As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Gerenciamento de identidade e Gerenciamento de acesso para o Amazon DocumentDB
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (ter permissões) para utilizar os recursos do Amazon DocumentDB. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticação com identidades](#security_iam_authentication)
+ [Gerenciar o acesso usando políticas](#security_iam_access-manage)
+ [Como o Amazon DocumentDB funciona com o IAM](security_iam_service-with-iam.md)
+ [Exemplos de políticas baseadas em identidade para o Amazon DocumentDB](security_iam_id-based-policy-examples.md)
+ [Solução de problemas de identidade e acesso da Amazon DocumentDB](security_iam_troubleshoot.md)
+ [Gerenciar permissões de acesso aos recursos do Amazon DocumentDB](UsingWithRDS.IAM.AccessControl.Overview.md)
+ [Usar políticas baseadas em identidade (políticas do IAM) para o Amazon DocumentDB](UsingWithRDS.IAM.AccessControl.IdentityBased.md)
+ [AWS políticas gerenciadas para o Amazon DocumentDB](docdb-managed-policies.md)
+ [Permissões da API do Amazon DocumentDB: referência de ações, recursos e condições](UsingWithRDS.IAM.ResourcePermissions.md)
## Público
A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solução de problemas de identidade e acesso da Amazon DocumentDB](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como o Amazon DocumentDB funciona com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [Exemplos de políticas baseadas em identidade para o Amazon DocumentDB](security_iam_id-based-policy-examples.md))
## Autenticação com identidades
A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
### Conta da AWS usuário root
Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*.
### Identidade federada
Como prática recomendada, exija que os usuários humanos usem a federação com um provedor de identidade para acessar Serviços da AWS usando credenciais temporárias.
Uma *identidade federada* é um usuário do seu diretório corporativo, provedor de identidade da web ou Directory Service que acessa Serviços da AWS usando credenciais de uma fonte de identidade. As identidades federadas assumem funções que oferecem credenciais temporárias.
Para o gerenciamento de acesso centralizado, recomendamos Centro de Identidade do AWS IAM. Para saber mais, consulte [O que é o IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
### Usuários e grupos do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Gerenciar o acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
### Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
### Políticas baseadas em recursos
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
### Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
### Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
# Como o Amazon DocumentDB funciona com o IAM
Antes de usar o IAM para gerenciar o acesso ao Amazon DocumentDB, entenda que atributos do IAM estão disponíveis para uso com o Amazon DocumentDB.
**Atributos do IAM que você pode usar com o Amazon DocumentDB**
| Recurso do IAM | Clusters baseados em instâncias | Clusters elásticos |
| --- | --- | --- |
| [Políticas baseadas em identidade](#security_iam_service-with-iam-id-based-policies) | Sim | Sim |
| [Políticas baseadas em recurso](#security_iam_service-with-iam-resource-based-policies) | Não | Não |
| [Ações de políticas](#security_iam_service-with-iam-id-based-policies-actions) | Sim | Sim |
| [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources) | Sim | Sim |
| [Chaves de condição de política (específicas do serviço)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Sim | Sim |
| [ACLs](#security_iam_service-with-iam-acls) | Não | Não |
| [ABAC (tags em políticas)](#security_iam_service-with-iam-tags) | Parcial | Sim |
| [Credenciais temporárias](#security_iam_service-with-iam-roles-tempcreds) | Sim | Sim |
| [Permissões de entidade principal](#security_iam_service-with-iam-principal-permissions) | Sim | Sim |
| [Perfis de serviço](#security_iam_service-with-iam-roles-service) | Sim | Sim |
| [Perfis vinculados a serviço](#security_iam_service-with-iam-roles-service-linked) | Não | Sim |
Para ter uma visão de alto nível de como o Amazon DocumentDB e AWS outros serviços funcionam com a maioria dos recursos do IAM, [AWS consulte os serviços que funcionam com o IAM no Guia](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) do usuário *do IAM*.
## Políticas baseadas em identidade do Amazon DocumentDB
**Compatível com políticas baseadas em identidade:** sim
As políticas baseadas em identidade são documentos de políticas de permissões JSON que podem ser anexados a uma identidade, como usuário do IAM, grupo de usuários ou perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Para saber mais sobre todos os elementos que podem ser usados em uma política JSON, consulte [Referência de elemento de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
### Exemplos de políticas baseadas em identidade para o Amazon DocumentDB
Para visualizar exemplos de políticas baseadas em identidade do Amazon DocumentDB, consulte [Exemplos de políticas baseadas em identidade para o Amazon DocumentDB](security_iam_id-based-policy-examples.md).
## Políticas baseadas em recursos no Amazon DocumentDB
**Compatibilidade com políticas baseadas em recursos:** não
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. São exemplos de políticas baseadas em recursos as *políticas de confiança de perfil* do IAM e as *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. Para o atributo ao qual a política está anexada, a política define quais ações uma entidade principal especificado pode executar nesse atributo e em que condições. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos. Os diretores podem incluir contas, usuários, funções, usuários federados ou. Serviços da AWS
Para permitir o acesso entre contas, é possível especificar uma conta inteira ou as entidades do IAM em outra conta como a entidade principal em uma política baseada em recursos. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Ações políticas para Amazon DocumentDB
**Compatível com ações de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
**nota**
Para alguns recursos de gerenciamento, o Amazon DocumentDB usa a tecnologia operacional que é compartilhada com o Amazon Relational Database Service (Amazon RDS).
Para ver uma lista das ações do Amazon RDS, consulte [Ações definidas pelo serviço de banco de dados relacional da Amazon](https://docs.aws.amazon.com/en_us/service-authorization/latest/reference/list_amazonrds.html#amazonrds-actions-as-permissions) na *Referência de autorização de serviço*.
Para visualizar ações de políticas para clusters elásticos do Amazon DocumentDB, consulte [Ações definidas pelos clusters elásticos do Amazon DocumentDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondocumentdbelasticclusters.html#amazondocumentdbelasticclusters-actions-as-permissions) na *Referência de autorização de serviço*.
As ações de política no Amazon DocumentDB usam o seguinte prefixo antes da ação:
```
aws
```
Para especificar várias ações em uma única declaração, separe-as com vírgulas.
```
"Action": [
"aws:action1",
"aws:action2"
]
```
Para visualizar exemplos de políticas baseadas em identidade do Amazon DocumentDB, consulte [Exemplos de políticas baseadas em identidade para o Amazon DocumentDB](security_iam_id-based-policy-examples.md).
## Recursos de política para Amazon DocumentDB
**Compatível com recursos de políticas:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
**nota**
Para alguns recursos de gerenciamento, o Amazon DocumentDB usa a tecnologia operacional que é compartilhada com o Amazon Relational Database Service (Amazon RDS).
Para ver uma lista dos tipos de recursos do RDS e seus ARNs, consulte [Recursos definidos pelo Amazon Relational Database](https://docs.aws.amazon.com/en_us/service-authorization/latest/reference/list_amazonrds.html#amazonrds-resources-for-iam-policies) Service na Referência de Autorização de *Serviço*. Para saber com quais ações você pode especificar o ARN de cada recurso, consulte [Ações definidas pelo serviço do banco de dados relacional da Amazon](https://docs.aws.amazon.com/en_us/service-authorization/latest/reference/list_amazonrds.html#amazonrds-actions-as-permissions).
Para visualizar os tipos de recursos para clusters elásticos do Amazon DocumentDB, consulte [Tipos de recursos definidos pelos clusters elásticos do Amazon DocumentDB](https://docs.aws.amazon.com/en_us/service-authorization/latest/reference/list_amazondocumentdbelasticclusters.html#amazondocumentdbelasticclusters-resources-for-iam-policies) na *Referência de autorização de serviço.*
Para visualizar exemplos de políticas baseadas em identidade do Amazon DocumentDB, consulte [Exemplos de políticas baseadas em identidade para o Amazon DocumentDB](security_iam_id-based-policy-examples.md).
