サポートされるリソースレベルのアクセス許可サポートされていないリソースレベルのアクセス許可

Amazon DocumentDB アクセスAPI許可: アクション、リソース、および条件リファレンス

ID にアタッチできるアクセス許可ポリシー (IAMアイデンティティベースのポリシー) を設定Amazon DocumentDB でのアイデンティティベースのポリシー (IAM ポリシー) の使用および記述するときは、以下のセクションを参照として使用します。

以下に、各 Amazon DocumentDB APIオペレーションを示します。リストには、アクションを実行するためのアクセス許可を付与できる対応するアクション、アクセス許可を付与できる AWS リソース、きめ細かなアクセスコントロールに含めることができる条件キーが含まれています。ポリシーの Action フィールドにアクションを、ポリシーの Resource フィールドにリソース値を、ポリシーの Condition フィールドに条件を指定します。条件の詳細については、「ポリシーでの条件の指定」を参照してください。

Amazon DocumentDB ポリシーで AWS全体の条件キーを使用して、条件を表現できます。全体のキーの完全なリストについては、 AWS「 IAMユーザーガイド」の「使用可能なキー」を参照してください。

Policy Simulator IAMを使用してIAMポリシーをテストできます。Amazon DocumentDB AWS アクションなど、各アクションに必要なリソースとパラメータのリストが自動的に提供されます。IAM Policy Simulator は、指定した各アクションに必要なアクセス許可を決定します。Policy IAM Simulator の詳細については、IAM「ユーザーガイド」のIAM「Policy Simulator を使用したIAMポリシーのテスト」を参照してください。

注記

アクションを指定するには、 rds: プレフィックスの後にAPIオペレーション名 (例: rds:CreateDBInstance) を使用します。

以下は、Amazon RDSAPIオペレーションとそれに関連するアクション、リソース、および条件キーの一覧です。

トピック

リソースレベルのアクセス許可をサポートする Amazon DocumentDB アクション
リソースレベルのアクセス許可をサポートしていない Amazon DocumentDB アクション

リソースレベルのアクセス許可をサポートする Amazon DocumentDB アクション

リソースレベルの許可とは、ユーザーがアクションを実行できるリソースを指定できる機能を提供します。Amazon DocumentDB は、リソースレベルのアクセス許可を部分的にサポートします。これは、特定の Amazon DocumentDB アクションについて、満たす必要のある条件、またはユーザーが使用を許可されている特定のリソースに基づいて、ユーザーがそれらのアクションをいつ使用できるかを制御できることを意味します。例えば、特定のインスタンスのみ変更するアクセス許可をユーザーに付与できます。

以下に、Amazon DocumentDB APIオペレーション、およびそれらに関連するアクション、リソース、および条件キーを示します。

注記

特定の管理機能については、Amazon DocumentDB は Amazon と共有されている運用テクノロジーを使用しますRDS。Amazon DocumentDB のその他のアクションとアクセス許可については、「サービス認証リファレンス」の「Amazon のアクション、リソース、および条件キーRDS」を参照してください。

