AWS Amazon DocumentDB에 대한 관리형 정책 - Amazon DocumentDB

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Amazon DocumentDB에 대한 관리형 정책

사용자, 그룹 및 역할에 권한을 추가하려면 직접 정책을 작성하는 것보다 AWS 관리형 정책을 사용하는 것이 더 쉽습니다. 필요한 권한만 팀에 제공하는 IAM 고객 관리형 정책을 생성하는 데는 시간과 전문 지식이 필요합니다. 빠르게 시작하려면 AWS 관리형 정책을 사용할 수 있습니다. 이러한 정책은 일반적인 사용 사례를 다루며 AWS 계정에서 사용할 수 있습니다. AWS 관리형 정책에 대한 자세한 내용은 AWS Identity and Access Management 사용 설명서AWS 관리형 정책을 참조하세요.

AWS 서비스는 AWS 관리형 정책을 유지 관리하고 업데이트합니다. AWS 관리형 정책의 권한은 변경할 수 없습니다. 서비스는 관리 AWS 형 정책에 새로운 기능을 지원하는 추가 권한을 가끔 추가합니다. 이 유형의 업데이트는 정책이 연결된 모든 ID(사용자, 그룹 및 역할)에 적용됩니다. 서비스는 새 기능이 시작되거나 새 작업을 사용할 수 있게 되면 AWS 관리형 정책을 업데이트할 가능성이 높습니다. 서비스는 AWS 관리형 정책에서 권한을 제거하지 않으므로 정책 업데이트가 기존 권한을 손상시키지 않습니다.

또한 여러 서비스에 걸쳐 있는 작업 함수에 대한 관리형 정책을 AWS 지원합니다. 예를 들어 ViewOnlyAccess AWS 관리형 정책은 많은 AWS 서비스 및 리소스에 대한 읽기 전용 액세스를 제공합니다. 서비스가 새 기능을 시작하면 는 새 작업 및 리소스에 대한 읽기 전용 권한을 AWS 추가합니다. 직무 정책의 목록과 설명은 AWS ID 및 액세스 관리 사용 설명서직무에 관한AWS 관리형 정책을 참조하십시오.

계정의 사용자에게 연결할 수 있는 다음과 같은 AWS 관리형 정책은 Amazon DocumentDB 에만 적용됩니다.

  • AmazonDocDBFullAccess - 루트 AWS 계정의 모든 Amazon DocumentDB 리소스에 대한 전체 액세스 권한을 부여합니다.

  • AmazonDocDBReadOnlyAccess – 루트 AWS 계정의 모든 Amazon DocumentDB 리소스에 대한 읽기 전용 액세스 권한을 부여합니다.

  • AmazonDocDBConsoleFullAccess - AWS Management Console를 사용하여 Amazon DocumentDB 및 Amazon DocumentDB 엘라스틱 클러스터 리소스를 관리할 수 있는 전체 액세스를 부여합니다.

  • AmazonDocDBElasticReadOnlyAccess – 루트 AWS 계정에 대한 모든 Amazon DocumentDB 탄력적 클러스터 리소스에 대한 읽기 전용 액세스 권한을 부여합니다.

  • AmazonDocDBElasticFullAccess - 루트 AWS 계정에 대한 모든 Amazon DocumentDB 탄력적 클러스터 리소스에 대한 전체 액세스 권한을 부여합니다.

AmazonDocDBFullAccess

이 정책은 모든 Amazon DocumentDB 작업에 대한 전체 액세스 권한을 허용하는 관리 권한을 보안 주체에게 부여합니다. 해당 정책의 권한은 다음과 같이 그룹화됩니다.

  • Amazon DocumentDB 권한은 모든 Amazon DocumentDB 작업을 허용합니다.

  • 이 정책의 Amazon EC2 권한 중 일부는 API 요청에서 전달된 리소스를 검증하는 데 필요합니다. 이는 Amazon DocumentDB가 클러스터에서 리소스를 성공적으로 사용할 수 있도록 하기 위한 것입니다. 이 정책의 나머지 Amazon EC2 권한은 Amazon DocumentDB가 클러스터에 연결하는 데 필요한 AWS 리소스를 생성하도록 허용합니다.

