As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Gerenciar permissões de acesso aos recursos do Amazon DocumentDB
Cada AWS recurso é de propriedade de um Conta da AWS, e as permissões para criar ou acessar os recursos são regidas por políticas de permissões. Um administrador da conta pode anexar políticas de permissões às identidades do IAM (ou seja, usuários, grupos e funções), e alguns serviços (como AWS Lambda) também oferecem suporte para anexar políticas de permissões aos recursos.
**nota**
O *administrador de uma conta* (ou o usuário administrador) é um usuário com permissões de administrador. Para obter mais informações, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
**Topics**
+ [Recursos e operações do Amazon DocumentDB](#CreatingIAMPolicies-RDS)
+ [Informações sobre propriedade de recursos](#UsingWithRDS.IAM.AccessControl.ResourceOwner)
+ [Gerenciar acesso aos recursos da](#UsingWithRDS.IAM.AccessControl.ManagingAccess)
+ [Especificar elementos da política: ações, efeitos, recursos e entidades principais](#SpecifyingIAMPolicyActions-RDS)
+ [Especificar condições em uma política](#SpecifyingIAMPolicyConditions-RDS)
## Recursos e operações do Amazon DocumentDB
No Amazon DocumentDB, o principal recurso é um *cluster*. O Amazon DocumentDB oferece suporte a outros recursos que podem ser usados com o recurso principal, como *instâncias*, grupos de *parâmetros*, e *assinaturas de eventos*. Esses recursos são chamados de *sub-recursos*.
Esses recursos e sub-recursos têm nomes de recursos da Amazon (ARNs) exclusivos associados a eles, conforme mostrado na tabela a seguir.
| **Tipo de recurso** | **Formato de Nome de região da Amazon (ARN)** |
| --- | --- |
| Cluster | `arn:aws:rds:region:account-id:cluster:db-cluster-name` |
| Grupo de parâmetros do cluster | `arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name` |
| Snapshot de cluster | `arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name` |
| Instância | `arn:aws:rds:region:account-id:db:db-instance-name` |
| Grupo de segurança | `arn:aws:rds:region:account-id:secgrp:security-group-name` |
| Grupo de sub-redes | `arn:aws:rds:region:account-id:subgrp:subnet-group-name` |
O Amazon DocumentDB fornece um conjunto de operações para trabalhar com recursos do Amazon DocumentDB. Para obter uma lista das operações disponíveis, consulte [Ações](https://docs.aws.amazon.com/documentdb/latest/developerguide/API_Operations.html).
## Informações sobre propriedade de recursos
*O proprietário de um recurso* é Conta da AWS aquele que criou um recurso. Ou seja, o proprietário Conta da AWS do recurso é a *entidade principal* (a conta raiz, um usuário do IAM ou uma função do IAM) que autentica a solicitação que cria o recurso. Os seguintes exemplos mostram como isso funciona:
+ Se você usar as credenciais da sua conta raiz Conta da AWS para criar um recurso do Amazon DocumentDB, como uma instância, você é Conta da AWS o proprietário do recurso Amazon DocumentDB.
+ Se você criar um usuário do IAM em seu Conta da AWS e conceder permissões para criar recursos do Amazon DocumentDB para esse usuário, o usuário poderá criar recursos do Amazon DocumentDB. No entanto, você Conta da AWS, ao qual o usuário pertence, possui os recursos do Amazon DocumentDB.
+ Se você criar uma função do IAM Conta da AWS com permissões para criar recursos do Amazon DocumentDB, qualquer pessoa que possa assumir a função poderá criar recursos do Amazon DocumentDB. Você Conta da AWS, ao qual a função pertence, possui os recursos do Amazon DocumentDB.
## Gerenciar acesso aos recursos da
Uma *política de permissões* descreve quem tem acesso a quê. A seção a seguir explica as opções disponíveis para a criação de políticas de permissões.
**nota**
Esta seção discute o uso do IAM no contexto do Amazon DocumentDB. Não são fornecidas informações detalhadas sobre o serviço IAM. Para obter a documentação completa do IAM, consulte [O que é o IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) no *Guia do usuário do IAM*. Para obter mais informações sobre a sintaxe e as descrições da política do IAM, consulte a [Referência de políticas do AWSIAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) no *Guia do usuário do IAM*.
As políticas anexadas a uma identidade do IAM são chamadas de políticas *baseadas em identidade* (políticas do IAM). As políticas anexadas a um recurso são chamadas de políticas *baseadas em recursos*. O Amazon DocumentDB oferece suporte apenas a políticas baseadas em identidade (políticas do IAM).
**Topics**
+ [Políticas baseadas em identidade (políticas do IAM)](#UsingWithRDS.IAM.AccessControl.ManagingAccess.IdentityBased)
+ [Políticas baseadas em recursos](#UsingWithRDS.IAM.AccessControl.ManagingAccess.ResourceBased)
### Políticas baseadas em identidade (políticas do IAM)
É possível anexar políticas a identidades do IAM. Por exemplo, você pode fazer o seguinte:
+ **Anexar uma política de permissões a um usuário ou a um grupo em sua conta** – um administrador da conta pode usar uma política de permissões associada a um determinado usuário a fim de conceder permissões para que o usuário crie um recurso do Amazon DocumentDB, como uma instância.