## Chaves de condição de política para o Amazon DocumentDB
**Compatível com chaves de condição de política específicas de serviço:** sim
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
**nota**
Para alguns recursos de gerenciamento, o Amazon DocumentDB usa a tecnologia operacional que é compartilhada com o Amazon Relational Database Service (Amazon RDS).
Para ver uma lista de chaves de condição do RDS, consulte [Chaves de condição para o serviço do banco de dados relacional da Amazon](https://docs.aws.amazon.com/en_us/service-authorization/latest/reference/list_amazonrds.html#amazonrds-policy-keys) na *Referência de autorização de serviço*. Para saber com quais ações e recursos você pode usar a chave de condição, consulte [Ações definidas pelo serviço do banco de dados relacional da Amazon](https://docs.aws.amazon.com/en_us/service-authorization/latest/reference/list_amazonrds.html#amazonrds-actions-as-permissions).
Para visualizar as chaves de condição para clusters elásticos do Amazon DocumentDB, consulte [Chaves de condição definidas pelos clusters elásticos do Amazon DocumentDB](https://docs.aws.amazon.com/en_us/service-authorization/latest/reference/list_amazondocumentdbelasticclusters.html#amazondocumentdbelasticclusters-policy-keys) na *Referência de autorização de serviço.*
Para visualizar exemplos de políticas baseadas em identidade do Amazon DocumentDB, consulte [Exemplos de políticas baseadas em identidade para o Amazon DocumentDB](security_iam_id-based-policy-examples.md).
## ACLs no Amazon DocumentDB
**Suportes ACLs:** Não
As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
## ABAC com o Amazon DocumentDB
**nota**
O ABAC tem suporte apenas parcialmente para clusters baseados em instâncias, mas é compatível com clusters elásticos.
O controle de acesso por atributo (ABAC) é uma estratégia de autorização que define permissões com base em atributos chamados de tags. Você pode anexar tags a entidades e AWS recursos do IAM e, em seguida, criar políticas ABAC para permitir operações quando a tag do diretor corresponder à tag no recurso.
Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`.
Se um serviço for compatível com as três chaves de condição para cada tipo de recurso, o valor será **Sim** para o serviço. Se um serviço for compatível com as três chaves de condição somente para alguns tipos de recursos, o valor será **Parcial**
Para saber mais sobre o ABAC, consulte [Definir permissões com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para visualizar um tutorial com etapas para configurar o ABAC, consulte [Usar controle de acesso por atributo (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) no *Guia do usuário do IAM*.
## Usar credenciais temporárias com o Amazon DocumentDB
**Compatível com credenciais temporárias:** sim
As credenciais temporárias fornecem acesso de curto prazo aos AWS recursos e são criadas automaticamente quando você usa a federação ou troca de funções. AWS recomenda que você gere credenciais temporárias dinamicamente em vez de usar chaves de acesso de longo prazo. Para ter mais informações, consulte [Credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Serviços da Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
## Permissões de entidades principais entre serviços para o Amazon DocumentDB
**Compatibilidade com o recurso de encaminhamento de sessões de acesso (FAS):** sim
As sessões de acesso direto (FAS) usam as permissões do principal chamando um AWS service (Serviço da AWS), combinadas com a solicitação AWS service (Serviço da AWS) de fazer solicitações aos serviços posteriores. Para obter detalhes da política ao fazer solicitações de FAS, consulte [Sessões de acesso direto](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Perfis de serviço para Amazon DocumentDB
**Compatível com perfis de serviço:** sim
O perfil de serviço é um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que um serviço assume para executar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para saber mais, consulte [Criar um perfil para delegar permissões a um AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do Usuário do IAM*.
**Atenção**
A alteração das permissões de um perfil de serviço pode interromper a funcionalidade do Amazon DocumentDB. Edite perfis de serviço somente quando o Amazon DocumentDB fornecer orientação para isso.
## Funções vinculadas ao serviço para o Amazon DocumentDB
**nota**
As funções vinculadas a serviços não são compatíveis com clusters baseados em instâncias, mas com clusters elásticos.
Uma função vinculada ao serviço é um tipo de função de serviço vinculada a um. AWS service (Serviço da AWS) O serviço pode assumir o perfil de executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em você Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para perfis vinculados ao serviço.
Para obter detalhes sobre como criar ou gerenciar perfis vinculados a serviços, consulte [Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Encontre um serviço na tabela que inclua um `Yes` na coluna **Perfil vinculado ao serviço**. Escolha o link **Sim** para visualizar a documentação do perfil vinculado a serviço desse serviço.
# Exemplos de políticas baseadas em identidade para o Amazon DocumentDB
Por padrão, usuários e perfis não têm permissão para criar ou modificar recursos do Amazon DocumentDB. Para conceder permissão aos usuários para executar ações nos recursos que eles precisam, um administrador do IAM pode criar políticas do IAM.
Para aprender a criar uma política baseada em identidade do IAM ao usar esses documentos de política em JSON de exemplo, consulte [Criar políticas do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) no *Guia do usuário do IAM*.
*Para obter detalhes sobre ações e tipos de recursos definidos pelo Amazon DocumentDB, incluindo o formato do ARNs para cada um dos tipos de recursos, consulte [Ações, recursos e chaves de condição do Amazon Relational Database Service na Referência de Autorização de Serviço](https://docs.aws.amazon.com/en_us/service-authorization/latest/reference/list_amazonrds.html).*
**nota**
Para alguns recursos de gerenciamento, o Amazon DocumentDB usa a tecnologia operacional que é compartilhada com o Amazon Relational Database Service (Amazon RDS).
Para ações de políticas para clusters elásticos do Amazon DocumentDB, consulte [Ações, recursos e chaves de condição para clusters elásticos do Amazon DocumentDB](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazondocumentdbelasticclusters.html) na *Referência de autorização de serviço*.
**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Usar o console do Amazon DocumentDB](#security_iam_id-based-policy-examples-console)
+ [Permitir que os usuários visualizem suas próprias permissões](#security_iam_id-based-policy-examples-view-own-permissions)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do Amazon DocumentDB em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Usar o console do Amazon DocumentDB
Para acessar o console da Amazon DocumentDB (compativel com MongoDB), você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os recursos do Amazon DocumentDB em seu. Conta da AWS Caso crie uma política baseada em identidade mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política.
Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente a ações que correspondam à operação de API que estiverem tentando executar.
Para garantir que usuários e funções ainda possam usar o console do Amazon DocumentDB, anexe também o Amazon `ConsoleAccess` DocumentDB `ReadOnly` AWS ou a política gerenciada às entidades. Para obter informações, consulte [Adicionar permissões a um usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
## Permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Solução de problemas de identidade e acesso da Amazon DocumentDB
Use as informações a seguir para ajudar a diagnosticar e corrigir problemas comuns que você possa encontrar ao trabalhar com a Amazon DocumentDB e o IAM.
**Topics**
+ [Não tenho autorização para executar uma ação no Amazon DocumentDB](#security_iam_troubleshoot-no-permissions)
+ [Não estou autorizado a realizar iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Quero permitir que pessoas de fora da minha acessem meus Conta da AWS recursos do Amazon DocumentDB](#security_iam_troubleshoot-cross-account-access)
## Não tenho autorização para executar uma ação no Amazon DocumentDB
Se você receber uma mensagem de erro informando que não tem autorização para executar uma ação, suas políticas deverão ser atualizadas para permitir que você realize a ação.
O erro do exemplo a seguir ocorre quando o usuário do IAM `mateojackson` tenta usar o console para visualizar detalhes sobre um atributo `my-example-widget` fictício, mas não tem as permissões `aws:GetWidget` fictícias.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: aws:GetWidget on resource: my-example-widget
```
Nesse caso, a política do usuário `mateojackson` deve ser atualizada para permitir o acesso ao recurso `my-example-widget` usando a ação `aws:GetWidget`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Não estou autorizado a realizar iam: PassRole
Caso receba uma mensagem de erro informando que você não tem autorização para executar a ação `iam:PassRole`, as políticas deverão ser atualizadas para permitir a transmissão de um perfil ao Amazon DocumentDB.
Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.
O erro exemplificado a seguir ocorre quando um usuário do IAM chamada `marymajor` tenta usar o console para executar uma ação no Amazon DocumentDB. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Quero permitir que pessoas de fora da minha acessem meus Conta da AWS recursos do Amazon DocumentDB
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ Para saber se o Amazon DocumentDB é compatível com esses atributos, consulte [Como o Amazon DocumentDB funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para saber a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
# Gerenciar permissões de acesso aos recursos do Amazon DocumentDB
Cada AWS recurso é de propriedade de um Conta da AWS, e as permissões para criar ou acessar os recursos são regidas por políticas de permissões. Um administrador da conta pode anexar políticas de permissões às identidades do IAM (ou seja, usuários, grupos e funções), e alguns serviços (como AWS Lambda) também oferecem suporte para anexar políticas de permissões aos recursos.
**nota**
O *administrador de uma conta* (ou o usuário administrador) é um usuário com permissões de administrador. Para obter mais informações, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
**Topics**
+ [Recursos e operações do Amazon DocumentDB](#CreatingIAMPolicies-RDS)
+ [Informações sobre propriedade de recursos](#UsingWithRDS.IAM.AccessControl.ResourceOwner)
+ [Gerenciar acesso aos recursos da](#UsingWithRDS.IAM.AccessControl.ManagingAccess)
+ [Especificar elementos da política: ações, efeitos, recursos e entidades principais](#SpecifyingIAMPolicyActions-RDS)
+ [Especificar condições em uma política](#SpecifyingIAMPolicyConditions-RDS)
## Recursos e operações do Amazon DocumentDB
No Amazon DocumentDB, o principal recurso é um *cluster*. O Amazon DocumentDB oferece suporte a outros recursos que podem ser usados com o recurso principal, como *instâncias*, grupos de *parâmetros*, e *assinaturas de eventos*. Esses recursos são chamados de *sub-recursos*.
Esses recursos e sub-recursos têm nomes de recursos da Amazon (ARNs) exclusivos associados a eles, conforme mostrado na tabela a seguir.
| **Tipo de recurso** | **Formato de Nome de região da Amazon (ARN)** |
| --- | --- |
| Cluster | `arn:aws:rds:region:account-id:cluster:db-cluster-name` |
| Grupo de parâmetros do cluster | `arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name` |
| Snapshot de cluster | `arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name` |
| Instância | `arn:aws:rds:region:account-id:db:db-instance-name` |
| Grupo de segurança | `arn:aws:rds:region:account-id:secgrp:security-group-name` |
| Grupo de sub-redes | `arn:aws:rds:region:account-id:subgrp:subnet-group-name` |
O Amazon DocumentDB fornece um conjunto de operações para trabalhar com recursos do Amazon DocumentDB. Para obter uma lista das operações disponíveis, consulte [Ações](https://docs.aws.amazon.com/documentdb/latest/developerguide/API_Operations.html).
## Informações sobre propriedade de recursos
*O proprietário de um recurso* é Conta da AWS aquele que criou um recurso. Ou seja, o proprietário Conta da AWS do recurso é a *entidade principal* (a conta raiz, um usuário do IAM ou uma função do IAM) que autentica a solicitação que cria o recurso. Os seguintes exemplos mostram como isso funciona:
+ Se você usar as credenciais da sua conta raiz Conta da AWS para criar um recurso do Amazon DocumentDB, como uma instância, você é Conta da AWS o proprietário do recurso Amazon DocumentDB.
+ Se você criar um usuário do IAM em seu Conta da AWS e conceder permissões para criar recursos do Amazon DocumentDB para esse usuário, o usuário poderá criar recursos do Amazon DocumentDB. No entanto, você Conta da AWS, ao qual o usuário pertence, possui os recursos do Amazon DocumentDB.
+ Se você criar uma função do IAM Conta da AWS com permissões para criar recursos do Amazon DocumentDB, qualquer pessoa que possa assumir a função poderá criar recursos do Amazon DocumentDB. Você Conta da AWS, ao qual a função pertence, possui os recursos do Amazon DocumentDB.
## Gerenciar acesso aos recursos da
Uma *política de permissões* descreve quem tem acesso a quê. A seção a seguir explica as opções disponíveis para a criação de políticas de permissões.
**nota**
Esta seção discute o uso do IAM no contexto do Amazon DocumentDB. Não são fornecidas informações detalhadas sobre o serviço IAM. Para obter a documentação completa do IAM, consulte [O que é o IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) no *Guia do usuário do IAM*. Para obter mais informações sobre a sintaxe e as descrições da política do IAM, consulte a [Referência de políticas do AWSIAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) no *Guia do usuário do IAM*.
As políticas anexadas a uma identidade do IAM são chamadas de políticas *baseadas em identidade* (políticas do IAM). As políticas anexadas a um recurso são chamadas de políticas *baseadas em recursos*. O Amazon DocumentDB oferece suporte apenas a políticas baseadas em identidade (políticas do IAM).
**Topics**
+ [Políticas baseadas em identidade (políticas do IAM)](#UsingWithRDS.IAM.AccessControl.ManagingAccess.IdentityBased)
+ [Políticas baseadas em recursos](#UsingWithRDS.IAM.AccessControl.ManagingAccess.ResourceBased)
### Políticas baseadas em identidade (políticas do IAM)
É possível anexar políticas a identidades do IAM. Por exemplo, você pode fazer o seguinte:
+ **Anexar uma política de permissões a um usuário ou a um grupo em sua conta** – um administrador da conta pode usar uma política de permissões associada a um determinado usuário a fim de conceder permissões para que o usuário crie um recurso do Amazon DocumentDB, como uma instância.
+ **Anexar uma política de permissões a uma função**: você pode anexar uma política de permissões baseada em identidade a um perfil do IAM para conceder permissões entre contas. Por exemplo, um administrador pode criar uma função para conceder permissões entre contas a outra pessoa Conta da AWS ou a um AWS serviço da seguinte forma:
1. Um administrador da Conta A cria uma função do IAM e anexa uma política de permissões à função que concede permissões em recursos da Conta A.
1. Um administrador da Conta A anexa uma política de confiança à função identificando a Conta B como a entidade principal, que pode assumir a função.
1. O administrador da Conta B pode então delegar permissões para assumir a função a qualquer usuário na Conta B. Isso permite que os usuários da Conta B criem ou acessem recursos na Conta A. O principal na política de confiança também pode ser um diretor de AWS serviço se você quiser conceder permissões a um AWS serviço para assumir a função.
Para obter mais informações sobre o uso do IAM para delegar permissões, consulte [Gerenciamento de acesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) no *Guia do usuário do IAM*.
Veja a seguir um exemplo de política que permite ao usuário com o ID `123456789012` para criar instâncias para o seu Conta da AWS. A nova instância deve usar um grupo de opções e um parameter group que começa com `default` e deve usar o grupo de sub-redes `default`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateDBInstanceOnly",
"Effect": "Allow",
"Action": [
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:rds:*:123456789012:db:test*",
"arn:aws:rds:*:123456789012:pg:cluster-pg:default*",
"arn:aws:rds:*:123456789012:subgrp:default"
]
}
]
}
```
------
Para obter mais informações sobre o uso de políticas baseadas em identidade com o Amazon DocumentDB, consulte [Usar políticas baseadas em identidade (políticas do IAM) para o Amazon DocumentDB](UsingWithRDS.IAM.AccessControl.IdentityBased.md). Para obter mais informações sobre usuários, grupos, funções e permissões, consulte [Identidades (usuários, grupos e funções)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) no *Guia do usuário do IAM*.