  • Amazon DocumentDB 권한은 API 호출 중에 요청에서 전달된 리소스를 검증하는 데 사용됩니다. Amazon DocumentDB가 전달된 키를 Amazon DocumentDB 클러스터에서 사용할 수 있도록 하기 위해 필요합니다.

  • CloudWatch Amazon DocumentDB가 로그 전송 대상에 연결할 수 있고 브로커 로그 사용에 유효한지 확인하려면 로그가 필요합니다.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "rds:AddRoleToDBCluster", "rds:AddSourceIdentifierToSubscription", "rds:AddTagsToResource", "rds:ApplyPendingMaintenanceAction", "rds:CopyDBClusterParameterGroup", "rds:CopyDBClusterSnapshot", "rds:CopyDBParameterGroup", "rds:CreateDBCluster", "rds:CreateDBClusterParameterGroup", "rds:CreateDBClusterSnapshot", "rds:CreateDBInstance", "rds:CreateDBParameterGroup", "rds:CreateDBSubnetGroup", "rds:CreateEventSubscription", "rds:DeleteDBCluster", "rds:DeleteDBClusterParameterGroup", "rds:DeleteDBClusterSnapshot", "rds:DeleteDBInstance", "rds:DeleteDBParameterGroup", "rds:DeleteDBSubnetGroup", "rds:DeleteEventSubscription", "rds:DescribeAccountAttributes", "rds:DescribeCertificates", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBClusterParameters", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBLogFiles", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSecurityGroups", "rds:DescribeDBSubnetGroups", "rds:DescribeEngineDefaultClusterParameters", "rds:DescribeEngineDefaultParameters", "rds:DescribeEventCategories", "rds:DescribeEventSubscriptions", "rds:DescribeEvents", "rds:DescribeOptionGroups", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribePendingMaintenanceActions", "rds:DescribeValidDBInstanceModifications", "rds:DownloadDBLogFilePortion", "rds:FailoverDBCluster", "rds:ListTagsForResource", "rds:ModifyDBCluster", "rds:ModifyDBClusterParameterGroup", "rds:ModifyDBClusterSnapshotAttribute", "rds:ModifyDBInstance", "rds:ModifyDBParameterGroup", "rds:ModifyDBSubnetGroup", "rds:ModifyEventSubscription", "rds:PromoteReadReplicaDBCluster", "rds:RebootDBInstance", "rds:RemoveRoleFromDBCluster", "rds:RemoveSourceIdentifierFromSubscription", "rds:RemoveTagsFromResource", "rds:ResetDBClusterParameterGroup", "rds:ResetDBParameterGroup", "rds:RestoreDBClusterFromSnapshot", "rds:RestoreDBClusterToPointInTime" ], "Effect": "Allow", "Resource": [ "*" ] }, { "Action": [ "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "ec2:DescribeAccountAttributes", "ec2:DescribeAvailabilityZones", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcs", "kms:ListAliases", "kms:ListKeyPolicies", "kms:ListKeys", "kms:ListRetirableGrants", "logs:DescribeLogStreams", "logs:GetLogEvents", "sns:ListSubscriptions", "sns:ListTopics", "sns:Publish" ], "Effect": "Allow", "Resource": [ "*" ] }, { "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS", "Condition": { "StringLike": { "iam:AWS ServiceName": "rds.amazonaws.com" } } } ] }

AmazonDocDBReadOnlyAccess

이 정책은 Amazon DocumentDB의 정보를 볼 수 있는 읽기 전용 권한을 사용자에게 부여합니다. 이 정책이 첨부된 보안 주체는 기존 리소스를 업데이트하거나 삭제할 수 없으며 새 Amazon DocumentDB 리소스를 생성할 수도 없습니다. 예를 들어 이러한 권한이 있는 주체는 자신의 계정과 연결된 클러스터 및 구성 목록을 볼 수 있지만 클러스터의 구성이나 설정을 변경할 수는 없습니다. 해당 정책의 권한은 다음과 같이 그룹화됩니다.

  • Amazon DocumentDB 권한을 사용하면 Amazon DocumentDB 리소스를 나열하고, 설명하고, 그에 대한 정보를 얻을 수 있습니다.

