Permissões necessárias para usar o console do Amazon DocumentDB Exemplos de política gerenciada pelo cliente

Usando políticas baseadas em identidade (IAMpolíticas) para o Amazon DocumentDB

Importante

Para determinados recursos de gerenciamento, o Amazon DocumentDB usa tecnologia operacional que é compartilhada com a Amazon. RDS O console do Amazon DocumentDB AWS CLI, e as API chamadas são registradas como chamadas feitas para a Amazon. RDS API

Recomendamos analisar primeiro os tópicos introdutórios que explicam os conceitos básicos e as opções disponíveis para gerenciar o acesso aos recursos do Amazon DocumentDB. Para obter mais informações, consulte Gerenciar permissões de acesso aos recursos do Amazon DocumentDB.

Este tópico fornece exemplos de políticas baseadas em identidade em que um administrador de conta pode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e funções).

A seguir há um exemplo de uma política do IAM.



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateDBInstanceOnly",
            "Effect": "Allow",
            "Action": [
                "rds:CreateDBInstance"
            ],
            "Resource": [
                "arn:aws:rds:*:123456789012:db:test*",
                "arn:aws:rds:*:123456789012:pg:cluster-pg:default*",
                "arn:aws:rds:*:123456789012:subgrp:default"
            ]
        }
    ]
}

A política inclui uma única instrução que especifica as seguintes permissões para o usuário do IAM:

A política permite que o IAM usuário crie uma instância usando a reateDBInstance ação C (isso também se aplica à create-db-instance AWS CLI operação e à AWS Management Console).
O elemento Resource especifica que o usuário pode realizar ações em ou com recursos. Você especifica recursos usando um Amazon Resource Name (ARN). Isso ARN inclui o nome do serviço ao qual o recurso pertence (rds), o Região da AWS (*indica qualquer região neste exemplo), o número da conta do usuário (123456789012é a ID do usuário neste exemplo) e o tipo de recurso.

O elemento Resource neste exemplo especifica as restrições da política a seguir em recursos para o usuário:
- O identificador de instância para a nova instância deve começar com test (por exemplo, testCustomerData1, test-region2-data).
- O grupo de parâmetros de cluster para a nova instância deve começar com default.
- O grupo de sub-redes para a nova instância deve ser o grupo de sub-redes default.

A política não especifica o elemento Principal porque, em uma política baseada em identidade, a entidade principal que obtém as permissões não é especificada. Quando você anexar uma política um usuário, o usuário será a entidade principal implícita. Quando você anexa uma política de permissões a uma função do IAM, o principal identificado na política de confiança da função obtém as permissões.

Para obter uma tabela mostrando todas as API operações do Amazon DocumentDB e os recursos aos quais elas se aplicam, consulte. APIPermissões do Amazon DocumentDB: referência de ações, recursos e condições

Permissões necessárias para usar o console do Amazon DocumentDB

Para um usuário trabalhar com o console Amazon DocumentDB, esse usuário deve ter um conjunto de permissões mínimo. Essas permissões permitem que o usuário descreva seus recursos do Amazon DocumentDB Conta da AWS e forneça outras informações relacionadas, incluindo informações de EC2 segurança e rede da Amazon.

Se você criar uma política do IAM que seja mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para os usuários com essa política do IAM. Para garantir que esses usuários ainda consigam usar o console Amazon DocumentDB, associe também a política gerenciada AmazonDocDBConsoleFullAccess ao usuário, conforme descrito em AWS políticas gerenciadas para o Amazon DocumentDB.

Você não precisa permitir permissões mínimas de console para usuários que estão fazendo chamadas somente para o Amazon DocumentDB AWS CLI ou para o Amazon DocumentDBAPI.

Exemplos de política gerenciada pelo cliente

Nesta seção, você pode encontrar exemplos de políticas de usuário que concedem permissões para várias ações do Amazon DocumentDB. Essas políticas funcionam quando você está usando as API ações do Amazon DocumentDB ou o. AWS SDKs AWS CLI Ao usar o console, você precisa conceder permissões adicionais específicas ao console, o que é abordado em Permissões necessárias para usar o console do Amazon DocumentDB.

Para determinados recursos de gerenciamento, o Amazon DocumentDB usa tecnologia operacional que é compartilhada com o Amazon Relational Database Service (Amazon) e o RDS Amazon Neptune.

nota

Todos os exemplos usam a região Leste dos EUA (Norte da Virgínia) (us-east-1) e contêm uma conta fictícia. IDs

Exemplos

Exemplo 1: permitir que um usuário execute qualquer ação de descrição em qualquer recurso do Amazon DocumentDB
Exemplo 2: impedir que um usuário exclua uma instância
Exemplo 3: impedir que um usuário crie um cluster, a menos que a criptografia de armazenamento esteja ativada

Exemplo 1: permitir que um usuário execute qualquer ação de descrição em qualquer recurso do Amazon DocumentDB

A seguinte política de permissões concede permissões a um usuário para executar todas as ações que começam com Describe. Essas ações mostram informações sobre um recurso do Amazon DocumentDB, como uma instância. O caractere curinga (*) no elemento Resource indica que as ações são permitidas para todos os recursos do Amazon DocumentDB que pertencem à conta.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"AllowRDSDescribe",
         "Effect":"Allow",
         "Action":"rds:Describe*",
         "Resource":"*"
      }
   ]
}

Exemplo 2: impedir que um usuário exclua uma instância

A seguinte política de permissões concede permissões para impedir que um usuário exclua uma instância específica. Por exemplo, você pode querer negar a capacidade de excluir suas instâncias de produção a qualquer usuário que não seja um administrador.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"DenyDelete1",
         "Effect":"Deny",
         "Action":"rds:DeleteDBInstance",
         "Resource":"arn:aws:rds:us-east-1:123456789012:db:my-db-instance"
      }
   ]
}

Exemplo 3: impedir que um usuário crie um cluster, a menos que a criptografia de armazenamento esteja ativada

A política de permissões a seguir nega a permissão de um usuário criar um cluster Amazon DocumentDB, a menos que a criptografia de armazenamento esteja habilitada.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "PreventUnencryptedDocumentDB",
         "Effect": "Deny",
         "Action": "RDS:CreateDBCluster",
         "Condition": {
         "Bool": {
         "rds:StorageEncrypted": "false"
      },
         "StringEquals": {
         "rds:DatabaseEngine": "docdb"
         }
      },
      "Resource": "*"
      }
   ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciar permissões de acesso aos recursos do Amazon DocumentDB

AWS políticas gerenciadas para o Amazon DocumentDB