AWS políticas gerenciadas para Amazon DocumentDB - Amazon DocumentDB

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS políticas gerenciadas para Amazon DocumentDB

Para adicionar permissões a usuários, grupos e funções, é mais fácil usar políticas AWS gerenciadas do que escrever políticas você mesmo. É preciso tempo e experiência para criar políticas gerenciadas pelo IAM cliente que forneçam à sua equipe somente as permissões necessárias. Para começar rapidamente, você pode usar nossas políticas AWS gerenciadas. Essas políticas abrangem casos de uso comuns e estão disponíveis em sua AWS conta. Para obter mais informações sobre políticas AWS gerenciadas, consulte políticas AWS gerenciadas no Guia do Usuário do AWS Identity and Access Management.

AWS os serviços mantêm e atualizam as políticas AWS gerenciadas. Você não pode alterar as permissões nas políticas AWS gerenciadas. Ocasionalmente, os serviços adicionam permissões adicionais a uma política AWS gerenciada para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política AWS gerenciada quando um novo recurso é lançado ou quando novas operações são disponibilizadas. Os serviços não removem as permissões de uma política AWS gerenciada, portanto, as atualizações de políticas não violarão suas permissões existentes.

Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política ViewOnlyAccess AWS gerenciada fornece acesso somente de leitura a vários AWS serviços e recursos. Quando um serviço lança um novo recurso, AWS adiciona permissões somente de leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de funções de trabalho, consulte AWS Políticas gerenciadas para funções de trabalho no AWS Guia do usuário do IAM.

As seguintes políticas AWS gerenciadas, que você pode associar aos usuários em sua conta, são específicas do Amazon DocumentDB:

  • AmazonDocDBFullAccess— Concede acesso total a todos os recursos do Amazon DocumentDB para a conta raiz AWS .

  • AmazonDocDBReadOnlyAccess— Concede acesso somente de leitura a todos os recursos do Amazon DocumentDB para a conta raiz. AWS

  • AmazonDocDBConsoleFullAccess – Concede acesso total para gerenciar os recursos de cluster elástico do Amazon DocumentDB e do Amazon DocumentDB usando o AWS Management Console.

  • AmazonDocDBElasticReadOnlyAccess— Concede acesso somente de leitura a todos os recursos de cluster elástico do Amazon DocumentDB para a conta raiz. AWS

  • AmazonDocDBElasticFullAccess— Concede acesso total a todos os recursos de cluster elástico do Amazon DocumentDB para a conta raiz AWS .

AmazonDocDBFullAccess

Essa política concede permissões administrativas que permitem que a entidade principal tenha acesso total a todas as ações do Amazon DocumentDB. As permissões nessa política são agrupadas da seguinte forma:

  • As permissões do Amazon DocumentDB permitem todas as ações do Amazon DocumentDB.

  • Algumas das EC2 permissões da Amazon nesta política são necessárias para validar os recursos passados em uma API solicitação. Isso serve para garantir que o Amazon DocumentDB seja capaz de usar adequadamente os recursos com um cluster. O restante das EC2 permissões da Amazon nesta política permitem que o Amazon DocumentDB crie AWS os recursos necessários para possibilitar a conexão com seus clusters.

  • As permissões do Amazon DocumentDB são usadas durante as API chamadas para validar os recursos passados em uma solicitação. Elas são necessárias para que o Amazon DocumentDB consiga usar a chave transmitida com o cluster do Amazon DocumentDB.

