazione di policy relative alle autorizzazioni.
**Nota**
Questa sezione illustra l'uso di IAM nel contesto di Amazon DocumentDB. Non vengono fornite informazioni dettagliate sul servizio IAM. Per la documentazione di IAM completa, consulta [Che cos'è IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) nella *Guida per l'utente di IAM*. Per informazioni sulla sintassi e le descrizioni delle policy IAM, consulta [AWSIAM Policy Reference](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella *IAM* User Guide.
Le policy collegate a un'identità IAM sono denominate policy *basate su identità* (policy IAM). Le policy collegate a una risorsa sono denominate policy *basate sulle risorse*. Amazon DocumentDB supporta solo policy basate sull'identità (policy IAM).
**Topics**
+ [Policy basate su identità (policy IAM)](#UsingWithRDS.IAM.AccessControl.ManagingAccess.IdentityBased)
+ [Policy basate sulle risorse](#UsingWithRDS.IAM.AccessControl.ManagingAccess.ResourceBased)
### Policy basate su identità (policy IAM)
Puoi collegare le policy alle identità IAM. Ad esempio, puoi eseguire le operazioni seguenti:
+ **Allega una politica di autorizzazioni a un utente o a un gruppo nel tuo account**: un amministratore dell'account può utilizzare una politica di autorizzazioni associata a un particolare utente per concedere a quell'utente le autorizzazioni per creare una risorsa Amazon DocumentDB, ad esempio un'istanza.
+ **Collega una policy di autorizzazione a un ruolo (assegnazione di autorizzazioni tra account)**: per concedere autorizzazioni tra più account, è possibile collegare una policy di autorizzazione basata su identità a un ruolo IAM. Ad esempio, un amministratore può creare un ruolo per concedere autorizzazioni su più account a un altro o a un Account AWS servizio nel modo seguente: AWS
1. L'amministratore dell'account A crea un ruolo IAM e attribuisce una policy di autorizzazione al ruolo che concede le autorizzazioni sulle risorse per l'account A.
1. L'amministratore dell'account A attribuisce una policy di attendibilità al ruolo, identificando l'account B come il principale per tale ruolo.
1. L'amministratore dell'account B può quindi delegare le autorizzazioni per assumere il ruolo a qualsiasi utente dell'account B. In questo modo gli utenti dell'account B possono creare o accedere alle risorse nell'account A. Il responsabile della politica di fiducia può anche essere un responsabile del AWS servizio se si desidera concedere le autorizzazioni a un AWS servizio per assumere il ruolo.
Per ulteriori informazioni sull'uso di IAM per delegare le autorizzazioni, consulta [Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) nella *IAM User Guide* (Guida per l'utente di IAM).
Di seguito è riportato un esempio di politica che consente all'utente con l'ID di creare istanze `123456789012` per il tuo. Account AWS La nuova istanza database deve utilizzare un gruppo di opzioni e un gruppo di parametri che inizia con `default` e deve utilizzare il gruppo di sottoreti `default`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateDBInstanceOnly",
"Effect": "Allow",
"Action": [
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:rds:*:123456789012:db:test*",
"arn:aws:rds:*:123456789012:pg:cluster-pg:default*",
"arn:aws:rds:*:123456789012:subgrp:default"
]
}
]
}
```
------
Per ulteriori informazioni sull'utilizzo di politiche basate sull'identità con Amazon DocumentDB, consulta. [Utilizzo di politiche basate sull'identità (politiche IAM) per Amazon DocumentDB](UsingWithRDS.IAM.AccessControl.IdentityBased.md) Per ulteriori informazioni su utenti, gruppi, ruoli e autorizzazioni, consulta [Identità (utenti, gruppi e ruoli)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) nella *Guida per l'utente di IAM*.
### Policy basate sulle risorse
Anche altri servizi, come Amazon Simple Storage Service (Amazon S3), supportano politiche di autorizzazione basate sulle risorse. Ad esempio, è possibile associare una policy a un bucket Amazon S3 per gestire le autorizzazioni di accesso a quel bucket. Amazon DocumentDB non supporta policy basate sulle risorse.
## Specificazione degli elementi della policy: azioni, effetti, risorse e principi
Per ogni risorsa Amazon DocumentDB (vedi[Amazon DocumentDB Risorse e operazioni](#CreatingIAMPolicies-RDS)), il servizio definisce un set di operazioni API. Per ulteriori informazioni, consulta [Operazioni](https://docs.aws.amazon.com/redshift/latest/APIReference/API_Operations.html). Per concedere le autorizzazioni per queste operazioni API, Amazon DocumentDB definisce una serie di azioni che è possibile specificare in una policy. L'esecuzione di un'operazione API può richiedere le autorizzazioni per più di un'operazione.
Di seguito sono elencati gli elementi di base di una policy:
+ **Risorsa**: in una policy si utilizza il nome della risorsa Amazon (ARN) per identificare la risorsa a cui si applica la policy stessa.
+ **Operazione**: utilizzi le parole chiave per identificare le operazioni sulla risorsa da permettere o rifiutare. Ad esempio, l'autorizzazione `rds:DescribeDBInstances` concede all'utente le autorizzazioni per eseguire l'operazione `DescribeDBInstances`.
+ **Effetto**: l'effetto prodotto quando l'utente richiede l'operazione specifica, ovvero un'autorizzazione o un rifiuto. USe non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. Puoi anche rifiutare esplicitamente l'accesso a una risorsa per garantire che un utente non possa accedervi, anche se l'accesso viene concesso da un'altra policy.
