Amazon DocumentDB API 权限:操作、资源和条件参考 - Amazon DocumentDB
支持的资源级权限不支持的资源级权限

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon DocumentDB API 权限:操作、资源和条件参考

在设置为亚马逊 DocumentDB 使用基于身份的IAM策略(策略)和编写可以附加到身份的权限策略(基于IAM身份的策略)时,请使用以下各节作为参考。

以下列出了亚马逊文档数据库API的每项操作。列表中包括您可以授予执行操作权限的相应操作、可以授予权限的 AWS 资源以及可以包含的用于精细访问控制的条件密钥。您需要在策略的 Action 字段中指定操作、在策略的 Resource 字段中指定资源值、在策略的 Condition 字段中指定条件。有关条件的更多信息,请参阅“在策略中指定条件”。

您可以在 Amazon DocumentDB 政策中使用 AWS全局条件键来表达条件。有关 AWS-wide 密钥的完整列表,请参阅《IAM用户指南》中的可用密钥

您可以使用IAM策略模拟器测试IAM策略。它会自动提供每项操作所需的资源和参数列表,包括 Amazon DocumentDB AWS 操作。IAM策略模拟器确定您指定的每项操作所需的权限。有关IAM策略模拟器的信息,请参阅《IAM用户指南》中的 “使用IAMIAM策略模拟器测试策略”。

注意

要指定操作,请使用rds:前缀和API操作名称(例如rds:CreateDBInstance)。

以下列出了 Amazon RDS API 运营及其相关操作、资源和条件键。

支持资源级权限的 Amazon DocumentDB 操作

资源级权限提供以下能力:指定允许用户对其执行操作的资源。Amazon DocumentDB 部分支持资源级权限。这意味着对于某些 Amazon DocumentDB 操作,您可以基于须满足的条件或允许用户使用的具体资源,控制何时允许用户使用这些操作。例如,您可以向用户授予仅修改特定实例的权限。

以下列出了 Amazon DocumentDB API 操作及其相关操作、资源和条件键。

注意

对于某些管理功能,Amazon DocumentDB 使用与亚马逊共享的操作技术。RDS有关 Amazon DocumentDB 的更多操作和权限,请参阅《服务授权参考》RDS中的 Amazon 操作、资源和条件密钥

不支持资源级权限的 Amazon DocumentDB 操作

您可以使用IAM策略中的所有 Amazon DocumentDB 操作来授予或拒绝用户使用该操作的权限。但是,并非所有 Amazon DocumentDB 操作都支持资源级权限,这使您能够指定可对其执行操作的资源。以下 Amazon DocumentDB API 操作目前不支持资源级权限。因此,要在IAM策略中使用这些操作,必须使用*通配符表示语句中的Resource元素,从而授予用户使用该操作的所有资源的权限。

  • rds:DescribeDBClusterSnapshots

  • rds:DescribeDBInstances