  • Os CloudWatch registros são necessários para que o Amazon DocumentDB possa garantir que os destinos de entrega de logs sejam acessíveis e que sejam válidos para uso do log do agente.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "rds:AddRoleToDBCluster", "rds:AddSourceIdentifierToSubscription", "rds:AddTagsToResource", "rds:ApplyPendingMaintenanceAction", "rds:CopyDBClusterParameterGroup", "rds:CopyDBClusterSnapshot", "rds:CopyDBParameterGroup", "rds:CreateDBCluster", "rds:CreateDBClusterParameterGroup", "rds:CreateDBClusterSnapshot", "rds:CreateDBInstance", "rds:CreateDBParameterGroup", "rds:CreateDBSubnetGroup", "rds:CreateEventSubscription", "rds:DeleteDBCluster", "rds:DeleteDBClusterParameterGroup", "rds:DeleteDBClusterSnapshot", "rds:DeleteDBInstance", "rds:DeleteDBParameterGroup", "rds:DeleteDBSubnetGroup", "rds:DeleteEventSubscription", "rds:DescribeAccountAttributes", "rds:DescribeCertificates", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBClusterParameters", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBLogFiles", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSecurityGroups", "rds:DescribeDBSubnetGroups", "rds:DescribeEngineDefaultClusterParameters", "rds:DescribeEngineDefaultParameters", "rds:DescribeEventCategories", "rds:DescribeEventSubscriptions", "rds:DescribeEvents", "rds:DescribeOptionGroups", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribePendingMaintenanceActions", "rds:DescribeValidDBInstanceModifications", "rds:DownloadDBLogFilePortion", "rds:FailoverDBCluster", "rds:ListTagsForResource", "rds:ModifyDBCluster", "rds:ModifyDBClusterParameterGroup", "rds:ModifyDBClusterSnapshotAttribute", "rds:ModifyDBInstance", "rds:ModifyDBParameterGroup", "rds:ModifyDBSubnetGroup", "rds:ModifyEventSubscription", "rds:PromoteReadReplicaDBCluster", "rds:RebootDBInstance", "rds:RemoveRoleFromDBCluster", "rds:RemoveSourceIdentifierFromSubscription", "rds:RemoveTagsFromResource", "rds:ResetDBClusterParameterGroup", "rds:ResetDBParameterGroup", "rds:RestoreDBClusterFromSnapshot", "rds:RestoreDBClusterToPointInTime" ], "Effect": "Allow", "Resource": [ "*" ] }, { "Action": [ "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "ec2:DescribeAccountAttributes", "ec2:DescribeAvailabilityZones", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcs", "kms:ListAliases", "kms:ListKeyPolicies", "kms:ListKeys", "kms:ListRetirableGrants", "logs:DescribeLogStreams", "logs:GetLogEvents", "sns:ListSubscriptions", "sns:ListTopics", "sns:Publish" ], "Effect": "Allow", "Resource": [ "*" ] }, { "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS", "Condition": { "StringLike": { "iam:AWS ServiceName": "rds.amazonaws.com" } } } ] }

AmazonDocDBReadOnlyAccess

Essa política concede permissões de acesso somente leitura que permitem que os usuários visualizem informações no Amazon DocumentDB. As entidades principais com essa política anexada não podem fazer nenhuma atualização ou excluir recursos existentes, nem criar novos recursos do Amazon DocumentDB. Por exemplo, entidades principais com essas permissões podem visualizar a lista de clusters e configurações associadas à conta, mas não podem alterar a configuração ou as definições de nenhum cluster. As permissões nessa política são agrupadas da seguinte forma:

  • As permissões do Amazon DocumentDB permitem que você liste os recursos do Amazon DocumentDB, descreva e obtenha informações sobre eles.

  • As EC2 permissões da Amazon são usadas para descrever a AmazonVPC, sub-redes, grupos de segurança e ENIs que estão associados a um cluster.

  • A permissão do Amazon DocumentDB é usada para descrever a chave associada ao cluster.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "rds:DescribeAccountAttributes", "rds:DescribeCertificates", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBClusterParameters", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBLogFiles", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSubnetGroups", "rds:DescribeEventCategories", "rds:DescribeEventSubscriptions", "rds:DescribeEvents", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribePendingMaintenanceActions", "rds:DownloadDBLogFilePortion", "rds:ListTagsForResource" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "ec2:DescribeAccountAttributes", "ec2:DescribeAvailabilityZones", "ec2:DescribeInternetGateways", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcs" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "kms:ListKeys", "kms:ListRetirableGrants", "kms:ListAliases", "kms:ListKeyPolicies" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "logs:DescribeLogStreams", "logs:GetLogEvents" ], "Effect": "Allow", "Resource": [ "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*", "arn:aws:logs:*:*:log-group:/aws/docdb/*:log-stream:*" ] } ] }

AmazonDocDBConsoleFullAccess

Concede acesso total para gerenciar os recursos do Amazon DocumentDB usando o seguinte AWS Management Console :

  • As permissões do Amazon DocumentDB permitem todas as ações de cluster do Amazon DocumentDB e do Amazon DocumentDB.

  • Algumas das EC2 permissões da Amazon nesta política são necessárias para validar os recursos passados em uma API solicitação. Isso serve para garantir que o Amazon DocumentDB seja capaz de usar adequadamente os recursos para provisionar e manter o cluster. O restante das EC2 permissões da Amazon nesta política permitem que o Amazon DocumentDB crie AWS os recursos necessários para possibilitar a conexão com seus clusters, como. VPCEndpoint

  • AWS KMS as permissões são usadas durante API as chamadas AWS KMS para validar os recursos passados em uma solicitação. Elas são necessárias para que o Amazon DocumentDB consiga usar a chave transmitida para criptografar e descriptografar os dados em repouso com o cluster do Amazon DocumentDB.