Amazon DocumentDB API オペレーションとアクションリソース条件キー

Amazon DocumentDB API オペレーションとアクション	リソース	条件キー
AddTagsToResource `rds:AddTagsToResource`	インスタンス `arn:aws:rds:region:account-id:db:db-instance-name`	`rds:db-tag`
サブネットグループ `arn:aws:rds:region:account-id:subgrp:subnet-group-name`	`rds:subgrp-tag`
ApplyPendingMaintenanceAction `rds:ApplyPendingMaintenanceAction`	インスタンス `arn:aws:rds:region:account-id:db:db-instance-name`	`rds:db-tag`
C opyDBClusterスナップショット `rds:CopyDBClusterSnapshot`	クラスタースナップショット `arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name`	`rds:cluster-snapshot-tag`
CreateDBCluster `rds:CreateDBCluster`	クラスター `arn:aws:rds:region:account-id:cluster:db-cluster-name`	`rds:cluster-tag`
クラスターパラメータグループ `arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name`	`rds:cluster-pg-tag`
サブネットグループ `arn:aws:rds:region:account-id:subgrp:subnet-group-name`	`rds:subgrp-tag`
CreateDBClusterParameterGroup `rds:CreateDBClusterParameterGroup`	クラスターパラメータグループ `arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name`	`rds:cluster-pg-tag`
C reateDBClusterスナップショット `rds:CreateDBClusterSnapshot`	クラスター `arn:aws:rds:region:account-id:cluster:db-cluster-name`	`rds:cluster-tag`
クラスタースナップショット `arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name`	`rds:cluster-snapshot-tag`
CreateDBInstance `rds:CreateDBInstance`	インスタンス `arn:aws:rds:region:account-id:db:db-instance-name`	`rds:DatabaseClass` `rds:db-tag`
クラスター `arn:aws:rds:region:account-id:cluster:db-cluster-name`	`rds:cluster-tag`
C reateDBSubnetグループ `rds:CreateDBSubnetGroup`	サブネットグループ `arn:aws:rds:region:account-id:subgrp:subnet-group-name`	`rds:subgrp-tag`
DeleteDBInstance `rds:DeleteDBInstance`	インスタンス `arn:aws:rds:region:account-id:db:db-instance-name`	`rds:db-tag`
D eleteDBSubnetグループ `rds:DeleteDBSubnetGroup`	サブネットグループ `arn:aws:rds:region:account-id:subgrp:subnet-group-name`	`rds:subgrp-tag`
DescribeDBClusterParameterGroups `rds:DescribeDBClusterParameterGroups`	クラスターパラメータグループ `arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name`	`rds:cluster-pg-tag`
D escribeDBClusterパラメータ `rds:DescribeDBClusterParameters`	クラスターパラメータグループ `arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name`	`rds:cluster-pg-tag`
DescribeDBClusters `rds:DescribeDBClusters`	クラスター `arn:aws:rds:region:account-id:cluster:db-cluster-instance-name`	`rds:cluster-tag`
DescribeDBClusterSnapshotAttributes `rds:DescribeDBClusterSnapshotAttributes`	クラスタースナップショット `arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name`	`rds:cluster-snapshot-tag`
D escribeDBSubnetグループ `rds:DescribeDBSubnetGroups`	サブネットグループ `arn:aws:rds:region:account-id:subgrp:subnet-group-name`	`rds:subgrp-tag`
DescribePendingMaintenanceActions `rds:DescribePendingMaintenanceActions`	インスタンス `arn:aws:rds:region:account-id:db:db-instance-name`	`rds:DatabaseClass` `rds:db-tag`
FailoverDBCluster `rds:FailoverDBCluster`	クラスター `arn:aws:rds:region:account-id:cluster:db-cluster-instance-name`	`rds:cluster-tag`
ListTagsForResource `rds:ListTagsForResource`	インスタンス `arn:aws:rds:region:account-id:db:db-instance-name`	`rds:db-tag`
サブネットグループ `arn:aws:rds:region:account-id:subgrp:subnet-group-name`	`rds:subgrp-tag`
ModifyDBCluster `rds:ModifyDBCluster`	クラスター `arn:aws:rds:region:account-id:cluster:db-cluster-name`	`rds:cluster-tag`
クラスターパラメータグループ `arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name`	`rds:cluster-pg-tag`
ModifyDBClusterParameterGroup `rds:ModifyDBClusterParameterGroup`	クラスターパラメータグループ `arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name`	`rds:cluster-pg-tag`
ModifyDBClusterSnapshotAttribute `rds:ModifyDBClusterSnapshotAttribute`	クラスタースナップショット `arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name`	`rds:cluster-snapshot-tag`
ModifyDBInstance `rds:ModifyDBInstance`	インスタンス `arn:aws:rds:region:account-id:db:db-instance-name`	`rds:DatabaseClass` `rds:db-tag`
RebootDBInstance `rds:RebootDBInstance`	インスタンス `arn:aws:rds:region:account-id:db:db-instance-name`	`rds:db-tag`
RemoveTagsFromResource `rds:RemoveTagsFromResource`	インスタンス `arn:aws:rds:region:account-id:db:db-instance-name`	`rds:db-tag`
サブネットグループ `arn:aws:rds:region:account-id:subgrp:subnet-group-name`	`rds:subgrp-tag`
ResetDBClusterParameterGroup `rds:ResetDBClusterParameterGroup`	クラスターパラメータグループ `arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name`	`rds:cluster-pg-tag`
RestoreDBClusterFromSnapshot `rds:RestoreDBClusterFromSnapshot`	クラスター `arn:aws:rds:region:account-id:cluster:db-cluster-instance-name`	`rds:cluster-tag`
クラスタースナップショット `arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name`	`rds:cluster-snapshot-tag`
RestoreDBClusterToPointInTime `rds:RestoreDBClusterToPointInTime`	クラスター `arn:aws:rds:region:account-id:cluster:db-cluster-instance-name`	`rds:cluster-tag`
サブネットグループ `arn:aws:rds:region:account-id:subgrp:subnet-group-name`	`rds:subgrp-tag`