### Políticas baseadas em recursos
Outros serviços, como o Amazon Simple Storage Service (Amazon S3), são compatíveis com políticas de permissões baseadas em recursos. Por exemplo, você pode anexar uma política a um bucket do Amazon S3 para gerenciar permissões de acesso a esse bucket. O Amazon DocumentDB não oferece suporte a políticas baseadas em recursos.
## Especificar elementos da política: ações, efeitos, recursos e entidades principais
Para cada recurso do Amazon DocumentDB, (consulte [Recursos e operações do Amazon DocumentDB](#CreatingIAMPolicies-RDS)), o serviço define um conjunto de operações da API. Para obter mais informações, consulte [Ações](https://docs.aws.amazon.com/redshift/latest/APIReference/API_Operations.html). Para conceder permissões para essas operações de API, o Amazon DocumentDB define um conjunto de ações que você pode especificar em uma política. A execução de uma operação de API pode exigir permissões para mais de uma ação.
Estes são os elementos de política básicos:
+ **Recurso**: em uma política, você usa um Amazon Resource Name (ARN – Nome do recurso da Amazon) para identificar o recurso a que a política se aplica.
+ **Ação**: você usa palavras-chave de ação para identificar operações de recursos que deseja permitir ou negar. Por exemplo, a permissão `rds:DescribeDBInstances` permite que o usuário execute a operação `DescribeDBInstances`.
+ **Efeito**: você especifica o efeito quando o usuário solicita a ação específica, que pode ser permitir ou negar. Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar explicitamente o acesso a um recurso, para ter certeza de que um usuário não consiga acessá-lo, mesmo que uma política diferente conceda acesso.
+ **Entidade principal**: em políticas baseadas em identidade (políticas do IAM), o usuário ao qual a política é anexada é a entidade principal implícita. Para as políticas baseadas em recursos, você especifica quais usuários, contas, serviços ou outras entidades deseja que recebam permissões (isso se aplica somente a políticas baseadas em recursos). O Amazon DocumentDB não oferece suporte a políticas baseadas em recursos.
Para saber mais sobre a sintaxe e as descrições da política do IAM, consulte a [Referência de política do AWS IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) no *Guia do usuário do IAM*.
Para obter uma tabela que mostra todas as ações da API do Amazon DocumentDB e os recursos aos quais se aplicam, consulte [Permissões da API do Amazon DocumentDB: referência de ações, recursos e condições](UsingWithRDS.IAM.ResourcePermissions.md).
## Especificar condições em uma política
Ao conceder permissões, você pode usar a linguagem da política do IAM para especificar as condições de quando uma política deverá entrar em vigor. Por exemplo, é recomendável aplicar uma política somente após uma data específica. Para obter mais informações sobre como especificar condições em uma linguagem de política, consulte [Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) no *Guia do usuário do IAM*.
Para expressar condições, você usa chaves de condição predefinidas. O Amazon DocumentDB não tem chaves de contexto de serviço específicas que possam ser usadas em uma política do IAM;. Para obter uma lista das chaves de contexto de condição global que estão disponíveis para todos os serviços, consulte [Chaves disponíveis para condições](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) no *Guia do usuário do IAM*.
# Usar políticas baseadas em identidade (políticas do IAM) para o Amazon DocumentDB
**Importante**
Para determinados atributos de gerenciamento, o Amazon DocumentDB usa a tecnologia operacional que é compartilhada com o Amazon RDS. As chamadas de console e API do Amazon DocumentDB são registradas como chamadas feitas para a API do Amazon RDS. AWS CLI
Recomendamos analisar primeiro os tópicos introdutórios que explicam os conceitos básicos e as opções disponíveis para gerenciar o acesso aos recursos do Amazon DocumentDB. Para obter mais informações, consulte [Gerenciar permissões de acesso aos recursos do Amazon DocumentDB](UsingWithRDS.IAM.AccessControl.Overview.md).
Este tópico fornece exemplos de políticas baseadas em identidade em que um administrador de conta pode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e funções).
A seguir há um exemplo de uma política do IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateDBInstanceOnly",
"Effect": "Allow",
"Action": [
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:rds:*:123456789012:db:test*",
"arn:aws:rds:*:123456789012:pg:cluster-pg:default*",
"arn:aws:rds:*:123456789012:subgrp:default"
]
}
]
}
```
------
A política inclui uma única instrução que especifica as seguintes permissões para o usuário do IAM:
+ A política permite que o usuário do IAM crie uma instância usando a DBInstance ação [Create](https://docs.aws.amazon.com/documentdb/latest/developerguide/API_CreateDBInstance.html) (isso também se aplica à [create-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-instance.html) AWS CLI operação e à Console de gerenciamento da AWS).
+ O elemento `Resource` especifica que o usuário pode realizar ações em ou com recursos. Você especifica recursos usando um nome de recurso da Amazon (ARN). Esse ARN inclui o nome do serviço ao qual o recurso pertence (`rds`), o Região da AWS (`*`indica qualquer região neste exemplo), o número da conta do usuário (`123456789012`é a ID do usuário neste exemplo) e o tipo de recurso.
O elemento `Resource` neste exemplo especifica as restrições da política a seguir em recursos para o usuário:
+ O identificador de instância para a nova instância deve começar com `test` (por exemplo, `testCustomerData1`, `test-region2-data`).
+ O grupo de parâmetros de cluster para a nova instância deve começar com `default`.
+ O grupo de sub-redes para a nova instância deve ser o grupo de sub-redes `default`.
A política não especifica o elemento `Principal` porque, em uma política baseada em identidade, a entidade principal que obtém as permissões não é especificada. Quando você anexar uma política um usuário, o usuário será a entidade principal implícita. Quando você anexa uma política de permissões a um perfil do IAM, a entidade principal identificada na política de confiança do perfil obtém as permissões.
Para obter uma tabela lista mostrando todas as operações da API do Amazon DocumentDB e os recursos aos quais elas se aplicam, consulte [Permissões da API do Amazon DocumentDB: referência de ações, recursos e condições](UsingWithRDS.IAM.ResourcePermissions.md).
## Permissões necessárias para usar o console do Amazon DocumentDB
Para um usuário trabalhar com o console Amazon DocumentDB, esse usuário deve ter um conjunto de permissões mínimo. Essas permissões permitem que o usuário descreva seus recursos do Amazon DocumentDB Conta da AWS e forneça outras informações relacionadas, incluindo informações de rede e segurança do Amazon EC2.
Se você criar uma política do IAM que seja mais restritiva que as permissões mínimas necessárias, o console do não funcionará como pretendido para os usuários com essa política do IAM. Para garantir que esses usuários ainda consigam usar o console Amazon DocumentDB, associe também a política gerenciada `AmazonDocDBConsoleFullAccess` ao usuário, conforme descrito em [AWS políticas gerenciadas para o Amazon DocumentDB](docdb-managed-policies.md).
Você não precisa permitir permissões mínimas de console para usuários que estão fazendo chamadas somente para a API do Amazon DocumentDB AWS CLI ou para a API do Amazon DocumentDB.
## Exemplos de política gerenciada pelo cliente
Nesta seção, você pode encontrar exemplos de políticas de usuário que concedem permissões para várias ações do Amazon DocumentDB. Essas políticas funcionam quando você está usando as ações da API do Amazon DocumentDB ou o. AWS SDKs AWS CLI Ao usar o console, você precisa conceder permissões adicionais específicas ao console, o que é abordado em [Permissões necessárias para usar o console do Amazon DocumentDB](#UsingWithRDS.IAM.RequiredPermissions.Console).
Para alguns atributos de gerenciamento, o Amazon DocumentDB usa a tecnologia operacional que é compartilhada com o Amazon Relational Database Service (Amazon RDS) e o Amazon Neptune..