  • Os CloudWatch registros são necessários para que o Amazon DocumentDB possa garantir que os destinos de entrega de logs sejam acessíveis e que sejam válidos para auditoria e definição de perfil do uso de logs.

  • As permissões do Secrets Manager são necessárias para validar determinado segredo e usá-lo para configurar o usuário administrador para clusters elásticos do Amazon DocumentDB.

  • RDSAs permissões da Amazon são necessárias para ações de gerenciamento de clusters do Amazon DocumentDB. Para determinados recursos de gerenciamento, o Amazon DocumentDB usa tecnologia operacional que é compartilhada com a Amazon. RDS

  • SNSas permissões permitem que os diretores acessem assinaturas e tópicos do Amazon Simple Notification Service (AmazonSNS) e publiquem mensagens da Amazon. SNS

  • IAMsão necessárias permissões para criar as funções vinculadas ao serviço necessárias para a publicação de métricas e registros.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DocdbSids", "Effect": "Allow", "Action": [ "docdb-elastic:CreateCluster", "docdb-elastic:UpdateCluster", "docdb-elastic:GetCluster", "docdb-elastic:DeleteCluster", "docdb-elastic:ListClusters", "docdb-elastic:CreateClusterSnapshot", "docdb-elastic:GetClusterSnapshot", "docdb-elastic:DeleteClusterSnapshot", "docdb-elastic:ListClusterSnapshots", "docdb-elastic:RestoreClusterFromSnapshot", "docdb-elastic:TagResource", "docdb-elastic:UntagResource", "docdb-elastic:ListTagsForResource", "docdb-elastic:CopyClusterSnapshot", "docdb-elastic:StartCluster", "docdb-elastic:StopCluster", "rds:AddRoleToDBCluster", "rds:AddSourceIdentifierToSubscription", "rds:AddTagsToResource", "rds:ApplyPendingMaintenanceAction", "rds:CopyDBClusterParameterGroup", "rds:CopyDBClusterSnapshot", "rds:CopyDBParameterGroup", "rds:CreateDBCluster", "rds:CreateDBClusterParameterGroup", "rds:CreateDBClusterSnapshot", "rds:CreateDBInstance", "rds:CreateDBParameterGroup", "rds:CreateDBSubnetGroup", "rds:CreateEventSubscription", "rds:CreateGlobalCluster", "rds:DeleteDBCluster", "rds:DeleteDBClusterParameterGroup", "rds:DeleteDBClusterSnapshot", "rds:DeleteDBInstance", "rds:DeleteDBParameterGroup", "rds:DeleteDBSubnetGroup", "rds:DeleteEventSubscription", "rds:DeleteGlobalCluster", "rds:DescribeAccountAttributes", "rds:DescribeCertificates", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBClusterParameters", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBLogFiles", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSecurityGroups", "rds:DescribeDBSubnetGroups", "rds:DescribeEngineDefaultClusterParameters", "rds:DescribeEngineDefaultParameters", "rds:DescribeEventCategories", "rds:DescribeEventSubscriptions", "rds:DescribeEvents", "rds:DescribeGlobalClusters", "rds:DescribeOptionGroups", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribePendingMaintenanceActions", "rds:DescribeValidDBInstanceModifications", "rds:DownloadDBLogFilePortion", "rds:FailoverDBCluster", "rds:ListTagsForResource", "rds:ModifyDBCluster", "rds:ModifyDBClusterParameterGroup", "rds:ModifyDBClusterSnapshotAttribute", "rds:ModifyDBInstance", "rds:ModifyDBParameterGroup", "rds:ModifyDBSubnetGroup", "rds:ModifyEventSubscription", "rds:ModifyGlobalCluster", "rds:PromoteReadReplicaDBCluster", "rds:RebootDBInstance", "rds:RemoveFromGlobalCluster", "rds:RemoveRoleFromDBCluster", "rds:RemoveSourceIdentifierFromSubscription", "rds:RemoveTagsFromResource", "rds:ResetDBClusterParameterGroup", "rds:ResetDBParameterGroup", "rds:RestoreDBClusterFromSnapshot", "rds:RestoreDBClusterToPointInTime" ], "Resource": [ "*" ] }, { "Sid": "DependencySids", "Effect": "Allow", "Action": [ "iam:GetRole", "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "ec2:AllocateAddress", "ec2:AssignIpv6Addresses", "ec2:AssignPrivateIpAddresses", "ec2:AssociateAddress", "ec2:AssociateRouteTable", "ec2:AssociateSubnetCidrBlock", "ec2:AssociateVpcCidrBlock", "ec2:AttachInternetGateway", "ec2:AttachNetworkInterface", "ec2:CreateCustomerGateway", "ec2:CreateDefaultSubnet", "ec2:CreateDefaultVpc", "ec2:CreateInternetGateway", "ec2:CreateNatGateway", "ec2:CreateNetworkInterface", "ec2:CreateRoute", "ec2:CreateRouteTable", "ec2:CreateSecurityGroup", "ec2:CreateSubnet", "ec2:CreateVpc", "ec2:CreateVpcEndpoint", "ec2:DescribeAccountAttributes", "ec2:DescribeAddresses", "ec2:DescribeAvailabilityZones", "ec2:DescribeCustomerGateways", "ec2:DescribeInstances", "ec2:DescribeNatGateways", "ec2:DescribeNetworkInterfaces", "ec2:DescribePrefixLists", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroupReferences", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ec2:ModifyNetworkInterfaceAttribute", "ec2:ModifySubnetAttribute", "ec2:ModifyVpcAttribute", "ec2:ModifyVpcEndpoint", "kms:DescribeKey", "kms:ListAliases", "kms:ListKeyPolicies", "kms:ListKeys", "kms:ListRetirableGrants", "logs:DescribeLogStreams", "logs:GetLogEvents", "sns:ListSubscriptions", "sns:ListTopics", "sns:Publish" ], "Resource": [ "*" ] }, { "Sid": "DocdbSLRSid", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS", "Condition": { "StringLike": { "iam:AWSServiceName": "rds.amazonaws.com" } } }, { "Sid": "DocdbElasticSLRSid", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic", "Condition": { "StringLike": { "iam:AWSServiceName": "docdb-elastic.amazonaws.com" } } } ] }