AddTagsToResource

rds:AddTagsToResource

インスタンス

arn:aws:rds:region:account-id:db:db-instance-name

rds:db-tag

サブネットグループ

arn:aws:rds:region:account-id:subgrp:subnet-group-name

rds:subgrp-tag

ApplyPendingMaintenanceAction

rds:ApplyPendingMaintenanceAction

インスタンス

arn:aws:rds:region:account-id:db:db-instance-name

rds:db-tag

C opyDBClusterスナップショット

rds:CopyDBClusterSnapshot

クラスタースナップショット

arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name

rds:cluster-snapshot-tag

CreateDBCluster

rds:CreateDBCluster

クラスター

arn:aws:rds:region:account-id:cluster:db-cluster-name

rds:cluster-tag

クラスターパラメータグループ

arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name

rds:cluster-pg-tag

サブネットグループ

arn:aws:rds:region:account-id:subgrp:subnet-group-name

rds:subgrp-tag

CreateDBClusterParameterGroup

rds:CreateDBClusterParameterGroup

クラスターパラメータグループ

arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name

rds:cluster-pg-tag

C reateDBClusterスナップショット

rds:CreateDBClusterSnapshot

クラスター

arn:aws:rds:region:account-id:cluster:db-cluster-name

rds:cluster-tag

クラスタースナップショット

arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name

rds:cluster-snapshot-tag

CreateDBInstance

rds:CreateDBInstance

インスタンス

arn:aws:rds:region:account-id:db:db-instance-name

rds:DatabaseClass

rds:db-tag

クラスター

arn:aws:rds:region:account-id:cluster:db-cluster-name

rds:cluster-tag

C reateDBSubnetグループ

rds:CreateDBSubnetGroup

サブネットグループ

arn:aws:rds:region:account-id:subgrp:subnet-group-name

rds:subgrp-tag

DeleteDBInstance

rds:DeleteDBInstance

インスタンス

arn:aws:rds:region:account-id:db:db-instance-name

rds:db-tag

D eleteDBSubnetグループ

rds:DeleteDBSubnetGroup

サブネットグループ

arn:aws:rds:region:account-id:subgrp:subnet-group-name

rds:subgrp-tag

DescribeDBClusterParameterGroups

rds:DescribeDBClusterParameterGroups

クラスターパラメータグループ

arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name

rds:cluster-pg-tag

D escribeDBClusterパラメータ

rds:DescribeDBClusterParameters

クラスターパラメータグループ

arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name

rds:cluster-pg-tag

DescribeDBClusters

rds:DescribeDBClusters

クラスター

arn:aws:rds:region:account-id:cluster:db-cluster-instance-name

rds:cluster-tag

DescribeDBClusterSnapshotAttributes

rds:DescribeDBClusterSnapshotAttributes

クラスタースナップショット

arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name

rds:cluster-snapshot-tag

D escribeDBSubnetグループ

rds:DescribeDBSubnetGroups

サブネットグループ

arn:aws:rds:region:account-id:subgrp:subnet-group-name

rds:subgrp-tag

DescribePendingMaintenanceActions

rds:DescribePendingMaintenanceActions

インスタンス

