Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS verwaltete Richtlinien für Amazon DocumentDB
Um Benutzern, Gruppen und Rollen Berechtigungen hinzuzufügen, ist es einfacher, AWS verwaltete Richtlinien zu verwenden, als Richtlinien selbst zu schreiben. Es erfordert Zeit und Fachwissen, um vom IAMKunden verwaltete Richtlinien zu erstellen, die Ihrem Team nur die Berechtigungen gewähren, die es benötigt. Um schnell loszulegen, können Sie unsere AWS verwalteten Richtlinien verwenden. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS Konto verfügbar. Weitere Informationen zu AWS verwalteten Richtlinien finden Sie unter AWS Verwaltete Richtlinien im AWS Identity and Access Management-Benutzerhandbuch.
AWS Dienste verwalten und aktualisieren AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Dienste fügen einer AWS verwalteten Richtlinie gelegentlich zusätzliche Berechtigungen hinzu, um neue Funktionen zu unterstützen. Diese Art von Update betrifft alle Identitäten (Benutzer, Gruppen und Rollen), an welche die Richtlinie angehängt ist. Es ist sehr wahrscheinlich, dass Dienste eine AWS verwaltete Richtlinie aktualisieren, wenn eine neue Funktion eingeführt wird oder wenn neue Operationen verfügbar werden. Dienste entfernen keine Berechtigungen aus einer AWS verwalteten Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.
AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die ViewOnlyAccess AWS verwaltete Richtlinie bietet beispielsweise Lesezugriff auf viele AWS Dienste und Ressourcen. Wenn ein Dienst eine neue Funktion startet, werden nur Leseberechtigungen für neue Operationen und Ressourcen AWS hinzugefügt. Eine Liste und eine Beschreibung der Richtlinien für Jobfunktionen finden Sie unter AWS Verwaltete Richtlinien für Jobfunktionen im AWS Identity and Access Management-Benutzerhandbuch.
Die folgenden AWS verwalteten Richtlinien, die Sie Benutzern in Ihrem Konto zuordnen können, sind spezifisch für Amazon DocumentDB:
AmazonDocDBFullAccess— Gewährt vollen Zugriff auf alle Amazon DocumentDB DocumentDB-Ressourcen für das AWS Root-Konto.
AmazonDocDBReadOnlyAccess— Gewährt schreibgeschützten Zugriff auf alle Amazon DocumentDB DocumentDB-Ressourcen für das Root-Konto. AWS
AmazonDocDBConsoleFullAccess— Gewährt vollen Zugriff auf die Verwaltung von Amazon DocumentDB- und Amazon DocumentDB Elastic Cluster-Ressourcen mithilfe von. AWS Management Console
AmazonDocDBElasticReadOnlyAccess— Gewährt schreibgeschützten Zugriff auf alle Amazon DocumentDB Elastic Cluster-Ressourcen für das Root-Konto. AWS
AmazonDocDBElasticFullAccess— Gewährt vollen Zugriff auf alle Amazon DocumentDB Elastic Cluster-Ressourcen für das AWS Root-Konto.
AmazonDocDBFullAccess
Diese Richtlinie gewährt Administratorberechtigungen, die einem Principal vollen Zugriff auf alle Amazon DocumentDB DocumentDB-Aktionen gewähren. Die Berechtigungen in dieser Richtlinie sind wie folgt gruppiert:
Die Amazon DocumentDB DocumentDB-Berechtigungen ermöglichen alle Amazon DocumentDB DocumentDB-Aktionen.
Einige der EC2 Amazon-Berechtigungen in dieser Richtlinie sind erforderlich, um die übergebenen Ressourcen in einer API Anfrage zu validieren. Dadurch wird sichergestellt, dass Amazon DocumentDB die Ressourcen erfolgreich mit einem Cluster nutzen kann. Die übrigen EC2 Amazon-Berechtigungen in dieser Richtlinie ermöglichen es Amazon DocumentDB, AWS Ressourcen zu erstellen, die erforderlich sind, damit Sie eine Verbindung zu Ihren Clustern herstellen können.
Die Amazon DocumentDB DocumentDB-Berechtigungen werden bei API Aufrufen verwendet, um die übergebenen Ressourcen in einer Anfrage zu validieren. Sie sind erforderlich, damit Amazon DocumentDB den übergebenen Schlüssel mit dem Amazon DocumentDB-Cluster verwenden kann.