  • Amazon EC2 권한은 클러스터와 연결된 Amazon VPC, 서브넷, 보안 그룹 및 ENIs 를 설명하는 데 사용됩니다.

  • Amazon DocumentDB 권한은 클러스터와 연결된 키를 설명하는 데 사용됩니다.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "rds:DescribeAccountAttributes", "rds:DescribeCertificates", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBClusterParameters", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBLogFiles", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSubnetGroups", "rds:DescribeEventCategories", "rds:DescribeEventSubscriptions", "rds:DescribeEvents", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribePendingMaintenanceActions", "rds:DownloadDBLogFilePortion", "rds:ListTagsForResource" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "ec2:DescribeAccountAttributes", "ec2:DescribeAvailabilityZones", "ec2:DescribeInternetGateways", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcs" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "kms:ListKeys", "kms:ListRetirableGrants", "kms:ListAliases", "kms:ListKeyPolicies" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "logs:DescribeLogStreams", "logs:GetLogEvents" ], "Effect": "Allow", "Resource": [ "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*", "arn:aws:logs:*:*:log-group:/aws/docdb/*:log-stream:*" ] } ] }

AmazonDocDBConsoleFullAccess

다음을 위해 를 사용하여 Amazon DocumentDB 리소스를 관리할 AWS Management Console 수 있는 전체 액세스 권한을 부여합니다.

  • 모든 Amazon DocumentDB 및 Amazon DocumentDB 클러스터 작업을 허용할 수 있는 Amazon DocumentDB 권한

  • 이 정책의 Amazon EC2 권한 중 일부는 API 요청에서 전달된 리소스를 검증하는 데 필요합니다. 이는 Amazon DocumentDB가 클러스터에서 리소스를 성공적으로 프로비저닝하고 유지할 수 있도록 하기 위한 것입니다. 이 정책의 나머지 Amazon EC2 권한은 Amazon DocumentDB가 와 같은 클러스터에 연결하는 데 필요한 AWS 리소스를 생성할 수 있도록 허용합니다VPCEndpoint.

  • AWS KMS 권한은 에 API 호출하는 동안 요청에서 전달된 리소스를 검증 AWS KMS 하는 데 사용됩니다. 이는 Amazon DocumentDB가 전달된 키를 사용해 Amazon DocumentDB 엘라스틱 클러스터에서 저장 데이터를 암호화 및 암호 해독할 수 있도록 하기 위해 필요합니다.

  • CloudWatch Amazon DocumentDB가 로그 전송 대상에 연결할 수 있고 로그를 감사하고 프로파일링하는 데 유효한지 확인하려면 로그가 필요합니다.

  • 주어진 암호를 검증하고 이를 사용하여 Amazon DocumentDB 엘라스틱 클러스터의 관리자를 설정하려면 Secrets Manager 권한이 필요합니다.

  • Amazon DocumentDB 클러스터 관리 작업에 Amazon RDS 권한이 필요합니다. 특정 관리 기능의 경우 Amazon DocumentDB는 Amazon 와 공유되는 운영 기술을 사용합니다RDS.

  • SNS 권한을 통해 보안 주체는 Amazon Simple Notification Service(Amazon SNS) 구독 및 주제에 대한 권한을 부여하고 Amazon SNS 메시지를 게시할 수 있습니다.