**nota**
Todos os exemplos usam a região Leste dos EUA (Norte da Virgínia) (`us-east-1`) e contêm uma conta fictícia. IDs
**Topics**
+ [Exemplo 1: permitir que um usuário execute qualquer ação de descrição em qualquer recurso do Amazon DocumentDB](#IAMPolicyExamples-RDS-perform-describe-action)
+ [Exemplo 2: impedir que um usuário exclua uma instância](#IAMPolicyExamples-RDS-prevent-db-deletion)
+ [Exemplo 3: impedir que um usuário crie um cluster, a menos que a criptografia de armazenamento esteja ativada](#IAMPolicyExamples-Prevent-Cluster)
### Exemplo 1: permitir que um usuário execute qualquer ação de descrição em qualquer recurso do Amazon DocumentDB
A seguinte política de permissões concede permissões a um usuário para executar todas as ações que começam com `Describe`. Essas ações mostram informações sobre um recurso do Amazon DocumentDB, como uma instância. O caractere curinga (\$1) no elemento `Resource` indica que as ações são permitidas para todos os recursos do Amazon DocumentDB que pertencem à conta.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AllowRDSDescribe",
"Effect":"Allow",
"Action":"rds:Describe*",
"Resource":"*"
}
]
}
```
------
### Exemplo 2: impedir que um usuário exclua uma instância
A seguinte política de permissões concede permissões para impedir que um usuário exclua uma instância específica. Por exemplo, você pode querer negar a capacidade de excluir suas instâncias de produção a qualquer usuário que não seja um administrador.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"DenyDelete1",
"Effect":"Deny",
"Action":"rds:DeleteDBInstance",
"Resource":"arn:aws:rds:us-east-1:123456789012:db:my-db-instance"
}
]
}
```
------
### Exemplo 3: impedir que um usuário crie um cluster, a menos que a criptografia de armazenamento esteja ativada
A política de permissões a seguir nega a permissão de um usuário criar um cluster Amazon DocumentDB, a menos que a criptografia de armazenamento esteja habilitada.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PreventUnencryptedDocumentDB",
"Effect": "Deny",
"Action": "RDS:CreateDBCluster",
"Condition": {
"Bool": {
"rds:StorageEncrypted": "false"
},
"StringEquals": {
"rds:DatabaseEngine": "docdb"
}
},
"Resource": "*"
}
]
}
```
------
# AWS políticas gerenciadas para o Amazon DocumentDB
Para adicionar permissões a usuários, grupos e funções, é mais fácil usar políticas AWS gerenciadas do que escrever políticas você mesmo. É necessário tempo e experiência para criar [políticas gerenciadas pelo cliente do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que fornecem à sua equipe apenas as permissões de que precisam. Para começar rapidamente, você pode usar nossas políticas AWS gerenciadas. Essas políticas abrangem casos de uso comuns e estão disponíveis em sua AWS conta. Para obter mais informações sobre políticas AWS gerenciadas, consulte [políticas AWS gerenciadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do Usuário do AWS Identity and Access Management*.
AWS os serviços mantêm e atualizam as políticas AWS gerenciadas. Você não pode alterar as permissões nas políticas AWS gerenciadas. Ocasionalmente, os serviços adicionam permissões adicionais a uma política AWS gerenciada para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política AWS gerenciada quando um novo recurso é lançado ou quando novas operações são disponibilizadas. Os serviços não removem as permissões de uma política AWS gerenciada, portanto, as atualizações de políticas não violarão suas permissões existentes.
Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política `ViewOnlyAccess` AWS gerenciada fornece acesso somente de leitura a vários AWS serviços e recursos. Quando um serviço lança um novo recurso, AWS adiciona permissões somente de leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de funções de trabalho, consulte [AWS Políticas gerenciadas para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do AWS Identity and Access Management*.
As seguintes políticas AWS gerenciadas, que você pode associar aos usuários em sua conta, são específicas do Amazon DocumentDB:
+ [AmazonDocDBFullAcesso](#AmazonDocDBFullAccess)— Concede acesso total a todos os recursos do Amazon DocumentDB para a conta raiz AWS .
+ [AmazonDocDBReadOnlyAccess](#AmazonDocDBReadOnlyAccess)— Concede acesso somente de leitura a todos os recursos do Amazon DocumentDB para a conta raiz. AWS
+ [AmazonDocDBConsoleFullAccess](#AmazonDocDBConsoleFullAccess) – Concede acesso total para gerenciar os recursos de cluster elástico do Amazon DocumentDB e do Amazon DocumentDB usando o Console de gerenciamento da AWS.
+ [AmazonDocDBElasticReadOnlyAccess](#AmazonDocDB-ElasticReadOnlyAccess)— Concede acesso somente de leitura a todos os recursos de cluster elástico do Amazon DocumentDB para a conta raiz. AWS
+ [AmazonDocDBElasticFullAccess](#AmazonDocDB-ElasticFullAccess)— Concede acesso total a todos os recursos de cluster elástico do Amazon DocumentDB para a conta raiz AWS .
## AmazonDocDBFullAcesso
Essa política concede permissões administrativas que permitem que a entidade principal tenha acesso total a todas as ações do Amazon DocumentDB. As permissões nessa política são agrupadas da seguinte forma:
+ As permissões do Amazon DocumentDB permitem todas as ações do Amazon DocumentDB.
+ Algumas das permissões do Amazon EC2 nessa política são necessárias para validar os recursos transmitidos em uma solicitação de API. Isso serve para garantir que o Amazon DocumentDB seja capaz de usar adequadamente os recursos com um cluster. O restante das permissões do Amazon EC2 nesta política permitem que o Amazon DocumentDB AWS crie os recursos necessários para possibilitar a conexão com seus clusters.
+ As permissões do Amazon DocumentDB são usadas para validar os recursos transmitidos em uma solicitação durante as chamadas de API. Elas são necessárias para que o Amazon DocumentDB consiga usar a chave transmitida com o cluster do Amazon DocumentDB.