arn:aws:rds:region:account-id:db:db-instance-name

rds:DatabaseClass

rds:db-tag

FailoverDBCluster

rds:FailoverDBCluster

クラスター

arn:aws:rds:region:account-id:cluster:db-cluster-instance-name

rds:cluster-tag

ListTagsForResource

rds:ListTagsForResource

インスタンス

arn:aws:rds:region:account-id:db:db-instance-name

rds:db-tag

サブネットグループ

arn:aws:rds:region:account-id:subgrp:subnet-group-name

rds:subgrp-tag

ModifyDBCluster

rds:ModifyDBCluster

クラスター

arn:aws:rds:region:account-id:cluster:db-cluster-name

rds:cluster-tag

クラスターパラメータグループ

arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name

rds:cluster-pg-tag

ModifyDBClusterParameterGroup

rds:ModifyDBClusterParameterGroup

クラスターパラメータグループ

arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name

rds:cluster-pg-tag

ModifyDBClusterSnapshotAttribute

rds:ModifyDBClusterSnapshotAttribute

クラスタースナップショット

arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name

rds:cluster-snapshot-tag

ModifyDBInstance

rds:ModifyDBInstance

インスタンス

arn:aws:rds:region:account-id:db:db-instance-name

rds:DatabaseClass

rds:db-tag

RebootDBInstance

rds:RebootDBInstance

インスタンス

arn:aws:rds:region:account-id:db:db-instance-name

rds:db-tag

RemoveTagsFromResource

rds:RemoveTagsFromResource

インスタンス

arn:aws:rds:region:account-id:db:db-instance-name

rds:db-tag

サブネットグループ

arn:aws:rds:region:account-id:subgrp:subnet-group-name

rds:subgrp-tag

ResetDBClusterParameterGroup

rds:ResetDBClusterParameterGroup

クラスターパラメータグループ

arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name

rds:cluster-pg-tag

RestoreDBClusterFromSnapshot

rds:RestoreDBClusterFromSnapshot

クラスター

arn:aws:rds:region:account-id:cluster:db-cluster-instance-name

rds:cluster-tag

クラスタースナップショット

arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name

rds:cluster-snapshot-tag

RestoreDBClusterToPointInTime

rds:RestoreDBClusterToPointInTime

クラスター

arn:aws:rds:region:account-id:cluster:db-cluster-instance-name

rds:cluster-tag

サブネットグループ

arn:aws:rds:region:account-id:subgrp:subnet-group-name

rds:subgrp-tag

リソースレベルのアクセス許可をサポートしていない Amazon DocumentDB アクション

IAM ポリシー内のすべての Amazon DocumentDB アクションを使用して、そのアクションを使用するアクセス許可をユーザーに付与または拒否できます。ただし、すべての Amazon DocumentDB アクションが、アクションを実行することができるリソースを指定できる、リソースレベルのアクセス許可をサポートしているわけではありません。以下の Amazon DocumentDB APIアクションは現在、リソースレベルのアクセス許可をサポートしていません。したがって、 IAMポリシーでこれらのアクションを使用するには、ステートメントの Resource要素に*ワイルドカードを使用して、アクションのすべてのリソースを使用するアクセス許可をユーザーに付与する必要があります。

rds:DescribeDBClusterSnapshots
rds:DescribeDBInstances

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS Amazon DocumentDB のマネージドポリシー

IAM ID を使用した認証