  • IAM 지표 및 로그 게시에 필요한 서비스 연결 역할을 생성하는 데 권한이 필요합니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DocdbSids", "Effect": "Allow", "Action": [ "docdb-elastic:CreateCluster", "docdb-elastic:UpdateCluster", "docdb-elastic:GetCluster", "docdb-elastic:DeleteCluster", "docdb-elastic:ListClusters", "docdb-elastic:CreateClusterSnapshot", "docdb-elastic:GetClusterSnapshot", "docdb-elastic:DeleteClusterSnapshot", "docdb-elastic:ListClusterSnapshots", "docdb-elastic:RestoreClusterFromSnapshot", "docdb-elastic:TagResource", "docdb-elastic:UntagResource", "docdb-elastic:ListTagsForResource", "docdb-elastic:CopyClusterSnapshot", "docdb-elastic:StartCluster", "docdb-elastic:StopCluster", "rds:AddRoleToDBCluster", "rds:AddSourceIdentifierToSubscription", "rds:AddTagsToResource", "rds:ApplyPendingMaintenanceAction", "rds:CopyDBClusterParameterGroup", "rds:CopyDBClusterSnapshot", "rds:CopyDBParameterGroup", "rds:CreateDBCluster", "rds:CreateDBClusterParameterGroup", "rds:CreateDBClusterSnapshot", "rds:CreateDBInstance", "rds:CreateDBParameterGroup", "rds:CreateDBSubnetGroup", "rds:CreateEventSubscription", "rds:CreateGlobalCluster", "rds:DeleteDBCluster", "rds:DeleteDBClusterParameterGroup", "rds:DeleteDBClusterSnapshot", "rds:DeleteDBInstance", "rds:DeleteDBParameterGroup", "rds:DeleteDBSubnetGroup", "rds:DeleteEventSubscription", "rds:DeleteGlobalCluster", "rds:DescribeAccountAttributes", "rds:DescribeCertificates", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBClusterParameters", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBLogFiles", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSecurityGroups", "rds:DescribeDBSubnetGroups", "rds:DescribeEngineDefaultClusterParameters", "rds:DescribeEngineDefaultParameters", "rds:DescribeEventCategories", "rds:DescribeEventSubscriptions", "rds:DescribeEvents", "rds:DescribeGlobalClusters", "rds:DescribeOptionGroups", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribePendingMaintenanceActions", "rds:DescribeValidDBInstanceModifications", "rds:DownloadDBLogFilePortion", "rds:FailoverDBCluster", "rds:ListTagsForResource", "rds:ModifyDBCluster", "rds:ModifyDBClusterParameterGroup", "rds:ModifyDBClusterSnapshotAttribute", "rds:ModifyDBInstance", "rds:ModifyDBParameterGroup", "rds:ModifyDBSubnetGroup", "rds:ModifyEventSubscription", "rds:ModifyGlobalCluster", "rds:PromoteReadReplicaDBCluster", "rds:RebootDBInstance", "rds:RemoveFromGlobalCluster", "rds:RemoveRoleFromDBCluster", "rds:RemoveSourceIdentifierFromSubscription", "rds:RemoveTagsFromResource", "rds:ResetDBClusterParameterGroup", "rds:ResetDBParameterGroup", "rds:RestoreDBClusterFromSnapshot", "rds:RestoreDBClusterToPointInTime" ], "Resource": [ "*" ] }, { "Sid": "DependencySids", "Effect": "Allow", "Action": [ "iam:GetRole", "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "ec2:AllocateAddress", "ec2:AssignIpv6Addresses", "ec2:AssignPrivateIpAddresses", "ec2:AssociateAddress", "ec2:AssociateRouteTable", "ec2:AssociateSubnetCidrBlock", "ec2:AssociateVpcCidrBlock", "ec2:AttachInternetGateway", "ec2:AttachNetworkInterface", "ec2:CreateCustomerGateway", "ec2:CreateDefaultSubnet", "ec2:CreateDefaultVpc", "ec2:CreateInternetGateway", "ec2:CreateNatGateway", "ec2:CreateNetworkInterface", "ec2:CreateRoute", "ec2:CreateRouteTable", "ec2:CreateSecurityGroup", "ec2:CreateSubnet", "ec2:CreateVpc", "ec2:CreateVpcEndpoint", "ec2:DescribeAccountAttributes", "ec2:DescribeAddresses", "ec2:DescribeAvailabilityZones", "ec2:DescribeCustomerGateways", "ec2:DescribeInstances", "ec2:DescribeNatGateways", "ec2:DescribeNetworkInterfaces", "ec2:DescribePrefixLists", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroupReferences", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ec2:ModifyNetworkInterfaceAttribute", "ec2:ModifySubnetAttribute", "ec2:ModifyVpcAttribute", "ec2:ModifyVpcEndpoint", "kms:DescribeKey", "kms:ListAliases", "kms:ListKeyPolicies", "kms:ListKeys", "kms:ListRetirableGrants", "logs:DescribeLogStreams", "logs:GetLogEvents", "sns:ListSubscriptions", "sns:ListTopics", "sns:Publish" ], "Resource": [ "*" ] }, { "Sid": "DocdbSLRSid", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS", "Condition": { "StringLike": { "iam:AWSServiceName": "rds.amazonaws.com" } } }, { "Sid": "DocdbElasticSLRSid", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic", "Condition": { "StringLike": { "iam:AWSServiceName": "docdb-elastic.amazonaws.com" } } } ] }