+ Os CloudWatch registros são necessários para que o Amazon DocumentDB possa garantir que os destinos de entrega de logs sejam acessíveis e que sejam válidos para uso do log do agente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"rds:AddRoleToDBCluster",
"rds:AddSourceIdentifierToSubscription",
"rds:AddTagsToResource",
"rds:ApplyPendingMaintenanceAction",
"rds:CopyDBClusterParameterGroup",
"rds:CopyDBClusterSnapshot",
"rds:CopyDBParameterGroup",
"rds:CreateDBCluster",
"rds:CreateDBClusterParameterGroup",
"rds:CreateDBClusterSnapshot",
"rds:CreateDBInstance",
"rds:CreateDBParameterGroup",
"rds:CreateDBSubnetGroup",
"rds:CreateEventSubscription",
"rds:DeleteDBCluster",
"rds:DeleteDBClusterParameterGroup",
"rds:DeleteDBClusterSnapshot",
"rds:DeleteDBInstance",
"rds:DeleteDBParameterGroup",
"rds:DeleteDBSubnetGroup",
"rds:DeleteEventSubscription",
"rds:DescribeAccountAttributes",
"rds:DescribeCertificates",
"rds:DescribeDBClusterParameterGroups",
"rds:DescribeDBClusterParameters",
"rds:DescribeDBClusterSnapshotAttributes",
"rds:DescribeDBClusterSnapshots",
"rds:DescribeDBClusters",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeDBLogFiles",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBParameters",
"rds:DescribeDBSecurityGroups",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEngineDefaultClusterParameters",
"rds:DescribeEngineDefaultParameters",
"rds:DescribeEventCategories",
"rds:DescribeEventSubscriptions",
"rds:DescribeEvents",
"rds:DescribeOptionGroups",
"rds:DescribeOrderableDBInstanceOptions",
"rds:DescribePendingMaintenanceActions",
"rds:DescribeValidDBInstanceModifications",
"rds:DownloadDBLogFilePortion",
"rds:FailoverDBCluster",
"rds:ListTagsForResource",
"rds:ModifyDBCluster",
"rds:ModifyDBClusterParameterGroup",
"rds:ModifyDBClusterSnapshotAttribute",
"rds:ModifyDBInstance",
"rds:ModifyDBParameterGroup",
"rds:ModifyDBSubnetGroup",
"rds:ModifyEventSubscription",
"rds:PromoteReadReplicaDBCluster",
"rds:RebootDBInstance",
"rds:RemoveRoleFromDBCluster",
"rds:RemoveSourceIdentifierFromSubscription",
"rds:RemoveTagsFromResource",
"rds:ResetDBClusterParameterGroup",
"rds:ResetDBParameterGroup",
"rds:RestoreDBClusterFromSnapshot",
"rds:RestoreDBClusterToPointInTime"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcs",
"kms:ListAliases",
"kms:ListKeyPolicies",
"kms:ListKeys",
"kms:ListRetirableGrants",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"sns:ListSubscriptions",
"sns:ListTopics",
"sns:Publish"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Action": "iam:CreateServiceLinkedRole",
"Effect": "Allow",
"Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
"Condition": {
"StringLike": {
"iam:AWS ServiceName": "rds.amazonaws.com"
}
}
}
]
}
```
------
## AmazonDocDBReadOnlyAccess
Essa política concede permissões de acesso somente leitura que permitem que os usuários visualizem informações no Amazon DocumentDB. As entidades principais com essa política anexada não podem fazer nenhuma atualização ou excluir recursos existentes, nem criar novos recursos do Amazon DocumentDB. Por exemplo, entidades principais com essas permissões podem visualizar a lista de clusters e configurações associadas à conta, mas não podem alterar a configuração ou as definições de nenhum cluster. As permissões nessa política são agrupadas da seguinte forma:
+ As permissões do Amazon DocumentDB permitem que você liste os recursos do Amazon DocumentDB, descreva e obtenha informações sobre eles.
+ As permissões do Amazon EC2 são usadas para descrever a Amazon VPC, sub-redes, grupos de segurança e ENIs que estão associados a um cluster.
+ A permissão do Amazon DocumentDB é usada para descrever a chave associada ao cluster.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"rds:DescribeAccountAttributes",
"rds:DescribeCertificates",
"rds:DescribeDBClusterParameterGroups",
"rds:DescribeDBClusterParameters",
"rds:DescribeDBClusterSnapshotAttributes",
"rds:DescribeDBClusterSnapshots",
"rds:DescribeDBClusters",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeDBLogFiles",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBParameters",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEventCategories",
"rds:DescribeEventSubscriptions",
"rds:DescribeEvents",
"rds:DescribeOrderableDBInstanceOptions",
"rds:DescribePendingMaintenanceActions",
"rds:DownloadDBLogFilePortion",
"rds:ListTagsForResource"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInternetGateways",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcs"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"kms:ListKeys",
"kms:ListRetirableGrants",
"kms:ListAliases",
"kms:ListKeyPolicies"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"logs:DescribeLogStreams",
"logs:GetLogEvents"
],
"Effect": "Allow",
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*",
"arn:aws:logs:*:*:log-group:/aws/docdb/*:log-stream:*"
]
}
]
}
```
------
## AmazonDocDBConsoleFullAccess
Concede acesso total para gerenciar os recursos do Amazon DocumentDB usando o seguinte Console de gerenciamento da AWS :
+ As permissões do Amazon DocumentDB permitem todas as ações de cluster do Amazon DocumentDB e do Amazon DocumentDB.
+ Algumas das permissões do Amazon EC2 nessa política são necessárias para validar os recursos transmitidos em uma solicitação de API. Isso serve para garantir que o Amazon DocumentDB seja capaz de usar adequadamente os recursos para provisionar e manter o cluster. O restante das permissões do Amazon EC2 nesta política permitem que o Amazon DocumentDB AWS crie os recursos necessários para possibilitar a conexão com seus clusters, como. VPCEndpoint
+ AWS KMS as permissões são usadas durante as chamadas de API AWS KMS para validar os recursos passados em uma solicitação. Elas são necessárias para que o Amazon DocumentDB consiga usar a chave transmitida para criptografar e descriptografar os dados em repouso com o cluster do Amazon DocumentDB.
+ Os CloudWatch registros são necessários para que o Amazon DocumentDB possa garantir que os destinos de entrega de logs sejam acessíveis e que sejam válidos para auditoria e definição de perfil do uso de logs.
+ As permissões do Secrets Manager são necessárias para validar determinado segredo e usá-lo para configurar o usuário administrador para clusters elásticos do Amazon DocumentDB.
+ As permissões do Amazon RDS são necessárias para ações de gerenciamento de clusters do Amazon DocumentDB. Para determinados atributos de gerenciamento, o Amazon DocumentDB usa a tecnologia operacional que é compartilhada com o Amazon RDS.
+ Permissões SNS permitem que as entidades principais acessem assinaturas e tópicos do Amazon Simple Notification Service (Amazon SNS) e publiquem mensagens do Amazon SNS.
+ As permissões do IAM são necessárias para criar as funções vinculadas ao serviço necessárias para publicação de métricas e logs.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DocdbSids",
"Effect": "Allow",
"Action": [
"docdb-elastic:CreateCluster",
"docdb-elastic:UpdateCluster",
"docdb-elastic:GetCluster",
"docdb-elastic:DeleteCluster",
"docdb-elastic:ListClusters",
"docdb-elastic:CreateClusterSnapshot",