+ **Principale** - Nelle policy basate su identità (policy IAM), l'utente a cui la policy è collegata è il principale implicito. Per policy basate su risorse, specifichi l'utente, l'account, il servizio o un'altra entità che desideri riceva le autorizzazioni (si applica solo alle policy basate su risorse). Amazon DocumentDB non supporta policy basate sulle risorse.
Per ulteriori informazioni sulla sintassi e le descrizioni delle policy IAM, consulta [AWS Riferimento alle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella *Guida per l'utente di IAM*.
Per una tabella che mostra tutte le azioni API di Amazon DocumentDB e le risorse a cui si applicano, consulta. [Autorizzazioni API Amazon DocumentDB: riferimento ad azioni, risorse e condizioni](UsingWithRDS.IAM.ResourcePermissions.md)
## Specifica delle condizioni in una policy
Quando si concedono le autorizzazioni, è possibile utilizzare il linguaggio della policy IAM per specificare le condizioni in base a cui la policy deve essere applicata. Ad esempio, potresti decidere che una policy venga applicata solo dopo una data specifica. Per ulteriori informazioni su come specificare le condizioni in un linguaggio di policy, consulta la sezione [Condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) nella *Guida per l'utente di IAM*.
Per esprimere le condizioni è necessario utilizzare chiavi di condizione predefinite. Amazon DocumentDB non dispone di chiavi di contesto specifiche del servizio che possano essere utilizzate in una policy IAM. Per un elenco delle chiavi di contesto per le condizioni globali disponibili per tutti i servizi, consulta [Chiavi disponibili per le condizioni](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) nella *Guida per l'utente di IAM*.
# Utilizzo di politiche basate sull'identità (politiche IAM) per Amazon DocumentDB
**Importante**
Per alcune funzionalità di gestione, Amazon DocumentDB utilizza una tecnologia operativa condivisa con Amazon RDS. Le chiamate alla console e alle API di Amazon DocumentDB vengono registrate come chiamate effettuate all'API Amazon RDS. AWS CLI
Ti consigliamo di consultare prima gli argomenti introduttivi che spiegano i concetti e le opzioni di base disponibili per gestire l'accesso alle tue risorse di Amazon DocumentDB. Per ulteriori informazioni, consulta [Gestione delle autorizzazioni di accesso alle risorse Amazon DocumentDB](UsingWithRDS.IAM.AccessControl.Overview.md).
In questo argomento vengono forniti esempi di policy basate su identità in cui un amministratore account può collegare policy di autorizzazione a identità IAM, ovvero utenti, gruppi e ruoli.
Di seguito è riportato un esempio di policy IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateDBInstanceOnly",
"Effect": "Allow",
"Action": [
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:rds:*:123456789012:db:test*",
"arn:aws:rds:*:123456789012:pg:cluster-pg:default*",
"arn:aws:rds:*:123456789012:subgrp:default"
]
}
]
}
```
------
La policy include una singola istruzione che specifica le autorizzazioni seguenti per l'utente IAM:
+ La policy consente all'utente IAM di creare un'istanza utilizzando l'DBInstanceazione [Create](https://docs.aws.amazon.com/documentdb/latest/developerguide/API_CreateDBInstance.html) (ciò vale anche per l'[create-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-instance.html) AWS CLI operazione e la Console di gestione AWS).
+ L'elemento `Resource` specifica che l'utente può eseguire azioni in o con altre risorse. Specifica le risorse utilizzando un Amazon Resource Name (ARN). Questo ARN include il nome del servizio a cui appartiene la risorsa (`rds`), il Regione AWS (`*`indica qualsiasi regione in questo esempio), il numero di account utente (`123456789012`è l'ID utente in questo esempio) e il tipo di risorsa.
L'elemento `Resource` nell'esempio specifica i seguenti vincoli della policy sulle risorse per l'utente:
+ L'identificatore dell'istanza per la nuova istanza deve iniziare con `test` (per esempio, `testCustomerData1`, `test-region2-data`).
+ Il gruppo di parametri cluster per la nuova istanza database deve iniziare con `default`.
+ Il gruppo di sottoreti per la nuova istanza deve essere il gruppo di sottoreti `default`.
La policy non specifica l'elemento `Principal` poiché in una policy basata su identità l'entità che ottiene l'autorizzazione non viene specificata. Quando si collega una policy a un utente, quest'ultimo è l'entità implicita. Quando colleghi una policy di autorizzazioni a un ruolo IAM, il principale identificato nella policy di attendibilità del ruolo ottiene le autorizzazioni.
Per una tabella che mostra tutte le operazioni API di Amazon DocumentDB e le risorse a cui si applicano, consulta. [Autorizzazioni API Amazon DocumentDB: riferimento ad azioni, risorse e condizioni](UsingWithRDS.IAM.ResourcePermissions.md)
## Autorizzazioni necessarie per utilizzare la console Amazon DocumentDB
Affinché un utente possa lavorare con la console Amazon DocumentDB, deve disporre di un set minimo di autorizzazioni. Queste autorizzazioni consentono all'utente di descrivere le Account AWS proprie risorse Amazon DocumentDB e di fornire altre informazioni correlate, tra cui la sicurezza e le informazioni di rete di Amazon EC2.
Se decidi di creare una policy IAM più restrittiva delle autorizzazioni minime richieste, la console non funzionerà come previsto per gli utenti con tale policy IAM. Per garantire che tali utenti possano continuare a utilizzare la console Amazon DocumentDB, collega anche la policy `AmazonDocDBConsoleFullAccess` gestita all'utente, come descritto in. [AWS politiche gestite per Amazon DocumentDB](docdb-managed-policies.md)
Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo all'API Amazon DocumentDB AWS CLI o all'API di Amazon DocumentDB.