AmazonDocDBElasticReadOnlyAccess

이 정책은 Amazon DocumentDB의 엘라스틱 클러스터 정보를 볼 수 있는 읽기 전용 권한을 사용자에게 부여합니다. 이 정책이 첨부된 보안 주체는 기존 리소스를 업데이트하거나 삭제할 수 없으며 새 Amazon DocumentDB 리소스를 생성할 수도 없습니다. 예를 들어 이러한 권한이 있는 주체는 자신의 계정과 연결된 클러스터 및 구성 목록을 볼 수 있지만 클러스터의 구성이나 설정을 변경할 수는 없습니다. 해당 정책의 권한은 다음과 같이 그룹화됩니다.

  • Amazon DocumentDB 엘라스틱 클러스터 권한을 사용하면 Amazon DocumentDB 엘라스틱 클러스터 리소스를 나열하고, 설명하고, 그에 대한 정보를 얻을 수 있습니다.

  • CloudWatch 권한은 서비스 지표를 확인하는 데 사용됩니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "docdb-elastic:ListClusters", "docdb-elastic:GetCluster", "docdb-elastic:ListClusterSnapshots", "docdb-elastic:GetClusterSnapshot", "docdb-elastic:ListTagsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics" ], "Resource": "*" } ] }

AmazonDocDBElasticFullAccess

이 정책은 모든 Amazon DocumentDB 엘라스틱 클러스터의 Amazon DocumentDB 작업에 대한 전체 액세스 권한을 허용하는 관리 권한을 보안 주체에게 부여합니다.

이 정책은 조건 내에서 AWS 태그(https://docs.aws.amazon.com/tag-editor/최신/userguide/tagging.html)를 사용하여 리소스에 대한 액세스 범위를 지정합니다. 암호를 사용하는 경우 태그 키 DocDBElasticFullAccess과 태그 값으로 태그를 지정해야 합니다. 고객 관리형 키를 사용하는 경우 태그 키 DocDBElasticFullAccess과 태그 값으로 태그를 지정해야 합니다.

해당 정책의 권한은 다음과 같이 그룹화됩니다.

  • Amazon DocumentDB 엘라스틱 클러스터 권한은 모든 Amazon DocumentDB 작업을 허용합니다.

  • 이 정책의 Amazon EC2 권한 중 일부는 API 요청에서 전달된 리소스를 검증하는 데 필요합니다. 이는 Amazon DocumentDB가 클러스터에서 리소스를 성공적으로 프로비저닝하고 유지할 수 있도록 하기 위한 것입니다. 이 정책의 나머지 Amazon EC2 권한은 Amazon DocumentDB가 VPC 엔드포인트와 같은 클러스터에 연결하는 데 필요한 AWS 리소스를 생성할 수 있도록 허용합니다.

  • AWS KMS Amazon DocumentDB가 전달된 키를 사용하여 Amazon DocumentDB 탄력적 클러스터 내에서 저장된 데이터를 암호화하고 복호화하려면 권한이 필요합니다.

    참고

    고객 관리형 키에는 키 DocDBElasticFullAccess과 태그 값이 있는 태그가 있어야 합니다.

  • SecretsManager 주어진 보안 암호를 검증하고 이를 사용하여 Amazon DocumentDB 탄력적 클러스터에 대한 관리자 사용자를 설정하는 데 권한이 필요합니다.

    참고

    사용되는 암호에는 키 DocDBElasticFullAccess과 태그 값이 있는 태그가 있어야 합니다.