"docdb-elastic:GetClusterSnapshot",
"docdb-elastic:DeleteClusterSnapshot",
"docdb-elastic:ListClusterSnapshots",
"docdb-elastic:RestoreClusterFromSnapshot",
"docdb-elastic:TagResource",
"docdb-elastic:UntagResource",
"docdb-elastic:ListTagsForResource",
"docdb-elastic:CopyClusterSnapshot",
"docdb-elastic:StartCluster",
"docdb-elastic:StopCluster",
"docdb-elastic:GetPendingMaintenanceAction",
"docdb-elastic:ListPendingMaintenanceActions",
"docdb-elastic:ApplyPendingMaintenanceAction",
"rds:AddRoleToDBCluster",
"rds:AddSourceIdentifierToSubscription",
"rds:AddTagsToResource",
"rds:ApplyPendingMaintenanceAction",
"rds:CopyDBClusterParameterGroup",
"rds:CopyDBClusterSnapshot",
"rds:CopyDBParameterGroup",
"rds:CreateDBCluster",
"rds:CreateDBClusterParameterGroup",
"rds:CreateDBClusterSnapshot",
"rds:CreateDBInstance",
"rds:CreateDBParameterGroup",
"rds:CreateDBSubnetGroup",
"rds:CreateEventSubscription",
"rds:CreateGlobalCluster",
"rds:DeleteDBCluster",
"rds:DeleteDBClusterParameterGroup",
"rds:DeleteDBClusterSnapshot",
"rds:DeleteDBInstance",
"rds:DeleteDBParameterGroup",
"rds:DeleteDBSubnetGroup",
"rds:DeleteEventSubscription",
"rds:DeleteGlobalCluster",
"rds:DescribeAccountAttributes",
"rds:DescribeCertificates",
"rds:DescribeDBClusterParameterGroups",
"rds:DescribeDBClusterParameters",
"rds:DescribeDBClusterSnapshotAttributes",
"rds:DescribeDBClusterSnapshots",
"rds:DescribeDBClusters",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeDBLogFiles",
"rds:DescribeDBParameterGroups",
"rds:DescribeDBParameters",
"rds:DescribeDBSecurityGroups",
"rds:DescribeDBSubnetGroups",
"rds:DescribeEngineDefaultClusterParameters",
"rds:DescribeEngineDefaultParameters",
"rds:DescribeEventCategories",
"rds:DescribeEventSubscriptions",
"rds:DescribeEvents",
"rds:DescribeGlobalClusters",
"rds:DescribeOptionGroups",
"rds:DescribeOrderableDBInstanceOptions",
"rds:DescribePendingMaintenanceActions",
"rds:DescribeValidDBInstanceModifications",
"rds:DownloadDBLogFilePortion",
"rds:FailoverDBCluster",
"rds:ListTagsForResource",
"rds:ModifyDBCluster",
"rds:ModifyDBClusterParameterGroup",
"rds:ModifyDBClusterSnapshotAttribute",
"rds:ModifyDBInstance",
"rds:ModifyDBParameterGroup",
"rds:ModifyDBSubnetGroup",
"rds:ModifyEventSubscription",
"rds:ModifyGlobalCluster",
"rds:PromoteReadReplicaDBCluster",
"rds:RebootDBInstance",
"rds:RemoveFromGlobalCluster",
"rds:RemoveRoleFromDBCluster",
"rds:RemoveSourceIdentifierFromSubscription",
"rds:RemoveTagsFromResource",
"rds:ResetDBClusterParameterGroup",
"rds:ResetDBParameterGroup",
"rds:RestoreDBClusterFromSnapshot",
"rds:RestoreDBClusterToPointInTime"
],
"Resource": [
"*"
]
},
{
"Sid": "DependencySids",
"Effect": "Allow",
"Action": [
"iam:GetRole",
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"ec2:AllocateAddress",
"ec2:AssignIpv6Addresses",
"ec2:AssignPrivateIpAddresses",
"ec2:AssociateAddress",
"ec2:AssociateRouteTable",
"ec2:AssociateSubnetCidrBlock",
"ec2:AssociateVpcCidrBlock",
"ec2:AttachInternetGateway",
"ec2:AttachNetworkInterface",
"ec2:CreateCustomerGateway",
"ec2:CreateDefaultSubnet",
"ec2:CreateDefaultVpc",
"ec2:CreateInternetGateway",
"ec2:CreateNatGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSecurityGroup",
"ec2:CreateSubnet",
"ec2:CreateVpc",
"ec2:CreateVpcEndpoint",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeCustomerGateways",
"ec2:DescribeInstances",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePrefixLists",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroupReferences",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcAttribute",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:ModifySubnetAttribute",
"ec2:ModifyVpcAttribute",
"ec2:ModifyVpcEndpoint",
"kms:DescribeKey",
"kms:ListAliases",
"kms:ListKeyPolicies",
"kms:ListKeys",
"kms:ListRetirableGrants",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"sns:ListSubscriptions",
"sns:ListTopics",
"sns:Publish"
],
"Resource": [
"*"
]
},
{
"Sid": "DocdbSLRSid",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "rds.amazonaws.com"
}
}
},
{
"Sid": "DocdbElasticSLRSid",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "docdb-elastic.amazonaws.com"
}
}
}
]
}
```
------
## AmazonDocDBElasticReadOnlyAccess
Essa política concede permissões de acesso somente para leitura que oferecem acesso à informação do cluster elástico no Amazon DocumentDB. As entidades principais com essa política anexada não podem fazer nenhuma atualização ou excluir recursos existentes, nem criar novos recursos do Amazon DocumentDB. Por exemplo, entidades principais com essas permissões podem visualizar a lista de clusters e configurações associadas à conta, mas não podem alterar a configuração ou as definições de nenhum cluster. As permissões nessa política são agrupadas da seguinte forma:
+ As permissões de cluster elástico do Amazon DocumentDB permitem que você liste os recursos do cluster elástico Amazon DocumentDB, descreva-os e obtenha informações sobre eles.
+ CloudWatch as permissões são usadas para verificar as métricas do serviço.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"docdb-elastic:ListClusters",
"docdb-elastic:GetCluster",
"docdb-elastic:ListClusterSnapshots",
"docdb-elastic:GetClusterSnapshot",
"docdb-elastic:ListTagsForResource"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
}
]
}
```
------
## AmazonDocDBElasticFullAccess
Essa política concede permissões administrativas que permitem que a entidade principal tenha acesso total a todas as ações do Amazon DocumentDB para cluster elástico do Amazon DocumentDB.
Essa política usa AWS tags (https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) dentro de condições para definir o acesso aos recursos. Se você estiver usando um segredo, ele deverá ser marcado com uma chave de tag `DocDBElasticFullAccess` e um valor de tag. Se você estiver usando uma chave gerenciada pelo cliente, ela deverá ser marcada com uma chave de tag `DocDBElasticFullAccess` e um valor de tag.
As permissões nessa política são agrupadas da seguinte forma:
+ As permissões de cluster elástico do Amazon DocumentDB permitem todas as ações do Amazon DocumentDB.
+ Algumas das permissões do Amazon EC2 nessa política são necessárias para validar os recursos transmitidos em uma solicitação de API. Isso serve para garantir que o Amazon DocumentDB seja capaz de usar adequadamente os recursos para provisionar e manter o cluster. O restante das permissões do Amazon EC2 nesta política permitem que o Amazon DocumentDB AWS crie os recursos necessários para possibilitar a conexão com seus clusters como um VPC endpoint.
+ AWS KMS são necessárias permissões para que o Amazon DocumentDB possa usar a chave passada para criptografar e descriptografar os dados em repouso no cluster elástico do Amazon DocumentDB.
**nota**
A chave gerenciada pelo cliente deve ter uma tag com chave `DocDBElasticFullAccess` e um valor de tag.
+ SecretsManager são necessárias permissões para validar um determinado segredo e usá-lo para configurar o usuário administrador para clusters elásticos Amazon DocumentDB.
**nota**
O segredo usado deve ter uma tag com chave `DocDBElasticFullAccess` e um valor de tag.
