Für die Verwendung der Amazon DocumentDB DocumentDB-Konsole sind Berechtigungen erforderlich Beispiele für vom Kunden verwaltete Richtlinien

Verwendung identitätsbasierter Richtlinien (IAM-Richtlinien) für Amazon DocumentDB

Wichtig

Für bestimmte Verwaltungsfunktionen verwendet Amazon DocumentDB Betriebstechnologie, die mit Amazon RDS gemeinsam genutzt wird. Amazon DocumentDB DocumentDB-Konsolen- und API-Aufrufe werden als Aufrufe der Amazon RDS-API protokolliert. AWS CLI

Wir empfehlen Ihnen, zunächst die einführenden Themen zu lesen, in denen die grundlegenden Konzepte und Optionen erläutert werden, die Ihnen zur Verwaltung des Zugriffs auf Ihre Amazon DocumentDB DocumentDB-Ressourcen zur Verfügung stehen. Weitere Informationen finden Sie unter Verwaltung der Zugriffsberechtigungen für Ihre Amazon DocumentDB DocumentDB-Ressourcen.

In diesem Thema finden Sie Beispiele für identitätsbasierte Richtlinien, in denen ein Kontoadministrator den IAM-Identitäten (Benutzer, Gruppen und Rollen) Berechtigungsrichtlinien anfügen kann.

Im Folgenden finden Sie ein Beispiel für eine IAM-Richtlinie.



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateDBInstanceOnly",
            "Effect": "Allow",
            "Action": [
                "rds:CreateDBInstance"
            ],
            "Resource": [
                "arn:aws:rds:*:123456789012:db:test*",
                "arn:aws:rds:*:123456789012:pg:cluster-pg:default*",
                "arn:aws:rds:*:123456789012:subgrp:default"
            ]
        }
    ]
}

Die Richtlinie ist ein einzelnes Statement, das die folgenden Berechtigungen für den IAM-Benutzer bestimmt:

Die Richtlinie ermöglicht es dem IAM-Benutzer, mithilfe der DBInstance Aktion Erstellen eine Instanz zu erstellen (dies gilt auch für den create-db-instance AWS CLI Vorgang und die AWS Management Console).
Das Element Resource gibt an, dass der Benutzer auf oder mit Ressourcen Aktionen ausführen kann. Sie geben Ressourcen über einen Amazon-Ressourcennamen (ARN) an. Dieser ARN enthält den Namen des Dienstes, zu dem die Ressource gehört (rds), den AWS-Region (*gibt in diesem Beispiel eine beliebige Region an), die Benutzerkontonummer (123456789012ist in diesem Beispiel die Benutzer-ID) und den Ressourcentyp.

Das Resource-Element im Beispiel gibt für den Benutzer die folgenden richtlinienbezogenen Einschränkungen für die Ressourcen an:
- Die Instance-Kennung für die neue Instance muss mit test beginnen (zum Beispiel testCustomerData1, test-region2-data).
- Die Parametergruppe für die neue Instance muss mit default beginnen.
- Die Subnetzgruppe für die neue Instance muss mit default beginnen.

Das Element Principal ist in der Richtlinie nicht angegeben, da in identitätsbasierten Richtlinien die Angabe des Prinzipals als Empfänger der Berechtigung nicht erforderlich ist. Wenn Sie einem Benutzer eine Richtlinie zuweisen, ist der Benutzer automatisch der Prinzipal. Wird die Berechtigungsrichtlinie einer IAM-Rolle angefügt, erhält der in der Vertrauensrichtlinie der Rolle angegebene Prinzipal die Berechtigungen.

Eine Tabelle mit allen Amazon DocumentDB DocumentDB-API-Vorgängen und den Ressourcen, für die sie gelten, finden Sie unterAmazon DocumentDB DocumentDB-API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen.

Für die Verwendung der Amazon DocumentDB DocumentDB-Konsole sind Berechtigungen erforderlich

Damit ein Benutzer mit der Amazon DocumentDB DocumentDB-Konsole arbeiten kann, muss er über Mindestberechtigungen verfügen. Diese Berechtigungen ermöglichen es dem Benutzer, die Amazon DocumentDB DocumentDB-Ressourcen für ihn zu beschreiben AWS-Konto und andere verwandte Informationen bereitzustellen, einschließlich EC2 Amazon-Sicherheits- und Netzwerkinformationen.