## Esempi di policy gestite dal cliente
In questa sezione, puoi trovare esempi di politiche utente che concedono autorizzazioni per varie azioni di Amazon DocumentDB. Queste policy funzionano quando utilizzi le azioni API di Amazon DocumentDB o AWS SDKs il. AWS CLI Se utilizzi la console, sarà necessario concedere autorizzazioni aggiuntive specifiche per quest'ultima, come illustrato in [Autorizzazioni necessarie per utilizzare la console Amazon DocumentDB](#UsingWithRDS.IAM.RequiredPermissions.Console).
Per alcune funzionalità di gestione, Amazon DocumentDB utilizza una tecnologia operativa condivisa con Amazon Relational Database Service (Amazon RDS) e Amazon Neptune.
**Nota**
Tutti gli esempi utilizzano la regione Stati Uniti orientali (Virginia settentrionale) (`us-east-1`) e contengono account fittizi. IDs
**Topics**
+ [Esempio 1: consentire a un utente di eseguire qualsiasi azione di descrizione su qualsiasi risorsa Amazon DocumentDB](#IAMPolicyExamples-RDS-perform-describe-action)
+ [Esempio 2: impedire a un utente di eliminare un'istanza](#IAMPolicyExamples-RDS-prevent-db-deletion)
+ [Esempio 3: impedire a un utente di creare un cluster a meno che non sia abilitata la crittografia dello storage](#IAMPolicyExamples-Prevent-Cluster)
### Esempio 1: consentire a un utente di eseguire qualsiasi azione di descrizione su qualsiasi risorsa Amazon DocumentDB
La seguente policy di autorizzazione concede a un utente le autorizzazioni per eseguire tutte le operazioni che iniziano con `Describe`. Queste azioni mostrano informazioni su una risorsa Amazon DocumentDB, ad esempio un'istanza. Il carattere jolly (\$1) nell'`Resource`elemento indica che le azioni sono consentite per tutte le risorse Amazon DocumentDB di proprietà dell'account.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AllowRDSDescribe",
"Effect":"Allow",
"Action":"rds:Describe*",
"Resource":"*"
}
]
}
```
------
### Esempio 2: impedire a un utente di eliminare un'istanza
La seguente policy di autorizzazione assegna le autorizzazioni per impedire a un utente di eliminare un'istanza specifica. Ad esempio, potresti voler negare la possibilità di eliminare le istanze di produzione a qualsiasi utente che non sia un amministratore.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"DenyDelete1",
"Effect":"Deny",
"Action":"rds:DeleteDBInstance",
"Resource":"arn:aws:rds:us-east-1:123456789012:db:my-db-instance"
}
]
}
```
------
### Esempio 3: impedire a un utente di creare un cluster a meno che non sia abilitata la crittografia dello storage
La seguente politica di autorizzazione nega l'autorizzazione a un utente per la creazione di un cluster Amazon DocumentDB a meno che non sia abilitata la crittografia dello storage.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PreventUnencryptedDocumentDB",
"Effect": "Deny",
"Action": "RDS:CreateDBCluster",
"Condition": {
"Bool": {
"rds:StorageEncrypted": "false"
},
"StringEquals": {
"rds:DatabaseEngine": "docdb"
}
},
"Resource": "*"
}
]
}
```
------
# AWS politiche gestite per Amazon DocumentDB
Per aggiungere autorizzazioni a utenti, gruppi e ruoli, è più facile utilizzare politiche AWS gestite che scriverle autonomamente. La [creazione di policy gestite dai clienti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) che forniscono al team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza. Per iniziare rapidamente, puoi utilizzare le nostre politiche AWS gestite. Queste politiche coprono casi d'uso comuni e sono disponibili nel tuo AWS account. Per ulteriori informazioni sulle policy AWS gestite, consulta [le policy AWS gestite](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *AWS Identity and Access Management User Guide*.
AWS i servizi mantengono e aggiornano le politiche AWS gestite. Non è possibile modificare le autorizzazioni nelle politiche AWS gestite. I servizi aggiungono occasionalmente autorizzazioni aggiuntive a una policy AWS gestita per supportare nuove funzionalità. Questo tipo di aggiornamento interessa tutte le identità (utenti, gruppi e ruoli) a cui è collegata la policy. È più probabile che i servizi aggiornino una politica AWS gestita quando viene lanciata una nuova funzionalità o quando diventano disponibili nuove operazioni. I servizi non rimuovono le autorizzazioni da una policy AWS gestita, quindi gli aggiornamenti delle policy non comprometteranno le autorizzazioni esistenti.
Inoltre, AWS supporta politiche gestite per le funzioni lavorative che si estendono su più servizi. Ad esempio, la policy `ViewOnlyAccess` AWS gestita fornisce l'accesso in sola lettura a molti AWS servizi e risorse. Quando un servizio lancia una nuova funzionalità, AWS aggiunge autorizzazioni di sola lettura per nuove operazioni e risorse. Per un elenco e una descrizione delle politiche relative alle funzioni lavorative, consulta [le politiche AWS gestite per le funzioni lavorative](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *AWS Identity and Access Management User Guide*.
Le seguenti policy AWS gestite, che puoi allegare agli utenti del tuo account, sono specifiche di Amazon DocumentDB:
+ [AmazonDocDBFullAccesso](#AmazonDocDBFullAccess)— Garantisce l'accesso completo a tutte le risorse Amazon DocumentDB per l' AWS account root.
