Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwendung identitätsbasierter Richtlinien (IAM-Richtlinien) für Amazon DocumentDB
Wichtig
Für bestimmte Verwaltungsfunktionen verwendet Amazon DocumentDB Betriebstechnologie, die mit Amazon RDS gemeinsam genutzt wird. Amazon DocumentDB DocumentDB-Konsolen- und API-Aufrufe werden als Aufrufe der Amazon RDS-API protokolliert. AWS CLI
Wir empfehlen Ihnen, zunächst die einführenden Themen zu lesen, in denen die grundlegenden Konzepte und Optionen erläutert werden, die Ihnen zur Verwaltung des Zugriffs auf Ihre Amazon DocumentDB DocumentDB-Ressourcen zur Verfügung stehen. Weitere Informationen finden Sie unter Verwaltung der Zugriffsberechtigungen für Ihre Amazon DocumentDB DocumentDB-Ressourcen.
In diesem Thema finden Sie Beispiele für identitätsbasierte Richtlinien, in denen ein Kontoadministrator den IAM-Identitäten (Benutzer, Gruppen und Rollen) Berechtigungsrichtlinien anfügen kann.
Im Folgenden finden Sie ein Beispiel für eine IAM-Richtlinie.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateDBInstanceOnly", "Effect": "Allow", "Action": [ "rds:CreateDBInstance" ], "Resource": [ "arn:aws:rds:*:123456789012:db:test*", "arn:aws:rds:*:123456789012:pg:cluster-pg:default*", "arn:aws:rds:*:123456789012:subgrp:default" ] } ] }
Die Richtlinie ist ein einzelnes Statement, das die folgenden Berechtigungen für den IAM-Benutzer bestimmt:
-
Die Richtlinie ermöglicht es dem IAM-Benutzer, mithilfe der DBInstance Aktion Erstellen eine Instanz zu erstellen (dies gilt auch für den create-db-instance AWS CLI Vorgang und die AWS Management Console).
-
Das Element
Resource
gibt an, dass der Benutzer auf oder mit Ressourcen Aktionen ausführen kann. Sie geben Ressourcen über einen Amazon-Ressourcennamen (ARN) an. Dieser ARN enthält den Namen des Dienstes, zu dem die Ressource gehört (rds
), den AWS-Region (*
gibt in diesem Beispiel eine beliebige Region an), die Benutzerkontonummer (123456789012
ist in diesem Beispiel die Benutzer-ID) und den Ressourcentyp.Das
Resource
-Element im Beispiel gibt für den Benutzer die folgenden richtlinienbezogenen Einschränkungen für die Ressourcen an:-
Die Instance-Kennung für die neue Instance muss mit
test
beginnen (zum BeispieltestCustomerData1
,test-region2-data
). -
Die Parametergruppe für die neue Instance muss mit
default
beginnen. -
Die Subnetzgruppe für die neue Instance muss mit
default
beginnen.
-
Das Element Principal
ist in der Richtlinie nicht angegeben, da in identitätsbasierten Richtlinien die Angabe des Prinzipals als Empfänger der Berechtigung nicht erforderlich ist. Wenn Sie einem Benutzer eine Richtlinie zuweisen, ist der Benutzer automatisch der Prinzipal. Wird die Berechtigungsrichtlinie einer IAM-Rolle angefügt, erhält der in der Vertrauensrichtlinie der Rolle angegebene Prinzipal die Berechtigungen.
Eine Tabelle mit allen Amazon DocumentDB DocumentDB-API-Vorgängen und den Ressourcen, für die sie gelten, finden Sie unterAmazon DocumentDB DocumentDB-API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen.
Für die Verwendung der Amazon DocumentDB DocumentDB-Konsole sind Berechtigungen erforderlich
Damit ein Benutzer mit der Amazon DocumentDB DocumentDB-Konsole arbeiten kann, muss er über Mindestberechtigungen verfügen. Diese Berechtigungen ermöglichen es dem Benutzer, die Amazon DocumentDB DocumentDB-Ressourcen für ihn zu beschreiben AWS-Konto und andere verwandte Informationen bereitzustellen, einschließlich EC2 Amazon-Sicherheits- und Netzwerkinformationen.
