本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon DocumentDB API許可:動作、資源和條件參考
當您設定針對 Amazon DocumentDB 使用身分型政策 (IAM 政策)和寫入可附加至IAM身分 (身分型政策) 的許可政策時,請使用下列各節做為參考。
下列列出每個 Amazon DocumentDB API操作。清單中包含的對應動作是您可以授予執行動作的許可、您可以授予許可 AWS 的資源,以及您可以包含用於精細存取控制的條件索引鍵。您可以在政策的 Action
欄位中指定動作、在政策的 Resource
欄位中指定資源值,以及在政策的 Condition
欄位中指定條件。如需條件的相關資訊,請參閱在政策中指定條件。
您可以在 Amazon DocumentDB 政策中使用 AWS-wide 條件索引鍵來表達條件。如需 AWS全 金鑰的完整清單,請參閱 IAM 使用者指南 中的可用金鑰。
您可以使用IAM政策模擬器來測試IAM政策。它會自動提供每個 AWS 動作所需的資源和參數清單,包括 Amazon DocumentDB 動作。IAM 政策模擬器會決定您指定的每個動作所需的許可。如需IAM政策模擬器的相關資訊,請參閱 IAM 使用者指南 中的IAM使用IAM政策模擬器測試政策。
注意
若要指定動作,請使用rds:
字首,後面加上API操作名稱 (例如 rds:CreateDBInstance
)。
下列列出 Amazon RDSAPI操作及其相關動作、資源和條件索引鍵。
支援資源層級許可的 Amazon DocumentDB 動作
資源層級許可可讓您指定允許使用者執行動作的資源。Amazon DocumentDB 部分支援資源層級許可。這表示對於某些 Amazon DocumentDB 動作,您可以根據必須滿足的條件,或允許使用者使用的特定資源,控制使用者何時可以使用這些動作。例如,您可以授予使用者只修改特定執行個體的許可。
下列列出 Amazon DocumentDB API操作及其相關動作、資源和條件索引鍵。
注意
對於某些管理功能,Amazon DocumentDB 使用與 Amazon 共用的操作技術RDS。如需更多 Amazon DocumentDB 動作和許可,請參閱服務授權參考 中的 Amazon 動作、資源和條件索引鍵RDS。
Amazon DocumentDB API操作和動作 | 資源 | 條件金鑰 |
---|---|---|
|
執行個體
|
|
子網路群組
|
|
|
|
執行個體
|
|
|
叢集快照
|
|
|
叢集
|
|
叢集參數群組
|
|
|
子網路群組
|
|
|
|
叢集參數群組
|
|
|
叢集
|
|
叢集快照
|
|
|
|
執行個體
|
|
叢集
|
|
|
|
子網路群組
|
|
|
執行個體
|
|
|
子網路群組
|
|
DescribeDBClusterParameterGroups
|
叢集參數群組
|
|
|
叢集參數群組
|
|
|
叢集
|
|
DescribeDBClusterSnapshotAttributes
|
叢集快照
|
|
|
子網路群組
|
|
DescribePendingMaintenanceActions
|
執行個體
|
|
|
叢集
|
|
|
執行個體
|
|
子網路群組
|
|
|
|
叢集
|
|
叢集參數群組
|
|
|
|
叢集參數群組
|
|
ModifyDBClusterSnapshotAttribute
|
叢集快照
|
|
|
執行個體
|
|
|
執行個體
|
|
|
執行個體
|
|
子網路群組
|
|
|
|
叢集參數群組
|
|
|
叢集
|
|
叢集快照
|
|
|
|
叢集
|
|
子網路群組
|
|
不支援資源層級許可的 Amazon DocumentDB 動作
您可以使用IAM政策中的所有 Amazon DocumentDB 動作來授予或拒絕使用者使用該動作的許可。但是,並非所有 Amazon DocumentDB 動作都支援資源層級許可,這可讓您指定可以執行動作的資源。下列 Amazon DocumentDB API動作目前不支援資源層級許可。因此,若要在IAM政策中使用這些動作,您必須為陳述式中的 Resource
元素使用*
萬用字元,授予使用者使用動作所有資源的許可。
-
rds:DescribeDBClusterSnapshots
-
rds:DescribeDBInstances