+ [AmazonDocDBReadOnlyAccess](#AmazonDocDBReadOnlyAccess)— Garantisce l'accesso in sola lettura a tutte le risorse Amazon DocumentDB per l'account root. AWS
+ [AmazonDocDBConsoleFullAccess](#AmazonDocDBConsoleFullAccess)— Garantisce l'accesso completo alla gestione delle risorse del cluster elastico Amazon DocumentDB e Amazon DocumentDB utilizzando il. Console di gestione AWS
+ [AmazonDocDBElasticReadOnlyAccess](#AmazonDocDB-ElasticReadOnlyAccess)— Concede l'accesso in sola lettura a tutte le risorse del cluster elastico di Amazon DocumentDB per l'account root. AWS
+ [AmazonDocDBElasticFullAccess](#AmazonDocDB-ElasticFullAccess)— Garantisce l'accesso completo a tutte le risorse del cluster elastico di Amazon DocumentDB per l' AWS account root.
## AmazonDocDBFullAccesso
Questa policy concede autorizzazioni amministrative che consentono l'accesso completo principale a tutte le azioni di Amazon DocumentDB. Le autorizzazioni in questa policy sono raggruppate come segue:
+ Le autorizzazioni di Amazon DocumentDB consentono tutte le azioni di Amazon DocumentDB.
+ Alcune delle autorizzazioni di Amazon EC2 incluse in questa policy sono necessarie per convalidare le risorse trasmesse in una richiesta API. Questo serve a garantire che Amazon DocumentDB sia in grado di utilizzare correttamente le risorse con un cluster. Le altre autorizzazioni di Amazon EC2 incluse in questa policy consentono ad Amazon DocumentDB di creare AWS le risorse necessarie per consentirti di connetterti ai tuoi cluster.
+ Le autorizzazioni di Amazon DocumentDB vengono utilizzate durante le chiamate API per convalidare le risorse passate in una richiesta. Sono necessari per consentire ad Amazon DocumentDB di utilizzare la chiave passata con il cluster Amazon DocumentDB.
+ CloudWatch I log sono necessari per Amazon DocumentDB per garantire che le destinazioni di consegna dei log siano raggiungibili e che siano validi per l'utilizzo dei log da parte dei broker.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"rds:AddRoleToDBCluster",
"rds:AddSourceIdentifierToSubscription",
"rds:AddTagsToResource",
"rds:ApplyPendingMaintenanceAction",
"rds:CopyDBClusterParameterGroup",
"rds:CopyDBClusterSnapshot",
"rds:CopyDBParameterGroup",
"rds:CreateDBCluster",
"rds:CreateDBClusterParameterGroup",
"rds:CreateDBClusterSnapshot",
"rds:CreateDBInstance",
"rds:CreateDBParameterGroup",
"rds:CreateDBSubnetGroup",
"rds:CreateEventSubscription",
"rds:DeleteDBCluster",
"rds:DeleteDBClusterParameterGroup",
"rds:DeleteDBClusterSnapshot",
"rds:DeleteDBInstance",
"rds:DeleteDBParameterGroup",
"rds:DeleteDBSubnetGroup",
"rds:DeleteEventSubscription",
"rds:DescribeAccountAttributes",
"rds:DescribeCertificates",
"rds:DescribeDBClusterParameterGroups",
"rds:DescribeDBClusterParameters",
"rds:DescribeDBClusterSnapshotAttributes",
"rds:DescribeDBClusterSnapshots",
"rds:DescribeDBClusters",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeDBLogFiles",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBParameters",
"rds:DescribeDBSecurityGroups",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEngineDefaultClusterParameters",
"rds:DescribeEngineDefaultParameters",
"rds:DescribeEventCategories",
"rds:DescribeEventSubscriptions",
"rds:DescribeEvents",
"rds:DescribeOptionGroups",
"rds:DescribeOrderableDBInstanceOptions",
"rds:DescribePendingMaintenanceActions",
"rds:DescribeValidDBInstanceModifications",
"rds:DownloadDBLogFilePortion",
"rds:FailoverDBCluster",
"rds:ListTagsForResource",
"rds:ModifyDBCluster",
"rds:ModifyDBClusterParameterGroup",
"rds:ModifyDBClusterSnapshotAttribute",
"rds:ModifyDBInstance",
"rds:ModifyDBParameterGroup",
"rds:ModifyDBSubnetGroup",
"rds:ModifyEventSubscription",
"rds:PromoteReadReplicaDBCluster",
"rds:RebootDBInstance",
"rds:RemoveRoleFromDBCluster",
"rds:RemoveSourceIdentifierFromSubscription",
"rds:RemoveTagsFromResource",
"rds:ResetDBClusterParameterGroup",
"rds:ResetDBParameterGroup",
"rds:RestoreDBClusterFromSnapshot",
"rds:RestoreDBClusterToPointInTime"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcs",
"kms:ListAliases",
"kms:ListKeyPolicies",
"kms:ListKeys",
"kms:ListRetirableGrants",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"sns:ListSubscriptions",
"sns:ListTopics",
"sns:Publish"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
"Condition": {
"StringLike": {
"iam:AWS ServiceName": "rds.amazonaws.com"
}
}
}
]
}
```
------
## AmazonDocDBReadOnlyAccess
Questa policy concede autorizzazioni di sola lettura che consentono agli utenti di visualizzare le informazioni in Amazon DocumentDB. I responsabili a cui è associata questa policy non possono effettuare aggiornamenti o eliminare risorse esistenti, né possono creare nuove risorse Amazon DocumentDB. Ad esempio, i principali con queste autorizzazioni possono visualizzare l'elenco dei cluster e delle configurazioni associati al proprio account, ma non possono modificare la configurazione o le impostazioni di alcun cluster. Le autorizzazioni in questa policy sono raggruppate come segue:
+ Le autorizzazioni di Amazon DocumentDB consentono di elencare le risorse di Amazon DocumentDB, descriverle e ottenere informazioni su di esse.
