翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Amazon DocumentDB の マネージドポリシー
ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを記述するよりも、 AWS 管理ポリシーを使用する方が簡単です。必要なアクセス許可のみをチームに提供するIAMカスタマー管理ポリシーを作成するには、時間と専門知識が必要です。すぐに開始するには、 AWS マネージドポリシーを使用できます。これらのポリシーは一般的なユースケースを対象としており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、「 Identity and Access Management ユーザーガイド」の「 AWS 管理ポリシー」を参照してください。 AWS
AWS サービスは、 AWS マネージドポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスは、新機能をサポートするために、 AWS マネージドポリシーに追加のアクセス許可を追加することがあります。この種の更新は、ポリシーがアタッチされているすべてのアイデンティティ (ユーザー、グループ、ロール) に影響を与えます。サービスは、新機能の起動時または新しいオペレーションが利用可能になったときに、 AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは AWS マネージドポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が破損することはありません。
さらに、 は、複数の サービスにまたがる職務機能の マネージドポリシー AWS をサポートします。例えば、 ViewOnlyAccess AWS 管理ポリシーは、多くの AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースの読み取り専用アクセス許可 AWS を追加します。職務機能ポリシーのリストと説明については、「AWS Identity and Access Management ユーザーガイド」の「 ジョブ機能のAWS マネージドポリシー」を参照してください。
アカウントのユーザーにアタッチできる以下の AWS マネージドポリシーは、Amazon DocumentDB に固有です。
AmazonDocDBFullAccess – ルート AWS アカウントのすべての Amazon DocumentDB リソースへのフルアクセスを許可します。
AmazonDocDBReadOnlyAccess – ルート AWS アカウントのすべての Amazon DocumentDB リソースへの読み取り専用アクセスを許可します。
AmazonDocDBConsoleFullAccess - AWS Management Consoleを使用して、Amazon DocumentDB および Amazon DocumentDB Elastic クラスターリソースを管理するためのフルアクセスを許可します。
AmazonDocDBElasticReadOnlyAccess – ルート AWS アカウントのすべての Amazon DocumentDB エラスティッククラスターリソースへの読み取り専用アクセスを許可します。
AmazonDocDBElasticFullAccess – ルート AWS アカウントのすべての Amazon DocumentDB エラスティッククラスターリソースへのフルアクセスを許可します。
AmazonDocDBFullAccess
このポリシーは、プリンシパルにすべての Amazon DocumentDB アクションへのフルアクセスを許可する管理者権限を付与します。このポリシーの権限は、次のようにグループ化されています。
Amazon DocumentDB の権限は、Amazon DocumentDB アクションをすべて許可します。
このポリシーの Amazon アクセスEC2許可の一部は、 API リクエストで渡されたリソースを検証するために必要です。これは、Amazon DocumentDB がクラスターでリソースを正常に使用できるようにするためです。このポリシーの残りの Amazon アクセスEC2許可により、Amazon DocumentDB はクラスターへの接続を可能にするために必要な AWS リソースを作成できます。
Amazon DocumentDB のアクセス許可は、リクエストで渡されたリソースを検証するためのAPI呼び出し中に使用されます。これらは、Amazon DocumentDB が、渡されたキーを Amazon DocumentDB クラスターで使用できるようにするために必要です。
CloudWatch ログはAmazon DocumentDB がログ配信先に到達可能であり、ブローカーログの使用に有効であることを確認するために必要です。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "rds:AddRoleToDBCluster", "rds:AddSourceIdentifierToSubscription", "rds:AddTagsToResource", "rds:ApplyPendingMaintenanceAction", "rds:CopyDBClusterParameterGroup", "rds:CopyDBClusterSnapshot", "rds:CopyDBParameterGroup", "rds:CreateDBCluster", "rds:CreateDBClusterParameterGroup", "rds:CreateDBClusterSnapshot", "rds:CreateDBInstance", "rds:CreateDBParameterGroup", "rds:CreateDBSubnetGroup", "rds:CreateEventSubscription", "rds:DeleteDBCluster", "rds:DeleteDBClusterParameterGroup", "rds:DeleteDBClusterSnapshot", "rds:DeleteDBInstance", "rds:DeleteDBParameterGroup", "rds:DeleteDBSubnetGroup", "rds:DeleteEventSubscription", "rds:DescribeAccountAttributes", "rds:DescribeCertificates", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBClusterParameters", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBLogFiles", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSecurityGroups", "rds:DescribeDBSubnetGroups", "rds:DescribeEngineDefaultClusterParameters", "rds:DescribeEngineDefaultParameters", "rds:DescribeEventCategories", "rds:DescribeEventSubscriptions", "rds:DescribeEvents", "rds:DescribeOptionGroups", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribePendingMaintenanceActions", "rds:DescribeValidDBInstanceModifications", "rds:DownloadDBLogFilePortion", "rds:FailoverDBCluster", "rds:ListTagsForResource", "rds:ModifyDBCluster", "rds:ModifyDBClusterParameterGroup", "rds:ModifyDBClusterSnapshotAttribute", "rds:ModifyDBInstance", "rds:ModifyDBParameterGroup", "rds:ModifyDBSubnetGroup", "rds:ModifyEventSubscription", "rds:PromoteReadReplicaDBCluster", "rds:RebootDBInstance", "rds:RemoveRoleFromDBCluster", "rds:RemoveSourceIdentifierFromSubscription", "rds:RemoveTagsFromResource", "rds:ResetDBClusterParameterGroup", "rds:ResetDBParameterGroup", "rds:RestoreDBClusterFromSnapshot", "rds:RestoreDBClusterToPointInTime" ], "Effect": "Allow", "Resource": [ "*" ] }, { "Action": [ "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "ec2:DescribeAccountAttributes", "ec2:DescribeAvailabilityZones", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcs", "kms:ListAliases", "kms:ListKeyPolicies", "kms:ListKeys", "kms:ListRetirableGrants", "logs:DescribeLogStreams", "logs:GetLogEvents", "sns:ListSubscriptions", "sns:ListTopics", "sns:Publish" ], "Effect": "Allow", "Resource": [ "*" ] }, { "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS", "Condition": { "StringLike": { "iam:AWS ServiceName": "rds.amazonaws.com" } } } ] }
AmazonDocDBReadOnlyAccess
このポリシーは、ユーザーが Amazon DocumentDB で情報を表示できるようにする読み取り専用の権限を付与します。このポリシーが添付されているプリンシパルは、既存のリソースを更新または削除したり、新しい Amazon DocumentDB リソースを作成したりすることはできません。例えば、これらの権限を持つプリンシパルは、自分のアカウントに関連付けられているクラスターと構成のリストを表示できますが、クラスターの構成や設定を変更することはできません。このポリシーの権限は、次のようにグループ化されています。
Amazon DocumentDB 権限を使用すると、Amazon DocumentDB リソースを一覧表示し、それらを記述し、それらに関する情報を取得できます。
Amazon アクセスEC2許可は、クラスターENIsに関連付けられている Amazon VPC、サブネット、セキュリティグループ、および を記述するために使用されます。
Amazon DocumentDB 権限は、クラスターに関連付けられているキーを記述するために使用されます。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "rds:DescribeAccountAttributes", "rds:DescribeCertificates", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBClusterParameters", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBLogFiles", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSubnetGroups", "rds:DescribeEventCategories", "rds:DescribeEventSubscriptions", "rds:DescribeEvents", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribePendingMaintenanceActions", "rds:DownloadDBLogFilePortion", "rds:ListTagsForResource" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "ec2:DescribeAccountAttributes", "ec2:DescribeAvailabilityZones", "ec2:DescribeInternetGateways", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcs" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "kms:ListKeys", "kms:ListRetirableGrants", "kms:ListAliases", "kms:ListKeyPolicies" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "logs:DescribeLogStreams", "logs:GetLogEvents" ], "Effect": "Allow", "Resource": [ "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*", "arn:aws:logs:*:*:log-group:/aws/docdb/*:log-stream:*" ] } ] }
AmazonDocDBConsoleFullAccess
以下 AWS Management Console に対して を使用して Amazon DocumentDB リソースを管理するためのフルアクセスを付与します。
すべての Amazon DocumentDB アクションと Amazon DocumentDB クラスターアクションを許可する Amazon DocumentDB のアクセス許可。
このポリシーの Amazon アクセスEC2許可の一部は、 API リクエストで渡されたリソースを検証するために必要です。これは、Amazon DocumentDB がリソースを正常に使用して、クラスターをプロビジョンおよび維持できるようにするためです。このポリシーの残りの Amazon アクセスEC2許可により、Amazon DocumentDB は、 などのクラスターへの接続を可能にするために必要な AWS リソースを作成できますVPCEndpoint。