  • IAM 지표 및 로그 게시에 필요한 서비스 연결 역할을 생성하는 데 권한이 필요합니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DocdbElasticSid", "Effect": "Allow", "Action": [ "docdb-elastic:CreateCluster", "docdb-elastic:UpdateCluster", "docdb-elastic:GetCluster", "docdb-elastic:DeleteCluster", "docdb-elastic:ListClusters", "docdb-elastic:CreateClusterSnapshot", "docdb-elastic:GetClusterSnapshot", "docdb-elastic:DeleteClusterSnapshot", "docdb-elastic:ListClusterSnapshots", "docdb-elastic:RestoreClusterFromSnapshot", "docdb-elastic:TagResource", "docdb-elastic:UntagResource", "docdb-elastic:ListTagsForResource", "docdb-elastic:CopyClusterSnapshot", "docdb-elastic:StartCluster", "docdb-elastic:StopCluster" ], "Resource": [ "*" ] }, { "Sid": "EC2Sid", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:DescribeVpcEndpoints", "ec2:DeleteVpcEndpoints", "ec2:ModifyVpcEndpoint", "ec2:DescribeVpcAttribute", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeAvailabilityZones", "secretsmanager:ListSecrets" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:CalledViaFirst": "docdb-elastic.amazonaws.com" } } }, { "Sid": "KMSSid", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": [ "docdb-elastic.*.amazonaws.com" ], "aws:ResourceTag/DocDBElasticFullAccess": "*" } } }, { "Sid": "KMSGrantSid", "Effect": "Allow", "Action": [ "kms:CreateGrant" ], "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/DocDBElasticFullAccess": "*", "kms:ViaService": [ "docdb-elastic.*.amazonaws.com" ] }, "Bool": { "kms:GrantIsForAWSResource": true } } }, { "Sid": "SecretManagerSid", "Effect": "Allow", "Action": [ "secretsmanager:ListSecretVersionIds", "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:GetResourcePolicy" ], "Resource": "*", "Condition": { "StringLike": { "secretsmanager:ResourceTag/DocDBElasticFullAccess": "*" }, "StringEquals": { "aws:CalledViaFirst": "docdb-elastic.amazonaws.com" } } }, { "Sid": "CloudwatchSid", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics" ], "Resource": [ "*" ] }, { "Sid": "SLRSid", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic", "Condition": { "StringLike": { "iam:AWSServiceName": "docdb-elastic.amazonaws.com" } } } ] }

AmazonDocDB-ElasticServiceRolePolicy

AWS Identity and Access Management 엔터티AmazonDocDBElasticServiceRolePolicy에 연결할 수 없습니다. 이 정책은 Amazon DocumentDB에 사용자를 대신하여 작업을 수행할 수 있도록 하는 서비스 연결 역할에 연결됩니다. 자세한 내용은 탄력적 클러스터에서 서비스 연결 역할 단원을 참조하십시오.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": [ "AWS/DocDB-Elastic" ] } } } ] }

AWS 관리형 정책에 대한 Amazon DocumentDB 업데이트

변경 사항 설명 날짜
AmazonDocDBElasticFullAccess, AmazonDocDBConsoleFullAccess - 변경 시작/중지 클러스터를 추가하고 클러스터 스냅샷 작업을 복사하도록 정책이 업데이트되었습니다. 2/21/2024
AmazonDocDBElasticReadOnlyAccess, AmazonDocDBElasticFullAccess - 변경 cloudwatch:GetMetricData 작업을 추가하기 위해 정책이 업데이트되었습니다. 6/21/2023
AmazonDocDBElasticReadOnlyAccess - 새 정책 Amazon DocumentDB 엘라스틱 클러스터를 위한 새로운 관리형 정책 6/8/2023
AmazonDocDBElasticFullAccess - 새 정책 Amazon DocumentDB 엘라스틱 클러스터를 위한 새로운 관리형 정책 6/5/2023
AmazonDocDB-ElasticServiceRolePolicy - 새 정책 Amazon DocumentDB는 Amazon DocumentDB 탄력적 클러스터에 대한 새 AWS ServiceRoleForDocDB 탄력적 서비스 연결 역할을 생성합니다. 11/30/2022
AmazonDocDBConsoleFullAccess - 변경 사항 Amazon DocumentDB 글로벌 및 엘라스틱 클러스터 권한을 추가하도록 정책이 업데이트되었습니다. 11/30/2022
AmazonDocDBConsoleFullAccess, AmazonDocDBFullAccess, AmazonDocDBReadOnlyAccess - 새 정책 서비스 시작 1/19/2017