+ Le autorizzazioni Amazon EC2 vengono utilizzate per descrivere Amazon VPC, le sottoreti, i gruppi di sicurezza e ENIs che sono associati a un cluster.
+ Un'autorizzazione Amazon DocumentDB viene utilizzata per descrivere la chiave associata al cluster.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"rds:DescribeAccountAttributes",
"rds:DescribeCertificates",
"rds:DescribeDBClusterParameterGroups",
"rds:DescribeDBClusterParameters",
"rds:DescribeDBClusterSnapshotAttributes",
"rds:DescribeDBClusterSnapshots",
"rds:DescribeDBClusters",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeDBLogFiles",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBParameters",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEventCategories",
"rds:DescribeEventSubscriptions",
"rds:DescribeEvents",
"rds:DescribeOrderableDBInstanceOptions",
"rds:DescribePendingMaintenanceActions",
"rds:DownloadDBLogFilePortion",
"rds:ListTagsForResource"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInternetGateways",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcs"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"kms:ListKeys",
"kms:ListRetirableGrants",
"kms:ListAliases",
"kms:ListKeyPolicies"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"logs:DescribeLogStreams",
"logs:GetLogEvents"
],
"Effect": "Allow",
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*",
"arn:aws:logs:*:*:log-group:/aws/docdb/*:log-stream:*"
]
}
]
}
```
------
## AmazonDocDBConsoleFullAccess
Garantisce l'accesso completo alla gestione delle risorse di Amazon DocumentDB utilizzando quanto Console di gestione AWS segue:
+ Le autorizzazioni di Amazon DocumentDB per consentire tutte le azioni dei cluster Amazon DocumentDB e Amazon DocumentDB.
+ Alcune delle autorizzazioni di Amazon EC2 incluse in questa policy sono necessarie per convalidare le risorse trasmesse in una richiesta API. Questo serve a garantire che Amazon DocumentDB sia in grado di utilizzare correttamente le risorse per il provisioning e la manutenzione del cluster. Le altre autorizzazioni di Amazon EC2 incluse in questa policy consentono ad Amazon DocumentDB di creare AWS le risorse necessarie per consentirti di connetterti ai tuoi cluster, ad esempio. VPCEndpoint
+ AWS KMS le autorizzazioni vengono utilizzate durante le chiamate API per AWS KMS convalidare le risorse passate in una richiesta. Sono necessari per consentire ad Amazon DocumentDB di utilizzare la chiave passata per crittografare e decrittografare i dati inattivi con il cluster elastico Amazon DocumentDB.
+ CloudWatch I log sono necessari per Amazon DocumentDB per garantire che le destinazioni di consegna dei log siano raggiungibili e che siano validi per il controllo e la profilazione dell'utilizzo dei log.
+ Le autorizzazioni di Secrets Manager sono necessarie per convalidare un determinato segreto e utilizzarlo, configurare l'utente amministratore per i cluster elastici di Amazon DocumentDB.
+ Le autorizzazioni di Amazon RDS sono necessarie per le azioni di gestione dei cluster Amazon DocumentDB. Per alcune funzionalità di gestione, Amazon DocumentDB utilizza una tecnologia operativa condivisa con Amazon RDS.
+ Le autorizzazioni SNS consentono ai responsabili di abbonamenti e argomenti Amazon Simple Notification Service (Amazon SNS) e di pubblicare messaggi Amazon SNS.
+ Le autorizzazioni IAM sono necessarie per creare i ruoli collegati al servizio necessari per la pubblicazione di metriche e log.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DocdbSids",
"Effect": "Allow",
"Action": [
"docdb-elastic:CreateCluster",
"docdb-elastic:UpdateCluster",
"docdb-elastic:GetCluster",
"docdb-elastic:DeleteCluster",
"docdb-elastic:ListClusters",
"docdb-elastic:CreateClusterSnapshot",
"docdb-elastic:GetClusterSnapshot",
"docdb-elastic:DeleteClusterSnapshot",
"docdb-elastic:ListClusterSnapshots",
"docdb-elastic:RestoreClusterFromSnapshot",
"docdb-elastic:TagResource",
"docdb-elastic:UntagResource",
"docdb-elastic:ListTagsForResource",
"docdb-elastic:CopyClusterSnapshot",
"docdb-elastic:StartCluster",
"docdb-elastic:StopCluster",
"docdb-elastic:GetPendingMaintenanceAction",
"docdb-elastic:ListPendingMaintenanceActions",
"docdb-elastic:ApplyPendingMaintenanceAction",
"rds:AddRoleToDBCluster",
"rds:AddSourceIdentifierToSubscription",
"rds:AddTagsToResource",
"rds:ApplyPendingMaintenanceAction",
"rds:CopyDBClusterParameterGroup",
"rds:CopyDBClusterSnapshot",
"rds:CopyDBParameterGroup",
"rds:CreateDBCluster",
"rds:CreateDBClusterParameterGroup",
"rds:CreateDBClusterSnapshot",
"rds:CreateDBInstance",
"rds:CreateDBParameterGroup",
"rds:CreateDBSubnetGroup",
"rds:CreateEventSubscription",
"rds:CreateGlobalCluster",
"rds:DeleteDBCluster",
"rds:DeleteDBClusterParameterGroup",
"rds:DeleteDBClusterSnapshot",
"rds:DeleteDBInstance",
"rds:DeleteDBParameterGroup",
"rds:DeleteDBSubnetGroup",
"rds:DeleteEventSubscription",
"rds:DeleteGlobalCluster",