AWS KMS アクセス許可は、リクエストで渡されたリソースを検証 AWS KMS するために のAPI呼び出し中に使用されます。これらは、Amazon DocumentDB が、渡されたキーを使用して、Amazon DocumentDB エラスティッククラスターで保存されている保管中のデータを暗号化および復号化できるようにするために必要です。
CloudWatch ログは、Amazon DocumentDB がログ配信先に到達可能であること、およびログの監査とプロファイリングでの使用に有効であることを確認するために必要です。
特定のシークレットを検証し、それを使用して Amazon DocumentDB Elastic クラスターの管理者ユーザーをセットアップするには、Secrets Manager 権限が必要です。
Amazon DocumentDB クラスター管理アクションには Amazon アクセスRDS許可が必要です。特定の管理機能については、Amazon DocumentDB は Amazon と共有されている運用テクノロジーを使用しますRDS。
SNS アクセス許可により、プリンシパルは Amazon Simple Notification Service (Amazon SNS) のサブスクリプションとトピックにアクセスでき、Amazon メッセージを発行SNSできます。
IAM メトリクスとログの発行に必要なサービスにリンクされたロールを作成するには、 許可が必要です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DocdbSids", "Effect": "Allow", "Action": [ "docdb-elastic:CreateCluster", "docdb-elastic:UpdateCluster", "docdb-elastic:GetCluster", "docdb-elastic:DeleteCluster", "docdb-elastic:ListClusters", "docdb-elastic:CreateClusterSnapshot", "docdb-elastic:GetClusterSnapshot", "docdb-elastic:DeleteClusterSnapshot", "docdb-elastic:ListClusterSnapshots", "docdb-elastic:RestoreClusterFromSnapshot", "docdb-elastic:TagResource", "docdb-elastic:UntagResource", "docdb-elastic:ListTagsForResource", "docdb-elastic:CopyClusterSnapshot", "docdb-elastic:StartCluster", "docdb-elastic:StopCluster", "rds:AddRoleToDBCluster", "rds:AddSourceIdentifierToSubscription", "rds:AddTagsToResource", "rds:ApplyPendingMaintenanceAction", "rds:CopyDBClusterParameterGroup", "rds:CopyDBClusterSnapshot", "rds:CopyDBParameterGroup", "rds:CreateDBCluster", "rds:CreateDBClusterParameterGroup", "rds:CreateDBClusterSnapshot", "rds:CreateDBInstance", "rds:CreateDBParameterGroup", "rds:CreateDBSubnetGroup", "rds:CreateEventSubscription", "rds:CreateGlobalCluster", "rds:DeleteDBCluster", "rds:DeleteDBClusterParameterGroup", "rds:DeleteDBClusterSnapshot", "rds:DeleteDBInstance", "rds:DeleteDBParameterGroup", "rds:DeleteDBSubnetGroup", "rds:DeleteEventSubscription", "rds:DeleteGlobalCluster", "rds:DescribeAccountAttributes", "rds:DescribeCertificates", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBClusterParameters", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBLogFiles", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSecurityGroups", "rds:DescribeDBSubnetGroups", "rds:DescribeEngineDefaultClusterParameters", "rds:DescribeEngineDefaultParameters", "rds:DescribeEventCategories", "rds:DescribeEventSubscriptions", "rds:DescribeEvents", "rds:DescribeGlobalClusters", "rds:DescribeOptionGroups", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribePendingMaintenanceActions", "rds:DescribeValidDBInstanceModifications", "rds:DownloadDBLogFilePortion", "rds:FailoverDBCluster", "rds:ListTagsForResource", "rds:ModifyDBCluster", "rds:ModifyDBClusterParameterGroup", "rds:ModifyDBClusterSnapshotAttribute", "rds:ModifyDBInstance", "rds:ModifyDBParameterGroup", "rds:ModifyDBSubnetGroup", "rds:ModifyEventSubscription", "rds:ModifyGlobalCluster", "rds:PromoteReadReplicaDBCluster", "rds:RebootDBInstance", "rds:RemoveFromGlobalCluster", "rds:RemoveRoleFromDBCluster", "rds:RemoveSourceIdentifierFromSubscription", "rds:RemoveTagsFromResource", "rds:ResetDBClusterParameterGroup", "rds:ResetDBParameterGroup", "rds:RestoreDBClusterFromSnapshot", "rds:RestoreDBClusterToPointInTime" ], "Resource": [ "*" ] }, { "Sid": "DependencySids", "Effect": "Allow", "Action": [ "iam:GetRole", "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "ec2:AllocateAddress", "ec2:AssignIpv6Addresses", "ec2:AssignPrivateIpAddresses", "ec2:AssociateAddress", "ec2:AssociateRouteTable", "ec2:AssociateSubnetCidrBlock", "ec2:AssociateVpcCidrBlock", "ec2:AttachInternetGateway", "ec2:AttachNetworkInterface", "ec2:CreateCustomerGateway", "ec2:CreateDefaultSubnet", "ec2:CreateDefaultVpc", "ec2:CreateInternetGateway", "ec2:CreateNatGateway", "ec2:CreateNetworkInterface", "ec2:CreateRoute", "ec2:CreateRouteTable", "ec2:CreateSecurityGroup", "ec2:CreateSubnet", "ec2:CreateVpc", "ec2:CreateVpcEndpoint", "ec2:DescribeAccountAttributes", "ec2:DescribeAddresses", "ec2:DescribeAvailabilityZones", "ec2:DescribeCustomerGateways", "ec2:DescribeInstances", "ec2:DescribeNatGateways", "ec2:DescribeNetworkInterfaces", "ec2:DescribePrefixLists", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroupReferences", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ec2:ModifyNetworkInterfaceAttribute", "ec2:ModifySubnetAttribute", "ec2:ModifyVpcAttribute", "ec2:ModifyVpcEndpoint", "kms:DescribeKey", "kms:ListAliases", "kms:ListKeyPolicies", "kms:ListKeys", "kms:ListRetirableGrants", "logs:DescribeLogStreams", "logs:GetLogEvents", "sns:ListSubscriptions", "sns:ListTopics", "sns:Publish" ], "Resource": [ "*" ] }, { "Sid": "DocdbSLRSid", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS", "Condition": { "StringLike": { "iam:AWSServiceName": "rds.amazonaws.com" } } }, { "Sid": "DocdbElasticSLRSid", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic", "Condition": { "StringLike": { "iam:AWSServiceName": "docdb-elastic.amazonaws.com" } } } ] }
AmazonDocDBElasticReadOnlyAccess
このポリシーは、ユーザーが Amazon DocumentDB で Elastic クラスター情報を表示できるようにする読み取り専用の権限を付与します。このポリシーが添付されているプリンシパルは、既存のリソースを更新または削除したり、新しい Amazon DocumentDB リソースを作成したりすることはできません。例えば、これらの権限を持つプリンシパルは、自分のアカウントに関連付けられているクラスターと構成のリストを表示できますが、クラスターの構成や設定を変更することはできません。このポリシーの権限は、次のようにグループ化されています。
Amazon DocumentDB Elastic クラスター権限を使用すると、Amazon DocumentDB Elastic クラスターリソースを一覧表示し、それらを記述し、それらに関する情報を取得できます。
CloudWatch アクセス許可は、サービスメトリクスの検証に使用されます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "docdb-elastic:ListClusters", "docdb-elastic:GetCluster", "docdb-elastic:ListClusterSnapshots", "docdb-elastic:GetClusterSnapshot", "docdb-elastic:ListTagsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics" ], "Resource": "*" } ] }
AmazonDocDBElasticFullAccess
このポリシーは、Amazon DocumentDB Elastic クラスターに関するすべての Amazon DocumentDB アクションへのフルアクセスをプリンシパルに許可する管理者権限を付与します。
このポリシーは、 条件内の AWS タグ (https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) を使用して、 リソースへのアクセスの範囲を設定します。シークレットを使用する場合は、タグキー DocDBElasticFullAccess とタグ値でタグ付けする必要があります。カスタマー管理キーを使用する場合は、タグキー DocDBElasticFullAccess とタグ値でタグ付けする必要があります。
このポリシーの権限は、次のようにグループ化されています。
Amazon DocumentDB Elastic クラスターアクセス権限では、すべての Amazon DocumentDB アクションが許可されます。
このポリシーの Amazon アクセスEC2許可の一部は、 API リクエストで渡されたリソースを検証するために必要です。これは、Amazon DocumentDB がリソースを正常に使用して、クラスターをプロビジョンおよび維持できるようにするためです。このポリシーの残りの Amazon アクセスEC2許可により、Amazon DocumentDB は、VPCエンドポイントのようにクラスターに接続するために必要な AWS リソースを作成できます。
AWS KMS Amazon DocumentDB が渡されたキーを使用して Amazon DocumentDB エラスティッククラスター内の保管中のデータを暗号化および復号化できるようにするにはAmazon DocumentDB許可が必要です。
注記
カスタマー管理キーには、キー
DocDBElasticFullAccessが付いたタグとタグ値が必要です。SecretsManager 特定のシークレットを検証し、それを使用して Amazon DocumentDB エラスティッククラスターの管理者ユーザーをセットアップするには、 アクセス許可が必要です。
注記
使用するシークレットには、キー