AmazonDocDBElasticReadOnlyAccess

Essa política concede permissões de acesso somente para leitura que oferecem acesso à informação do cluster elástico no Amazon DocumentDB. As entidades principais com essa política anexada não podem fazer nenhuma atualização ou excluir recursos existentes, nem criar novos recursos do Amazon DocumentDB. Por exemplo, entidades principais com essas permissões podem visualizar a lista de clusters e configurações associadas à conta, mas não podem alterar a configuração ou as definições de nenhum cluster. As permissões nessa política são agrupadas da seguinte forma:

  • As permissões de cluster elástico do Amazon DocumentDB permitem que você liste os recursos do cluster elástico Amazon DocumentDB, descreva-os e obtenha informações sobre eles.

  • CloudWatch as permissões são usadas para verificar as métricas do serviço.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "docdb-elastic:ListClusters", "docdb-elastic:GetCluster", "docdb-elastic:ListClusterSnapshots", "docdb-elastic:GetClusterSnapshot", "docdb-elastic:ListTagsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics" ], "Resource": "*" } ] }

AmazonDocDBElasticFullAccess

Essa política concede permissões administrativas que permitem que a entidade principal tenha acesso total a todas as ações do Amazon DocumentDB para cluster elástico do Amazon DocumentDB.

Essa política usa AWS tags (https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) dentro de condições para definir o acesso aos recursos. Se você estiver usando um segredo, ele deverá ser marcado com uma chave de tag DocDBElasticFullAccess e um valor de tag. Se você estiver usando uma chave gerenciada pelo cliente, ela deverá ser marcada com uma chave de tag DocDBElasticFullAccess e um valor de tag.

As permissões nessa política são agrupadas da seguinte forma:

  • As permissões de cluster elástico do Amazon DocumentDB permitem todas as ações do Amazon DocumentDB.

  • Algumas das EC2 permissões da Amazon nesta política são necessárias para validar os recursos passados em uma API solicitação. Isso serve para garantir que o Amazon DocumentDB seja capaz de usar adequadamente os recursos para provisionar e manter o cluster. O restante das EC2 permissões da Amazon nesta política permitem que o Amazon DocumentDB crie AWS os recursos necessários para possibilitar que você se conecte aos seus clusters como um VPC endpoint.

  • AWS KMS são necessárias permissões para que o Amazon DocumentDB possa usar a chave passada para criptografar e descriptografar os dados em repouso no cluster elástico do Amazon DocumentDB.

    nota

    A chave gerenciada pelo cliente deve ter uma tag com chave DocDBElasticFullAccess e um valor de tag.