"rds:DescribeAccountAttributes",
"rds:DescribeCertificates",
"rds:DescribeDBClusterParameterGroups",
"rds:DescribeDBClusterParameters",
"rds:DescribeDBClusterSnapshotAttributes",
"rds:DescribeDBClusterSnapshots",
"rds:DescribeDBClusters",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeDBLogFiles",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBParameters",
"rds:DescribeDBSecurityGroups",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEngineDefaultClusterParameters",
"rds:DescribeEngineDefaultParameters",
"rds:DescribeEventCategories",
"rds:DescribeEventSubscriptions",
"rds:DescribeEvents",
"rds:DescribeGlobalClusters",
"rds:DescribeOptionGroups",
"rds:DescribeOrderableDBInstanceOptions",
"rds:DescribePendingMaintenanceActions",
"rds:DescribeValidDBInstanceModifications",
"rds:DownloadDBLogFilePortion",
"rds:FailoverDBCluster",
"rds:ListTagsForResource",
"rds:ModifyDBCluster",
"rds:ModifyDBClusterParameterGroup",
"rds:ModifyDBClusterSnapshotAttribute",
"rds:ModifyDBInstance",
"rds:ModifyDBParameterGroup",
"rds:ModifyDBSubnetGroup",
"rds:ModifyEventSubscription",
"rds:ModifyGlobalCluster",
"rds:PromoteReadReplicaDBCluster",
"rds:RebootDBInstance",
"rds:RemoveFromGlobalCluster",
"rds:RemoveRoleFromDBCluster",
"rds:RemoveSourceIdentifierFromSubscription",
"rds:RemoveTagsFromResource",
"rds:ResetDBClusterParameterGroup",
"rds:ResetDBParameterGroup",
"rds:RestoreDBClusterFromSnapshot",
"rds:RestoreDBClusterToPointInTime"
],
"Resource": [
"*"
]
},
{
"Sid": "DependencySids",
"Effect": "Allow",
"Action": [
"iam:GetRole",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"ec2:AllocateAddress",
"ec2:AssignIpv6Addresses",
"ec2:AssignPrivateIpAddresses",
"ec2:AssociateAddress",
"ec2:AssociateRouteTable",
"ec2:AssociateSubnetCidrBlock",
"ec2:AssociateVpcCidrBlock",
"ec2:AttachInternetGateway",
"ec2:AttachNetworkInterface",
"ec2:CreateCustomerGateway",
"ec2:CreateDefaultSubnet",
"ec2:CreateDefaultVpc",
"ec2:CreateInternetGateway",
"ec2:CreateNatGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateVpc",
"ec2:CreateVpcEndpoint",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeCustomerGateways",
"ec2:DescribeInstances",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePrefixLists",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroupReferences",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:ModifySubnetAttribute",
"ec2:ModifyVpcAttribute",
"ec2:ModifyVpcEndpoint",
"kms:DescribeKey",
"kms:ListAliases",
"kms:ListKeyPolicies",
"kms:ListKeys",
"kms:ListRetirableGrants",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"sns:ListSubscriptions",
"sns:ListTopics",
"sns:Publish"
],
"Resource": [
"*"
]
},
{
"Sid": "DocdbSLRSid",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "rds.amazonaws.com"
}
}
},
{
"Sid": "DocdbElasticSLRSid",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "docdb-elastic.amazonaws.com"
}
}
}
]
}
```
------
## AmazonDocDBElasticReadOnlyAccess
Questa policy concede autorizzazioni di sola lettura che consentono agli utenti di visualizzare le informazioni sui cluster elastici in Amazon DocumentDB. I responsabili a cui è associata questa policy non possono effettuare aggiornamenti o eliminare risorse esistenti, né possono creare nuove risorse Amazon DocumentDB. Ad esempio, i principali con queste autorizzazioni possono visualizzare l'elenco dei cluster e delle configurazioni associati al proprio account, ma non possono modificare la configurazione o le impostazioni di alcun cluster. Le autorizzazioni in questa policy sono raggruppate come segue:
+ Le autorizzazioni del cluster elastico di Amazon DocumentDB consentono di elencare le risorse del cluster elastico di Amazon DocumentDB, descriverle e ottenere informazioni su di esse.
+ CloudWatch le autorizzazioni vengono utilizzate per verificare le metriche del servizio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"docdb-elastic:ListClusters",
"docdb-elastic:GetCluster",
"docdb-elastic:ListClusterSnapshots",
"docdb-elastic:GetClusterSnapshot",
"docdb-elastic:ListTagsForResource"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
}
]
}
```
------
## AmazonDocDBElasticFullAccess
Questa policy concede autorizzazioni amministrative che consentono l'accesso completo principale a tutte le azioni di Amazon DocumentDB per il cluster elastico Amazon DocumentDB.
Questa policy utilizza i AWS tag (https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) entro condizioni atte a definire l'accesso alle risorse. Se si utilizza un segreto, è necessario etichettarlo con una chiave tag `DocDBElasticFullAccess` e un valore di tag. Se si utilizza una chiave gestita dal cliente, questa deve essere contrassegnata con una chiave tag `DocDBElasticFullAccess` e un valore di tag.
Le autorizzazioni in questa policy sono raggruppate come segue:
+ Le autorizzazioni del cluster elastico di Amazon DocumentDB consentono tutte le azioni di Amazon DocumentDB.
