本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 管理 Amazon DocumentDB 資源的存取許可
每個 AWS 資源都由 擁有 AWS 帳戶,而建立或存取資源的許可是由許可政策管理。帳戶管理員可以將許可政策連接到 IAM 身分 (即使用者、群組和角色),某些服務 (例如 AWS Lambda) 也支援將許可政策連接到 資源。
**注意**
*帳戶管理員* (或管理員使用者) 是具有管理員許可的使用者。如需詳細資訊,請參《[IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)》中的 *IAM 最佳實務*。
**Topics**
+ [Amazon DocumentDB 資源和操作](#CreatingIAMPolicies-RDS)
+ [了解資源所有權](#UsingWithRDS.IAM.AccessControl.ResourceOwner)
+ [管理 資源的存取](#UsingWithRDS.IAM.AccessControl.ManagingAccess)
+ [指定政策元素:動作、效果、資源和委託人](#SpecifyingIAMPolicyActions-RDS)
+ [在政策中指定條件](#SpecifyingIAMPolicyConditions-RDS)
## Amazon DocumentDB 資源和操作
在 Amazon DocumentDB 中,主要資源是*叢集*。Amazon DocumentDB 支援可與*執行個體*、*參數群組*和*事件訂閱*等主要資源搭配使用的其他資源。這些資源稱為*「子資源」*。
這些資源和子資源都有獨一無二的 Amazon Resource Name (ARN) 與其相關聯,如下表所示。
| **資源類型** | **ARN 格式** |
| --- | --- |
| 叢集 | `arn:aws:rds:region:account-id:cluster:db-cluster-name` |
| 叢集參數群組 | `arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name` |
| 叢集快照 | `arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name` |
| 執行個體 | `arn:aws:rds:region:account-id:db:db-instance-name` |
| 安全群組 | `arn:aws:rds:region:account-id:secgrp:security-group-name` |
| 子網路群組 | `arn:aws:rds:region:account-id:subgrp:subnet-group-name` |
Amazon DocumentDB 提供一組操作來使用 Amazon DocumentDB 資源。如需可用操作的清單,請參閱[動作](https://docs.aws.amazon.com/documentdb/latest/developerguide/API_Operations.html)。
## 了解資源所有權
*資源擁有者*是建立資源 AWS 帳戶 的 。也就是說,資源擁有者是驗證建立資源之請求 AWS 帳戶 的*委託人實體* (根帳戶、IAM 使用者或 IAM 角色) 的 。下列範例說明其如何運作:
+ 如果您使用 的根帳戶登入 AWS 帳戶 資料來建立 Amazon DocumentDB 資源,例如 執行個體,則您的 AWS 帳戶 是 Amazon DocumentDB 資源的擁有者。
+ 如果您在 中建立 IAM 使用者, AWS 帳戶 並將建立 Amazon DocumentDB 資源的許可授予該使用者,則使用者可以建立 Amazon DocumentDB 資源。不過,使用者所屬 AWS 帳戶的 擁有 Amazon DocumentDB 資源。
+ 如果您在 中建立 AWS 帳戶 具有建立 Amazon DocumentDB 資源許可的 IAM 角色,則任何可以擔任該角色的人都可以建立 Amazon DocumentDB 資源。 AWS 帳戶角色所屬的 擁有 Amazon DocumentDB 資源。
## 管理 資源的存取
*許可政策*描述誰可以存取哪些資源。下一節說明可用來建立許可政策的選項。
**注意**
本節討論在 Amazon DocumentDB 的內容中使用 IAM。它不提供 IAM 服務的詳細資訊。如需完整的 IAM 文件,請參閱*IAM 使用者指南*中的[什麼是 IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。如需 IAM 政策語法和說明的相關資訊,請參閱《*IAM 使用者指南*》中的[AWSIAM 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
連接至 IAM 身分的政策稱為*身分識別型*政策 (IAM 政策)。連接到資源的政策稱為「資源類型」**政策。Amazon DocumentDB 僅支援以身分為基礎的政策 (IAM 政策)。
**Topics**
+ [身分類型政策 (IAM 政策)](#UsingWithRDS.IAM.AccessControl.ManagingAccess.IdentityBased)
+ [資源型政策](#UsingWithRDS.IAM.AccessControl.ManagingAccess.ResourceBased)
### 身分類型政策 (IAM 政策)
您可以將政策連接到 IAM 身分。例如,您可以執行下列動作:
+ **將許可政策連接至您帳戶中的使用者或群組** – 帳戶管理員可以使用與特定使用者相關聯的許可政策,授予該使用者建立 Amazon DocumentDB 資源的許可,例如 執行個體。