+ **Anexar uma política de permissões a uma função**: você pode anexar uma política de permissões baseada em identidade a um perfil do IAM para conceder permissões entre contas. Por exemplo, um administrador pode criar uma função para conceder permissões entre contas a outra pessoa Conta da AWS ou a um AWS serviço da seguinte forma:
1. Um administrador da Conta A cria uma função do IAM e anexa uma política de permissões à função que concede permissões em recursos da Conta A.
1. Um administrador da Conta A anexa uma política de confiança à função identificando a Conta B como a entidade principal, que pode assumir a função.
1. O administrador da Conta B pode então delegar permissões para assumir a função a qualquer usuário na Conta B. Isso permite que os usuários da Conta B criem ou acessem recursos na Conta A. O principal na política de confiança também pode ser um diretor de AWS serviço se você quiser conceder permissões a um AWS serviço para assumir a função.
Para obter mais informações sobre o uso do IAM para delegar permissões, consulte [Gerenciamento de acesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) no *Guia do usuário do IAM*.
Veja a seguir um exemplo de política que permite ao usuário com o ID `123456789012` para criar instâncias para o seu Conta da AWS. A nova instância deve usar um grupo de opções e um parameter group que começa com `default` e deve usar o grupo de sub-redes `default`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateDBInstanceOnly",
"Effect": "Allow",
"Action": [
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:rds:*:123456789012:db:test*",
"arn:aws:rds:*:123456789012:pg:cluster-pg:default*",
"arn:aws:rds:*:123456789012:subgrp:default"
]
}
]
}
```
------
Para obter mais informações sobre o uso de políticas baseadas em identidade com o Amazon DocumentDB, consulte [Usar políticas baseadas em identidade (políticas do IAM) para o Amazon DocumentDB](UsingWithRDS.IAM.AccessControl.IdentityBased.md). Para obter mais informações sobre usuários, grupos, funções e permissões, consulte [Identidades (usuários, grupos e funções)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) no *Guia do usuário do IAM*.
### Políticas baseadas em recursos
Outros serviços, como o Amazon Simple Storage Service (Amazon S3), são compatíveis com políticas de permissões baseadas em recursos. Por exemplo, você pode anexar uma política a um bucket do Amazon S3 para gerenciar permissões de acesso a esse bucket. O Amazon DocumentDB não oferece suporte a políticas baseadas em recursos.
## Especificar elementos da política: ações, efeitos, recursos e entidades principais
Para cada recurso do Amazon DocumentDB, (consulte [Recursos e operações do Amazon DocumentDB](#CreatingIAMPolicies-RDS)), o serviço define um conjunto de operações da API. Para obter mais informações, consulte [Ações](https://docs.aws.amazon.com/redshift/latest/APIReference/API_Operations.html). Para conceder permissões para essas operações de API, o Amazon DocumentDB define um conjunto de ações que você pode especificar em uma política. A execução de uma operação de API pode exigir permissões para mais de uma ação.
Estes são os elementos de política básicos:
+ **Recurso**: em uma política, você usa um Amazon Resource Name (ARN – Nome do recurso da Amazon) para identificar o recurso a que a política se aplica.
+ **Ação**: você usa palavras-chave de ação para identificar operações de recursos que deseja permitir ou negar. Por exemplo, a permissão `rds:DescribeDBInstances` permite que o usuário execute a operação `DescribeDBInstances`.
+ **Efeito**: você especifica o efeito quando o usuário solicita a ação específica, que pode ser permitir ou negar. Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar explicitamente o acesso a um recurso, para ter certeza de que um usuário não consiga acessá-lo, mesmo que uma política diferente conceda acesso.
+ **Entidade principal**: em políticas baseadas em identidade (políticas do IAM), o usuário ao qual a política é anexada é a entidade principal implícita. Para as políticas baseadas em recursos, você especifica quais usuários, contas, serviços ou outras entidades deseja que recebam permissões (isso se aplica somente a políticas baseadas em recursos). O Amazon DocumentDB não oferece suporte a políticas baseadas em recursos.
Para saber mais sobre a sintaxe e as descrições da política do IAM, consulte a [Referência de política do AWS IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) no *Guia do usuário do IAM*.
Para obter uma tabela que mostra todas as ações da API do Amazon DocumentDB e os recursos aos quais se aplicam, consulte [Permissões da API do Amazon DocumentDB: referência de ações, recursos e condições](UsingWithRDS.IAM.ResourcePermissions.md).
## Especificar condições em uma política
Ao conceder permissões, você pode usar a linguagem da política do IAM para especificar as condições de quando uma política deverá entrar em vigor. Por exemplo, é recomendável aplicar uma política somente após uma data específica. Para obter mais informações sobre como especificar condições em uma linguagem de política, consulte [Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) no *Guia do usuário do IAM*.
Para expressar condições, você usa chaves de condição predefinidas. O Amazon DocumentDB não tem chaves de contexto de serviço específicas que possam ser usadas em uma política do IAM;. Para obter uma lista das chaves de contexto de condição global que estão disponíveis para todos os serviços, consulte [Chaves disponíveis para condições](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) no *Guia do usuário do IAM*.