+ Alcune delle autorizzazioni di Amazon EC2 incluse in questa policy sono necessarie per convalidare le risorse trasmesse in una richiesta API. Questo serve a garantire che Amazon DocumentDB sia in grado di utilizzare correttamente le risorse per il provisioning e la manutenzione del cluster. Le altre autorizzazioni Amazon EC2 incluse in questa policy consentono ad Amazon DocumentDB di creare AWS le risorse necessarie per consentirti di connetterti ai tuoi cluster come un endpoint VPC.
+ AWS KMS sono necessarie autorizzazioni per consentire ad Amazon DocumentDB di utilizzare la chiave passata per crittografare e decrittografare i dati inattivi all'interno del cluster elastico Amazon DocumentDB.
**Nota**
La chiave gestita dal cliente deve avere un tag con chiave e un valore del tag. `DocDBElasticFullAccess`
+ SecretsManager sono necessarie autorizzazioni per convalidare un determinato segreto e utilizzarlo, configurare l'utente amministratore per i cluster elastici di Amazon DocumentDB.
**Nota**
Il segreto utilizzato deve avere un tag con chiave `DocDBElasticFullAccess` e un valore di tag.
+ Le autorizzazioni IAM sono necessarie per creare i ruoli collegati al servizio necessari per la pubblicazione di metriche e log.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DocdbElasticSid",
"Effect": "Allow",
"Action": [
"docdb-elastic:CreateCluster",
"docdb-elastic:UpdateCluster",
"docdb-elastic:GetCluster",
"docdb-elastic:DeleteCluster",
"docdb-elastic:ListClusters",
"docdb-elastic:CreateClusterSnapshot",
"docdb-elastic:GetClusterSnapshot",
"docdb-elastic:DeleteClusterSnapshot",
"docdb-elastic:ListClusterSnapshots",
"docdb-elastic:RestoreClusterFromSnapshot",
"docdb-elastic:TagResource",
"docdb-elastic:UntagResource",
"docdb-elastic:ListTagsForResource",
"docdb-elastic:CopyClusterSnapshot",
"docdb-elastic:StartCluster",
"docdb-elastic:StopCluster",
"docdb-elastic:GetPendingMaintenanceAction",
"docdb-elastic:ListPendingMaintenanceActions",
"docdb-elastic:ApplyPendingMaintenanceAction"
],
"Resource": [
"*"
]
},
{
"Sid": "EC2Sid",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DescribeVpcEndpoints",
"ec2:DeleteVpcEndpoints",
"ec2:ModifyVpcEndpoint",
"ec2:DescribeVpcAttribute",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeAvailabilityZones",
"secretsmanager:ListSecrets"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "docdb-elastic.amazonaws.com"
}
}
},
{
"Sid": "KMSSid",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"docdb-elastic.*.amazonaws.com"
],
"aws:ResourceTag/DocDBElasticFullAccess": "*"
}
}
},
{
"Sid": "KMSGrantSid",
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/DocDBElasticFullAccess": "*",
"kms:ViaService": [
"docdb-elastic.*.amazonaws.com"
]
},
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
},
{
"Sid": "SecretManagerSid",
"Effect": "Allow",
"Action": [
"secretsmanager:ListSecretVersionIds",
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:GetResourcePolicy"
],
"Resource": "*",
"Condition": {
"StringLike": {
"secretsmanager:ResourceTag/DocDBElasticFullAccess": "*"
},
"StringEquals": {
"aws:CalledViaFirst": "docdb-elastic.amazonaws.com"
}
}
},
{
"Sid": "CloudwatchSid",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics"
],
"Resource": [
"*"
]
},
{
"Sid": "SLRSid",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "docdb-elastic.amazonaws.com"
}
}
}
]
}
```
------
## AmazonDocDB- ElasticServiceRolePolicy
Non puoi collegarti `AmazonDocDBElasticServiceRolePolicy` alle tue AWS Identity and Access Management entità. Questa policy è associata a un ruolo collegato al servizio che consente ad Amazon DocumentDB di eseguire azioni per tuo conto. Per ulteriori informazioni, consulta [Ruoli collegati ai servizi nei cluster elastici](elastic-service-linked-roles.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": [
"AWS/DocDB-Elastic"
]
}
}
}
]
}
```
------
## Amazon DocumentDB aggiorna le policy gestite AWS
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AmazonDocDBElasticFullAccess](#AmazonDocDB-ElasticFullAccess), [AmazonDocDBConsoleFullAccess](#AmazonDocDBConsoleFullAccess) - Modifica | Politiche aggiornate per aggiungere azioni di manutenzione in sospeso. | 11/02/2025 |
| [AmazonDocDBElasticFullAccess](#AmazonDocDB-ElasticFullAccess), - Modifica [AmazonDocDBConsoleFullAccess](#AmazonDocDBConsoleFullAccess) | Politiche aggiornate per aggiungere start/stop e copiare le azioni di snapshot del cluster. | 21/02/2024 |
| [AmazonDocDBElasticReadOnlyAccess](#AmazonDocDB-ElasticReadOnlyAccess), - Modifica [AmazonDocDBElasticFullAccess](#AmazonDocDB-ElasticFullAccess) | Politiche aggiornate per aggiungere cloudwatch:GetMetricData azioni. | 21/06/2023 |
| [AmazonDocDBElasticReadOnlyAccess](#AmazonDocDB-ElasticReadOnlyAccess): nuova policy | Nuova policy gestita per i cluster elastici di Amazon DocumentDB. | 08/06/2023 |
| [AmazonDocDBElasticFullAccess](#AmazonDocDB-ElasticFullAccess): nuova policy | Nuova policy gestita per i cluster elastici di Amazon DocumentDB. | 5/06/2023 |
| [AmazonDocDB- ElasticServiceRolePolicy](#docdb-elastic-service-role): nuova policy | Amazon DocumentDB crea un nuovo ruolo collegato al servizio AWS ServiceRoleForDoc DB-Elastic per i cluster elastici di Amazon DocumentDB. | 30/11/2022 |
| [AmazonDocDBConsoleFullAccess](#AmazonDocDBConsoleFullAccess)- Cambia | Policy aggiornata per aggiungere le autorizzazioni globali ed elastiche per i cluster Amazon DocumentDB. | 30/11/2022 |
| [AmazonDocDBConsoleFullAccess](#AmazonDocDBConsoleFullAccess),[AmazonDocDBFullAccesso](#AmazonDocDBFullAccess), [AmazonDocDBReadOnlyAccess](#AmazonDocDBReadOnlyAccess) - Nuova politica | Avvio del servizio. | 19/01/2017 |
# Autorizzazioni API Amazon DocumentDB: riferimento ad azioni, risorse e condizioni
Utilizza le seguenti sezioni come riferimento quando configuri [Utilizzo di politiche basate sull'identità (politiche IAM) per Amazon DocumentDB](UsingWithRDS.IAM.AccessControl.IdentityBased.md) e scrivi politiche di autorizzazione da allegare a un'identità IAM (politiche basate sull'identità).