DocDBElasticFullAccessが付いたタグとタグ値が必要です。IAM メトリクスとログの発行に必要なサービスにリンクされたロールを作成するには、 許可が必要です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DocdbElasticSid", "Effect": "Allow", "Action": [ "docdb-elastic:CreateCluster", "docdb-elastic:UpdateCluster", "docdb-elastic:GetCluster", "docdb-elastic:DeleteCluster", "docdb-elastic:ListClusters", "docdb-elastic:CreateClusterSnapshot", "docdb-elastic:GetClusterSnapshot", "docdb-elastic:DeleteClusterSnapshot", "docdb-elastic:ListClusterSnapshots", "docdb-elastic:RestoreClusterFromSnapshot", "docdb-elastic:TagResource", "docdb-elastic:UntagResource", "docdb-elastic:ListTagsForResource", "docdb-elastic:CopyClusterSnapshot", "docdb-elastic:StartCluster", "docdb-elastic:StopCluster" ], "Resource": [ "*" ] }, { "Sid": "EC2Sid", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:DescribeVpcEndpoints", "ec2:DeleteVpcEndpoints", "ec2:ModifyVpcEndpoint", "ec2:DescribeVpcAttribute", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeAvailabilityZones", "secretsmanager:ListSecrets" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:CalledViaFirst": "docdb-elastic.amazonaws.com" } } }, { "Sid": "KMSSid", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": [ "docdb-elastic.*.amazonaws.com" ], "aws:ResourceTag/DocDBElasticFullAccess": "*" } } }, { "Sid": "KMSGrantSid", "Effect": "Allow", "Action": [ "kms:CreateGrant" ], "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/DocDBElasticFullAccess": "*", "kms:ViaService": [ "docdb-elastic.*.amazonaws.com" ] }, "Bool": { "kms:GrantIsForAWSResource": true } } }, { "Sid": "SecretManagerSid", "Effect": "Allow", "Action": [ "secretsmanager:ListSecretVersionIds", "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:GetResourcePolicy" ], "Resource": "*", "Condition": { "StringLike": { "secretsmanager:ResourceTag/DocDBElasticFullAccess": "*" }, "StringEquals": { "aws:CalledViaFirst": "docdb-elastic.amazonaws.com" } } }, { "Sid": "CloudwatchSid", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics" ], "Resource": [ "*" ] }, { "Sid": "SLRSid", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic", "Condition": { "StringLike": { "iam:AWSServiceName": "docdb-elastic.amazonaws.com" } } } ] }
AmazonDocDB-ElasticServiceRolePolicy
AWS Identity and Access Management エンティティAmazonDocDBElasticServiceRolePolicyに をアタッチすることはできません。このポリシーは、Amazon DocumentDB がユーザーに代わってアクションを実行することを許可するサービスリンクロールにアタッチされます。詳細については、「エラスティッククラスター上のサービスにリンクされたロール」を参照してください。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": [ "AWS/DocDB-Elastic" ] } } } ] }
Amazon DocumentDB の AWS マネージドポリシーの更新
| 変更 | 説明 | 日付 |
|---|---|---|
| AmazonDocDBElasticFullAccess、AmazonDocDBConsoleFullAccess - 変更 | ポリシーが更新され、クラスターの開始/停止を追加し、クラスタースナップショットアクションをコピーしました。 | 2/21/2024 |
| AmazonDocDBElasticReadOnlyAccess、AmazonDocDBElasticFullAccess - 変更 | ポリシーを更新し、cloudwatch:GetMetricData アクションを追加。 |
6/21/2023 |
| AmazonDocDBElasticReadOnlyAccess – 新しいポリシー | Amazon DocumentDB Elastic クラスターの新しいマネージドポリシー | 6/8/2023 |
| AmazonDocDBElasticFullAccess – 新しいポリシー | Amazon DocumentDB Elastic クラスターの新しいマネージドポリシー | 6/5/2023 |
| AmazonDocDB-ElasticServiceRolePolicy - 新しいポリシー | Amazon DocumentDB は、Amazon DocumentDB エラスティッククラスター用の新しい AWS ServiceRoleForDocDB-Elastic サービスリンクロールを作成します。 Amazon DocumentDB | 11/30/2022 |
| AmazonDocDBConsoleFullAccess - 変更 | ポリシーを更新し、Amazon DocumentDB グローバル権限とElastic クラスター権限を追加 | 11/30/2022 |
| AmazonDocDBConsoleFullAccess, AmazonDocDBFullAccess, AmazonDocDBReadOnlyAccess - 新しいポリシー | サービスの起動 | 1/19/2017 |
