Amazon DocumentDB API許可:動作、資源和條件參考 - Amazon DocumentDB

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon DocumentDB API許可:動作、資源和條件參考

當您設定針對 Amazon DocumentDB 使用身分型政策 (IAM 政策)和寫入可附加至IAM身分 (身分型政策) 的許可政策時,請使用下列各節做為參考。

下列列出每個 Amazon DocumentDB API操作。清單中包含的對應動作是您可以授予執行動作的許可、您可以授予許可 AWS 的資源,以及您可以包含用於精細存取控制的條件索引鍵。您可以在政策的 Action 欄位中指定動作、在政策的 Resource 欄位中指定資源值,以及在政策的 Condition 欄位中指定條件。如需條件的相關資訊,請參閱在政策中指定條件

您可以在 Amazon DocumentDB 政策中使用 AWS-wide 條件索引鍵來表達條件。如需 AWS全 金鑰的完整清單,請參閱 IAM 使用者指南 中的可用金鑰

您可以使用IAM政策模擬器來測試IAM政策。它會自動提供每個 AWS 動作所需的資源和參數清單,包括 Amazon DocumentDB 動作。IAM 政策模擬器會決定您指定的每個動作所需的許可。如需IAM政策模擬器的相關資訊,請參閱 IAM 使用者指南 中的IAM使用IAM政策模擬器測試政策。

注意

若要指定動作,請使用rds:字首,後面加上API操作名稱 (例如 rds:CreateDBInstance)。

下列列出 Amazon RDSAPI操作及其相關動作、資源和條件索引鍵。

支援資源層級許可的 Amazon DocumentDB 動作

資源層級許可可讓您指定允許使用者執行動作的資源。Amazon DocumentDB 部分支援資源層級許可。這表示對於某些 Amazon DocumentDB 動作,您可以根據必須滿足的條件,或允許使用者使用的特定資源,控制使用者何時可以使用這些動作。例如,您可以授予使用者只修改特定執行個體的許可。

下列列出 Amazon DocumentDB API操作及其相關動作、資源和條件索引鍵。

注意

對於某些管理功能,Amazon DocumentDB 使用與 Amazon 共用的操作技術RDS。如需更多 Amazon DocumentDB 動作和許可,請參閱服務授權參考 中的 Amazon 動作、資源和條件索引鍵RDS

不支援資源層級許可的 Amazon DocumentDB 動作

您可以使用IAM政策中的所有 Amazon DocumentDB 動作來授予或拒絕使用者使用該動作的許可。但是,並非所有 Amazon DocumentDB 動作都支援資源層級許可,這可讓您指定可以執行動作的資源。下列 Amazon DocumentDB API動作目前不支援資源層級許可。因此,若要在IAM政策中使用這些動作,您必須為陳述式中的 Resource元素使用*萬用字元,授予使用者使用動作所有資源的許可。

  • rds:DescribeDBClusterSnapshots

  • rds:DescribeDBInstances