Wenn Sie eine IAM-Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Benutzer mit dieser IAM-Richtlinie. Um sicherzustellen, dass diese Benutzer die Amazon DocumentDB DocumentDB-Konsole weiterhin verwenden können, fügen Sie dem Benutzer auch die AmazonDocDBConsoleFullAccess verwaltete Richtlinie beiAWS verwaltete Richtlinien für Amazon DocumentDB, wie unter beschrieben.

Sie müssen Benutzern, die nur die Amazon DocumentDB-API AWS CLI oder die Amazon DocumentDB DocumentDB-API aufrufen, keine Mindestberechtigungen für die Konsole gewähren.

Beispiele für vom Kunden verwaltete Richtlinien

In diesem Abschnitt finden Sie Beispielbenutzerrichtlinien, die Berechtigungen für verschiedene Amazon DocumentDB DocumentDB-Aktionen gewähren. Diese Richtlinien funktionieren, wenn Sie Amazon DocumentDB DocumentDB-API-Aktionen verwenden AWS SDKs, oder die AWS CLI. Bei Verwendung der Konsole müssen Sie zusätzliche konsolenspezifische Berechtigungen erteilen, die im Abschnitt Für die Verwendung der Amazon DocumentDB DocumentDB-Konsole sind Berechtigungen erforderlich erläutert werden.

Für bestimmte Verwaltungsfunktionen verwendet Amazon DocumentDB Betriebstechnologie, die mit Amazon Relational Database Service (Amazon RDS) und Amazon Neptune gemeinsam genutzt wird.

Anmerkung

Alle Beispiele verwenden die Region USA Ost (Nord-Virginia) (us-east-1) und enthalten ein fiktives Konto. IDs

Beispiele

Beispiel 1: Erlauben Sie einem Benutzer, eine beliebige Beschreibungsaktion für eine beliebige Amazon DocumentDB DocumentDB-Ressource auszuführen
Beispiel 2: Verhindern, dass ein Benutzer eine Instance löscht
Beispiel 3: Verhindern Sie, dass ein Benutzer einen Cluster erstellt, sofern die Speicherverschlüsselung nicht aktiviert ist

Beispiel 1: Erlauben Sie einem Benutzer, eine beliebige Beschreibungsaktion für eine beliebige Amazon DocumentDB DocumentDB-Ressource auszuführen

Die folgende Berechtigungsrichtlinie gewährt Berechtigungen für einen Benutzer, alle Aktionen auszuführen, die mit beginne Describe. Diese Aktionen zeigen Informationen über eine Amazon DocumentDB DocumentDB-Ressource, z. B. eine Instance. Das Platzhalterzeichen (*) im Resource Element gibt an, dass die Aktionen für alle Amazon DocumentDB DocumentDB-Ressourcen zulässig sind, die dem Konto gehören.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"AllowRDSDescribe",
         "Effect":"Allow",
         "Action":"rds:Describe*",
         "Resource":"*"
      }
   ]
}

Beispiel 2: Verhindern, dass ein Benutzer eine Instance löscht

Die folgenden Berechtigungsrichtlinien erteilen Berechtigungen, um einen Benutzer davon abzuhalten, eine bestimmte Instance zu löschen. Beispielsweise möchten Sie jedem Benutzer, der kein Administrator ist, verbieten, Ihre Produktions-Instances zu löschen.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"DenyDelete1",
         "Effect":"Deny",
         "Action":"rds:DeleteDBInstance",
         "Resource":"arn:aws:rds:us-east-1:123456789012:db:my-db-instance"
      }
   ]
}

Beispiel 3: Verhindern Sie, dass ein Benutzer einen Cluster erstellt, sofern die Speicherverschlüsselung nicht aktiviert ist

Die folgende Berechtigungsrichtlinie verweigert einem Benutzer die Erlaubnis, einen Amazon DocumentDB-Cluster zu erstellen, sofern die Speicherverschlüsselung nicht aktiviert ist.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "PreventUnencryptedDocumentDB",
         "Effect": "Deny",
         "Action": "RDS:CreateDBCluster",
         "Condition": {
         "Bool": {
         "rds:StorageEncrypted": "false"
      },
         "StringEquals": {
         "rds:DatabaseEngine": "docdb"
         }
      },
      "Resource": "*"
      }
   ]
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verwaltung der Zugriffsberechtigungen für Ihre Amazon DocumentDB DocumentDB-Ressourcen

AWS verwaltete Richtlinien für Amazon DocumentDB