+ As permissões do IAM são necessárias para criar as funções vinculadas ao serviço necessárias para publicação de métricas e logs.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DocdbElasticSid",
"Effect": "Allow",
"Action": [
"docdb-elastic:CreateCluster",
"docdb-elastic:UpdateCluster",
"docdb-elastic:GetCluster",
"docdb-elastic:DeleteCluster",
"docdb-elastic:ListClusters",
"docdb-elastic:CreateClusterSnapshot",
"docdb-elastic:GetClusterSnapshot",
"docdb-elastic:DeleteClusterSnapshot",
"docdb-elastic:ListClusterSnapshots",
"docdb-elastic:RestoreClusterFromSnapshot",
"docdb-elastic:TagResource",
"docdb-elastic:UntagResource",
"docdb-elastic:ListTagsForResource",
"docdb-elastic:CopyClusterSnapshot",
"docdb-elastic:StartCluster",
"docdb-elastic:StopCluster",
"docdb-elastic:GetPendingMaintenanceAction",
"docdb-elastic:ListPendingMaintenanceActions",
"docdb-elastic:ApplyPendingMaintenanceAction"
],
"Resource": [
"*"
]
},
{
"Sid": "EC2Sid",
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DescribeVpcEndpoints",
"ec2:DeleteVpcEndpoints",
"ec2:ModifyVpcEndpoint",
"ec2:DescribeVpcAttribute",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeAvailabilityZones",
"secretsmanager:ListSecrets"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:CalledViaFirst": "docdb-elastic.amazonaws.com"
}
}
},
{
"Sid": "KMSSid",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKey"
],
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"docdb-elastic.*.amazonaws.com"
],
"aws:ResourceTag/DocDBElasticFullAccess": "*"
}
}
},
{
"Sid": "KMSGrantSid",
"Effect": "Allow",
"Action": [
"kms:CreateGrant"
],
"Resource": "*",
"Condition": {
"StringLike": {
"aws:ResourceTag/DocDBElasticFullAccess": "*",
"kms:ViaService": [
"docdb-elastic.*.amazonaws.com"
]
},
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
},
{
"Sid": "SecretManagerSid",
"Effect": "Allow",
"Action": [
"secretsmanager:ListSecretVersionIds",
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:GetResourcePolicy"
],
"Resource": "*",
"Condition": {
"StringLike": {
"secretsmanager:ResourceTag/DocDBElasticFullAccess": "*"
},
"StringEquals": {
"aws:CalledViaFirst": "docdb-elastic.amazonaws.com"
}
}
},
{
"Sid": "CloudwatchSid",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics"
],
"Resource": [
"*"
]
},
{
"Sid": "SLRSid",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "docdb-elastic.amazonaws.com"
}
}
}
]
}
```
------
## AmazonDocDB- ElasticServiceRolePolicy
Você não pode se vincular `AmazonDocDBElasticServiceRolePolicy` às suas AWS Identity and Access Management entidades. Essa política é anexada a uma função vinculada ao serviço que permite ao Amazon DocumentDB realizar ações em seu nome. Para obter mais informações, consulte [Funções vinculadas ao serviço em clusters elásticos](elastic-service-linked-roles.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": [
"AWS/DocDB-Elastic"
]
}
}
}
]
}
```
------
## Atualizações do Amazon DocumentDB para AWS políticas gerenciadas
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AmazonDocDBElasticFullAccess](#AmazonDocDB-ElasticFullAccess), [AmazonDocDBConsoleFullAccess](#AmazonDocDBConsoleFullAccess) - Alteração | Políticas atualizadas para adicionar ações de manutenção pendentes. | 11/02/2025 |
| [AmazonDocDBElasticFullAccess](#AmazonDocDB-ElasticFullAccess), [AmazonDocDBConsoleFullAccess](#AmazonDocDBConsoleFullAccess) - Alteração | Políticas atualizadas para adicionar start/stop e copiar ações de snapshot de cluster. | 21/02/2024 |
| [AmazonDocDBElasticReadOnlyAccess](#AmazonDocDB-ElasticReadOnlyAccess), [AmazonDocDBElasticFullAccess](#AmazonDocDB-ElasticFullAccess) - Alteração | Políticas atualizadas para adicionar cloudwatch:GetMetricData ações. | 21/06/2023 |
| [AmazonDocDBElasticReadOnlyAccess](#AmazonDocDB-ElasticReadOnlyAccess) - nova política | Nova política gerenciada para clusters elásticos do Amazon DocumentDB. | 08/06/2023 |
| [AmazonDocDBElasticFullAccess](#AmazonDocDB-ElasticFullAccess) - nova política | Nova política gerenciada para clusters elásticos do Amazon DocumentDB. | 05/06/2023 |
| [AmazonDocDB- ElasticServiceRolePolicy](#docdb-elastic-service-role) – Nova política | O Amazon DocumentDB cria uma nova função vinculada ao serviço AWS ServiceRoleForDoc DB-Elastic para clusters elásticos do Amazon DocumentDB. | 30/11/2022 |
| [AmazonDocDBConsoleFullAccess](#AmazonDocDBConsoleFullAccess) - Alteração | Política atualizada para adicionar permissões de cluster globais e elásticas do Amazon DocumentDB. | 30/11/2022 |
| [AmazonDocDBConsoleFullAccess](#AmazonDocDBConsoleFullAccess), [AmazonDocDBFullAcesso](#AmazonDocDBFullAccess), [AmazonDocDBReadOnlyAccess](#AmazonDocDBReadOnlyAccess) - Nova política | Inicialização do serviço. | 19/01/2017 |
# Permissões da API do Amazon DocumentDB: referência de ações, recursos e condições
Use as seções a seguir como referência ao configurar [Usar políticas baseadas em identidade (políticas do IAM) para o Amazon DocumentDB](UsingWithRDS.IAM.AccessControl.IdentityBased.md) e escrever políticas de permissões que você pode anexar a uma identidade do IAM (políticas com base em identidade).
O conteúdo a seguir lista cada operação da API do Amazon DocumentDB. Incluídas na lista estão as ações correspondentes para as quais você pode conceder permissões para realizar a ação, o AWS recurso para o qual você pode conceder as permissões e as chaves de condição que você pode incluir para um controle de acesso refinado. Você especifica as ações no campo `Action` da política, o valor de recurso no campo `Resource` da política e as condições no campo `Condition` da política. Para obter mais informações sobre as condições, consulte [Especificar condições em uma política](UsingWithRDS.IAM.AccessControl.Overview.md#SpecifyingIAMPolicyConditions-RDS).
Você pode usar chaves AWS de condição abrangentes em suas políticas do Amazon DocumentDB para expressar condições. Para obter uma lista completa AWS de chaves gerais, consulte [Chaves disponíveis](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) no *Guia do usuário do IAM*.
É possível testar as políticas do IAM com o simulador de políticas do IAM Ele fornece automaticamente uma lista dos recursos e parâmetros necessários para cada AWS ação, incluindo ações do Amazon DocumentDB. O simulador de políticas do IAM determina as permissões que são necessárias para cada uma das ações especificadas por você. Para obter informações sobre o simulador de políticas do IAM, consulte [Teste de políticas do IAM com o simulador de políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html) no Guia do *usuário do IAM*.
**nota**
Para especificar uma ação, use o prefixo `rds:` seguido do nome da operação da API (por exemplo, `rds:CreateDBInstance`).
O conteúdo a seguir lista operações de API do Amazon RDS e as ações, os recursos e as chaves de condição relacionados.
**Topics**
+ [Ações do Amazon DocumentDB que dão suporte a permissões no nível do recurso](#UsingWithRDS.IAM.ResourceLevelPermissions)
+ [Ações do Amazon DocumentDB que não dão suporte a permissões no nível do recurso](#UsingWithRDS.IAM.UnsupportedResourceLevelPermissions)
## Ações do Amazon DocumentDB que dão suporte a permissões no nível do recurso
As permissões em nível de recurso fornecem a capacidade de especificar os recursos nos quais os usuários têm permissão para executar ações. O Amazon DocumentDB oferece suporte parcial para permissões em nível de recurso. Isso significa que, para determinadas ações do Amazon DocumentDB, é possível controlar quando os usuários têm permissão para usar essas ações com base em condições que precisam ser concluídas, ou em recursos específicos que os usuários têm permissão para usar. Por exemplo, você pode conceder a usuários permissão para modificar somente instâncias específicas.
O conteúdo a seguir lista operações de API do Amazon DocumentDB e as ações, os recursos e as chaves de condição relacionados.
**nota**
Para determinados atributos de gerenciamento, o Amazon DocumentDB usa a tecnologia operacional que é compartilhada com o Amazon RDS. Para obter mais ações e permissões do Amazon DocumentDB, consulte [Ações, recursos e chaves de condição para o Amazon RDS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonrds.html) na *Referência de autorização do serviço*.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/documentdb/latest/developerguide/UsingWithRDS.IAM.ResourcePermissions.html)
## Ações do Amazon DocumentDB que não dão suporte a permissões no nível do recurso
É possível usar todas as ações do em uma política do Amazon DocumentDB em uma política do IAM para conceder ou negar aos usuários permissão para usar essa ação. Contudo, nem todas as ações do Amazon DocumentDB dão suporte a permissões no nível do recurso, que permitem especificar os recursos nos quais uma ação pode ser realizada. As ações de API do Amazon DocumentDB a seguir não oferecem suporte a permissões em nível de recurso no momento. Por isso, para usar essas ações em uma política do IAM, você deve conceder a usuários permissão para usar todos os recursos para a ação usando um caractere curinga `*` para o elemento `Resource` na instrução.
+ `rds:DescribeDBClusterSnapshots`
+ `rds:DescribeDBInstances`