  • SecretsManager são necessárias permissões para validar um determinado segredo e usá-lo para configurar o usuário administrador para clusters elásticos Amazon DocumentDB.

    nota

    O segredo usado deve ter uma tag com chave DocDBElasticFullAccess e um valor de tag.

  • IAMsão necessárias permissões para criar as funções vinculadas ao serviço necessárias para a publicação de métricas e registros.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DocdbElasticSid", "Effect": "Allow", "Action": [ "docdb-elastic:CreateCluster", "docdb-elastic:UpdateCluster", "docdb-elastic:GetCluster", "docdb-elastic:DeleteCluster", "docdb-elastic:ListClusters", "docdb-elastic:CreateClusterSnapshot", "docdb-elastic:GetClusterSnapshot", "docdb-elastic:DeleteClusterSnapshot", "docdb-elastic:ListClusterSnapshots", "docdb-elastic:RestoreClusterFromSnapshot", "docdb-elastic:TagResource", "docdb-elastic:UntagResource", "docdb-elastic:ListTagsForResource", "docdb-elastic:CopyClusterSnapshot", "docdb-elastic:StartCluster", "docdb-elastic:StopCluster" ], "Resource": [ "*" ] }, { "Sid": "EC2Sid", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:DescribeVpcEndpoints", "ec2:DeleteVpcEndpoints", "ec2:ModifyVpcEndpoint", "ec2:DescribeVpcAttribute", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeAvailabilityZones", "secretsmanager:ListSecrets" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:CalledViaFirst": "docdb-elastic.amazonaws.com" } } }, { "Sid": "KMSSid", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": [ "docdb-elastic.*.amazonaws.com" ], "aws:ResourceTag/DocDBElasticFullAccess": "*" } } }, { "Sid": "KMSGrantSid", "Effect": "Allow", "Action": [ "kms:CreateGrant" ], "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/DocDBElasticFullAccess": "*", "kms:ViaService": [ "docdb-elastic.*.amazonaws.com" ] }, "Bool": { "kms:GrantIsForAWSResource": true } } }, { "Sid": "SecretManagerSid", "Effect": "Allow", "Action": [ "secretsmanager:ListSecretVersionIds", "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:GetResourcePolicy" ], "Resource": "*", "Condition": { "StringLike": { "secretsmanager:ResourceTag/DocDBElasticFullAccess": "*" }, "StringEquals": { "aws:CalledViaFirst": "docdb-elastic.amazonaws.com" } } }, { "Sid": "CloudwatchSid", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics" ], "Resource": [ "*" ] }, { "Sid": "SLRSid", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic", "Condition": { "StringLike": { "iam:AWSServiceName": "docdb-elastic.amazonaws.com" } } } ] }

AmazonDocDB- ElasticServiceRolePolicy

Você não pode se vincular AmazonDocDBElasticServiceRolePolicy às suas AWS Identity and Access Management entidades. Essa política é anexada a uma função vinculada ao serviço que permite ao Amazon DocumentDB realizar ações em seu nome. Para obter mais informações, consulte Funções vinculadas ao serviço em clusters elásticos.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": [ "AWS/DocDB-Elastic" ] } } } ] }

Atualizações do Amazon DocumentDB para AWS políticas gerenciadas

Alteração Descrição Data
AmazonDocDBElasticFullAccess, AmazonDocDBConsoleFullAccess - Alteração Políticas atualizadas para adicionar ações de iniciar/parar o cluster e copiar as ações de snapshot do cluster. 21/02/2024
AmazonDocDBElasticReadOnlyAccess, AmazonDocDBElasticFullAccess - Alteração Políticas atualizadas para adicionar cloudwatch:GetMetricData ações. 21/06/2023
AmazonDocDBElasticReadOnlyAccess - nova política Nova política gerenciada para clusters elásticos Amazon DocumentDB 08/06/2023
AmazonDocDBElasticFullAccess - nova política Nova política gerenciada para clusters elásticos Amazon DocumentDB 05/06/2023
AmazonDocDB- ElasticServiceRolePolicy – Nova política O Amazon DocumentDB cria uma nova função vinculada ao serviço AWS ServiceRoleForDoc DB-Elastic para clusters elásticos do Amazon DocumentDB 30/11/2022
AmazonDocDBConsoleFullAccess - Alteração Política atualizada para adicionar permissões de cluster globais e elásticas do Amazon DocumentDB 30/11/2022
AmazonDocDBConsoleFullAccess, AmazonDocDBFullAccess, AmazonDocDBReadOnlyAccess - Nova política Inicialização do serviço 19/01/2017