Di seguito sono elencate tutte le operazioni API di Amazon DocumentDB. Nell'elenco sono incluse le azioni corrispondenti per le quali è possibile concedere le autorizzazioni per eseguire l'azione, la AWS risorsa per la quale è possibile concedere le autorizzazioni e le chiavi di condizione che è possibile includere per un controllo granulare degli accessi. Le operazioni, il valore della risorsa e le condizioni vengono specificati rispettivamente nei campi `Action`, `Resource` e `Condition` della policy. Per ulteriori informazioni sulle condizioni, consulta [Specifica delle condizioni in una policy](UsingWithRDS.IAM.AccessControl.Overview.md#SpecifyingIAMPolicyConditions-RDS).
Puoi utilizzare le chiavi di condizione AWS-wide nelle policy di Amazon DocumentDB per esprimere condizioni. Per un elenco completo delle chiavi AWS-wide, consulta Available [Keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) nella *IAM* User Guide.
Puoi testare le policy IAM con il simulatore di policy IAM. Fornisce automaticamente un elenco di risorse e parametri necessari per ogni AWS azione, incluse le azioni di Amazon DocumentDB. Il simulatore di policy IAM determina le autorizzazioni necessarie per ciascuna delle azioni specificate. *Per informazioni sul simulatore di policy IAM, consulta [Testing IAM Policies with the IAM Policy Simulator nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html) User Guide.*
**Nota**
Per specificare un'operazione, utilizza il prefisso `rds:` seguito dal nome dell'operazione API (ad esempio, `rds:CreateDBInstance`).
Di seguito sono elencate le operazioni dell'API Amazon RDS e le relative azioni, risorse e chiavi di condizione.
**Topics**
+ [Azioni di Amazon DocumentDB che supportano le autorizzazioni a livello di risorsa](#UsingWithRDS.IAM.ResourceLevelPermissions)
+ [Azioni di Amazon DocumentDB che non supportano le autorizzazioni a livello di risorsa](#UsingWithRDS.IAM.UnsupportedResourceLevelPermissions)
## Azioni di Amazon DocumentDB che supportano le autorizzazioni a livello di risorsa
Le autorizzazioni a livello di risorsa offrono la possibilità di specificare le risorse su cui gli utenti possono eseguire azioni. Amazon DocumentDB supporta parzialmente le autorizzazioni a livello di risorsa. Ciò significa che per determinate azioni di Amazon DocumentDB, puoi controllare quando gli utenti sono autorizzati a utilizzare tali azioni in base a condizioni che devono essere soddisfatte o a risorse specifiche che gli utenti sono autorizzati a utilizzare. Ad esempio, puoi concedere agli utenti l'autorizzazione a modificare solo specifiche istanze.
Di seguito sono elencate le operazioni dell'API di Amazon DocumentDB e le relative azioni, risorse e chiavi di condizione.
**Nota**
Per alcune funzionalità di gestione, Amazon DocumentDB utilizza una tecnologia operativa condivisa con Amazon RDS. *Per ulteriori azioni e autorizzazioni di Amazon DocumentDB, consulta [Azioni, risorse e chiavi di condizione per Amazon RDS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrds.html) nel Service Authorization Reference.*
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/documentdb/latest/developerguide/UsingWithRDS.IAM.ResourcePermissions.html)
## Azioni di Amazon DocumentDB che non supportano le autorizzazioni a livello di risorsa
Puoi utilizzare tutte le azioni di Amazon DocumentDB in una policy IAM per concedere o negare agli utenti l'autorizzazione a utilizzare tale azione. Tuttavia, non tutte le azioni di Amazon DocumentDB supportano le autorizzazioni a livello di risorsa, che consentono di specificare le risorse su cui eseguire un'azione. Le seguenti azioni API di Amazon DocumentDB attualmente non supportano le autorizzazioni a livello di risorsa. Pertanto, per utilizzare queste azioni in una policy IAM, devi concedere agli utenti l'autorizzazione a utilizzare tutte le risorse per l'azione utilizzando un carattere `*` jolly per l'elemento nella tua dichiarazione. `Resource`
+ `rds:DescribeDBClusterSnapshots`
+ `rds:DescribeDBInstances`