Wenn Sie eine IAM-Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Benutzer mit dieser IAM-Richtlinie. Um sicherzustellen, dass diese Benutzer die Amazon DocumentDB DocumentDB-Konsole weiterhin verwenden können, fügen Sie dem Benutzer auch die AmazonDocDBConsoleFullAccess
verwaltete Richtlinie beiAWS verwaltete Richtlinien für Amazon DocumentDB, wie unter beschrieben.
Sie müssen Benutzern, die nur die Amazon DocumentDB-API AWS CLI oder die Amazon DocumentDB DocumentDB-API aufrufen, keine Mindestberechtigungen für die Konsole gewähren.
Beispiele für vom Kunden verwaltete Richtlinien
In diesem Abschnitt finden Sie Beispielbenutzerrichtlinien, die Berechtigungen für verschiedene Amazon DocumentDB DocumentDB-Aktionen gewähren. Diese Richtlinien funktionieren, wenn Sie Amazon DocumentDB DocumentDB-API-Aktionen verwenden AWS SDKs, oder die AWS CLI. Bei Verwendung der Konsole müssen Sie zusätzliche konsolenspezifische Berechtigungen erteilen, die im Abschnitt Für die Verwendung der Amazon DocumentDB DocumentDB-Konsole sind Berechtigungen erforderlich erläutert werden.
Für bestimmte Verwaltungsfunktionen verwendet Amazon DocumentDB Betriebstechnologie, die mit Amazon Relational Database Service (Amazon RDS) und Amazon Neptune gemeinsam genutzt wird.
Anmerkung
Alle Beispiele verwenden die Region USA Ost (Nord-Virginia) (us-east-1
) und enthalten ein fiktives Konto. IDs
Beispiel 1: Erlauben Sie einem Benutzer, eine beliebige Beschreibungsaktion für eine beliebige Amazon DocumentDB DocumentDB-Ressource auszuführen
Die folgende Berechtigungsrichtlinie gewährt Berechtigungen für einen Benutzer, alle Aktionen auszuführen, die mit beginne Describe
. Diese Aktionen zeigen Informationen über eine Amazon DocumentDB DocumentDB-Ressource, z. B. eine Instance. Das Platzhalterzeichen (*) im Resource
Element gibt an, dass die Aktionen für alle Amazon DocumentDB DocumentDB-Ressourcen zulässig sind, die dem Konto gehören.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"AllowRDSDescribe", "Effect":"Allow", "Action":"rds:Describe*", "Resource":"*" } ] }
Beispiel 2: Verhindern, dass ein Benutzer eine Instance löscht
Die folgenden Berechtigungsrichtlinien erteilen Berechtigungen, um einen Benutzer davon abzuhalten, eine bestimmte Instance zu löschen. Beispielsweise möchten Sie jedem Benutzer, der kein Administrator ist, verbieten, Ihre Produktions-Instances zu löschen.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"DenyDelete1", "Effect":"Deny", "Action":"rds:DeleteDBInstance", "Resource":"arn:aws:rds:us-east-1:123456789012:db:my-db-instance" } ] }
Beispiel 3: Verhindern Sie, dass ein Benutzer einen Cluster erstellt, sofern die Speicherverschlüsselung nicht aktiviert ist
Die folgende Berechtigungsrichtlinie verweigert einem Benutzer die Erlaubnis, einen Amazon DocumentDB-Cluster zu erstellen, sofern die Speicherverschlüsselung nicht aktiviert ist.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PreventUnencryptedDocumentDB", "Effect": "Deny", "Action": "RDS:CreateDBCluster", "Condition": { "Bool": { "rds:StorageEncrypted": "false" }, "StringEquals": { "rds:DatabaseEngine": "docdb" } }, "Resource": "*" } ] }