+ **將許可政策連接至角色 (授予跨帳戶許可)**:您可以將身分識別型許可政策連接至 IAM 角色,藉此授予跨帳戶許可。例如,管理員可以建立角色,將跨帳戶許可授予另一個 AWS 帳戶 或 AWS 服務,如下所示:
1. 帳戶 A 管理員建立 IAM 角色,並將許可政策連接到可授與帳戶 A 中資源許可的角色。
1. 帳戶 A 管理員將信任政策連接至該角色,識別帳戶 B 做為可擔任該角的委託人。
1. 帳戶 B 管理員接著可以將擔任該角色的許可委派給帳戶 B 中的任何使用者。這樣做可讓帳戶 B 中的使用者在帳戶 A 中建立或存取資源。如果您想要將擔任該角色的許可授予服務,則信任政策中的委託人也可以是 AWS 服務 AWS 委託人。
如需使用 IAM 來委派許可的相關資訊,請參閱《IAM 使用者指南》**中的[存取管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)。
以下是允許 ID 為 的使用者為您的 `123456789012`建立執行個體的範例政策 AWS 帳戶。新的執行個體還須使用選項群組,以及以 `default` 開頭的資料庫參數群組,而且它還須使用 `default` 子網路群組。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateDBInstanceOnly",
"Effect": "Allow",
"Action": [
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:rds:*:123456789012:db:test*",
"arn:aws:rds:*:123456789012:pg:cluster-pg:default*",
"arn:aws:rds:*:123456789012:subgrp:default"
]
}
]
}
```
------
如需搭配 Amazon DocumentDB 使用身分型政策的詳細資訊,請參閱 [針對 Amazon DocumentDB 使用身分型政策 (IAM 政策)](UsingWithRDS.IAM.AccessControl.IdentityBased.md)。如需使用者、群組、角色和許可的詳細資訊,請參閱《IAM 使用者指南》**中的[身分 (使用者、群組和角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)。
### 資源型政策
其他 服務,例如 Amazon Simple Storage Service (Amazon S3),也支援以資源為基礎的許可政策。例如,您可以將政策連接至 Simple Storage Service (Amazon S3) 儲存貯體,以管理該儲存貯體的存取許可。Amazon DocumentDB 不支援以資源為基礎的政策。
## 指定政策元素:動作、效果、資源和委託人
對於每個 Amazon DocumentDB 資源 (請參閱[Amazon DocumentDB 資源和操作](#CreatingIAMPolicies-RDS)),服務會定義一組 API 操作。如需詳細資訊,請參閱[動作](https://docs.aws.amazon.com/redshift/latest/APIReference/API_Operations.html)。若要授予這些 API 操作的許可,Amazon DocumentDB 會定義一組您可以在政策中指定的動作。執行一項 API 操作可能需要多個動作的許可。
以下是基本的政策元素:
+ **資源** – 在政策中,您可以使用 Amazon Resource Name (ARN) 來識別要套用政策的資源。
+ **動作**:使用動作關鍵字識別您要允許或拒絕的資源操作。例如,`rds:DescribeDBInstances` 許可允許使用者執行 `DescribeDBInstances` 操作。
+ **效果** - 您可以指定使用者要求特定動作時會有什麼效果;可為允許或拒絕。如果您未明確授予存取 (允許) 資源,則隱含地拒絕存取。您也可以明確拒絕資源存取,這樣做可確保使用者無法存取資源,即使不同政策授予存取也是一樣。
+ **委託人**:在以身分為基礎的政策 (IAM 政策) 中,政策所連接的使用者就是隱含委託人。對於資源型政策,您可以指定想要收到許可的使用者、帳戶、服務或其他實體 (僅適用於資源型政策)。Amazon DocumentDB 不支援以資源為基礎的政策。
如需進一步了解有關 IAM 政策語法和說明的詳細資訊,請參閱《IAM 使用者指南》** 中的 [AWS IAM 政策參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
如需顯示所有 Amazon DocumentDB API 動作及其適用的資源的資料表,請參閱 [Amazon DocumentDB API 許可:動作、資源和條件參考](UsingWithRDS.IAM.ResourcePermissions.md)。
## 在政策中指定條件
當您授與許可時,您可以使用 IAM 政策語言指定政策生效時間的條件。例如,建議只在特定日期之後套用政策。如需使用政策語言指定條件的詳細資訊,請參閱*IAM 使用者指南*中的[條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition)。
欲表示條件,您可以使用預先定義的條件金鑰。Amazon DocumentDB 沒有可在 IAM 政策中使用的服務特定內容金鑰。如需所有 服務可用的全域條件內容金鑰清單,請參閱《*IAM 使用者指南*》中的[可用條件金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys)。