Die CloudWatch Protokolle sind erforderlich, damit Amazon DocumentDB sicherstellen kann, dass die Protokollzustellungsziele erreichbar sind und dass sie für die Verwendung von Broker-Protokollen gültig sind.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "rds:AddRoleToDBCluster", "rds:AddSourceIdentifierToSubscription", "rds:AddTagsToResource", "rds:ApplyPendingMaintenanceAction", "rds:CopyDBClusterParameterGroup", "rds:CopyDBClusterSnapshot", "rds:CopyDBParameterGroup", "rds:CreateDBCluster", "rds:CreateDBClusterParameterGroup", "rds:CreateDBClusterSnapshot", "rds:CreateDBInstance", "rds:CreateDBParameterGroup", "rds:CreateDBSubnetGroup", "rds:CreateEventSubscription", "rds:DeleteDBCluster", "rds:DeleteDBClusterParameterGroup", "rds:DeleteDBClusterSnapshot", "rds:DeleteDBInstance", "rds:DeleteDBParameterGroup", "rds:DeleteDBSubnetGroup", "rds:DeleteEventSubscription", "rds:DescribeAccountAttributes", "rds:DescribeCertificates", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBClusterParameters", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBLogFiles", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSecurityGroups", "rds:DescribeDBSubnetGroups", "rds:DescribeEngineDefaultClusterParameters", "rds:DescribeEngineDefaultParameters", "rds:DescribeEventCategories", "rds:DescribeEventSubscriptions", "rds:DescribeEvents", "rds:DescribeOptionGroups", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribePendingMaintenanceActions", "rds:DescribeValidDBInstanceModifications", "rds:DownloadDBLogFilePortion", "rds:FailoverDBCluster", "rds:ListTagsForResource", "rds:ModifyDBCluster", "rds:ModifyDBClusterParameterGroup", "rds:ModifyDBClusterSnapshotAttribute", "rds:ModifyDBInstance", "rds:ModifyDBParameterGroup", "rds:ModifyDBSubnetGroup", "rds:ModifyEventSubscription", "rds:PromoteReadReplicaDBCluster", "rds:RebootDBInstance", "rds:RemoveRoleFromDBCluster", "rds:RemoveSourceIdentifierFromSubscription", "rds:RemoveTagsFromResource", "rds:ResetDBClusterParameterGroup", "rds:ResetDBParameterGroup", "rds:RestoreDBClusterFromSnapshot", "rds:RestoreDBClusterToPointInTime" ], "Effect": "Allow", "Resource": [ "*" ] }, { "Action": [ "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "ec2:DescribeAccountAttributes", "ec2:DescribeAvailabilityZones", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcs", "kms:ListAliases", "kms:ListKeyPolicies", "kms:ListKeys", "kms:ListRetirableGrants", "logs:DescribeLogStreams", "logs:GetLogEvents", "sns:ListSubscriptions", "sns:ListTopics", "sns:Publish" ], "Effect": "Allow", "Resource": [ "*" ] }, { "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS", "Condition": { "StringLike": { "iam:AWS ServiceName": "rds.amazonaws.com" } } } ] }
AmazonDocDBReadOnlyAccess
Diese Richtlinie gewährt nur Leseberechtigungen, die es Benutzern ermöglichen, Informationen in Amazon DocumentDB einzusehen. Principals, denen diese Richtlinie beigefügt ist, können weder Aktualisierungen vornehmen oder bestehende Ressourcen löschen, noch können sie neue Amazon DocumentDB DocumentDB-Ressourcen erstellen. Prinzipale mit diesen Berechtigungen können beispielsweise die Liste der Cluster und Konfigurationen, die mit ihrem Konto verknüpft sind, einsehen, aber nicht die Konfiguration oder Einstellungen von Clustern ändern. Die Berechtigungen in dieser Richtlinie sind wie folgt gruppiert:
Mit Amazon DocumentDB DocumentDB-Berechtigungen können Sie Amazon DocumentDB DocumentDB-Ressourcen auflisten, beschreiben und Informationen über sie abrufen.
EC2Amazon-Berechtigungen werden verwendet, um AmazonVPC, Subnetze und Sicherheitsgruppen zu beschreiben, ENIs die einem Cluster zugeordnet sind.
Eine Amazon DocumentDB DocumentDB-Berechtigung wird verwendet, um den Schlüssel zu beschreiben, der dem Cluster zugeordnet ist.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "rds:DescribeAccountAttributes", "rds:DescribeCertificates", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBClusterParameters", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBLogFiles", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSubnetGroups", "rds:DescribeEventCategories", "rds:DescribeEventSubscriptions", "rds:DescribeEvents", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribePendingMaintenanceActions", "rds:DownloadDBLogFilePortion", "rds:ListTagsForResource" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "ec2:DescribeAccountAttributes", "ec2:DescribeAvailabilityZones", "ec2:DescribeInternetGateways", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcs" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "kms:ListKeys", "kms:ListRetirableGrants", "kms:ListAliases", "kms:ListKeyPolicies" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "logs:DescribeLogStreams", "logs:GetLogEvents" ], "Effect": "Allow", "Resource": [ "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*", "arn:aws:logs:*:*:log-group:/aws/docdb/*:log-stream:*" ] } ] }
AmazonDocDBConsoleFullAccess
Gewährt vollen Zugriff auf die Verwaltung von Amazon DocumentDB DocumentDB-Ressourcen unter Verwendung der folgenden AWS Management Console Optionen:
Die Amazon DocumentDB-Berechtigungen, um alle Amazon DocumentDB- und Amazon DocumentDB-Cluster-Aktionen zuzulassen.
Einige der EC2 Amazon-Berechtigungen in dieser Richtlinie sind erforderlich, um die übergebenen Ressourcen in einer API Anfrage zu validieren. Dadurch wird sichergestellt, dass Amazon DocumentDB die Ressourcen erfolgreich für die Bereitstellung und Wartung des Clusters nutzen kann. Die restlichen EC2 Amazon-Berechtigungen in dieser Richtlinie ermöglichen es Amazon DocumentDB, AWS Ressourcen zu erstellen, die erforderlich sind, damit Sie eine Verbindung zu Ihren Clustern herstellen können, z. VPCEndpoint
AWS KMS Berechtigungen werden bei API Aufrufen verwendet, AWS KMS um die übergebenen Ressourcen in einer Anfrage zu validieren. Sie sind erforderlich, damit Amazon DocumentDB den übergebenen Schlüssel verwenden kann, um die Daten im Ruhezustand mit dem Amazon DocumentDB Elastic Cluster zu verschlüsseln und zu entschlüsseln.
Die CloudWatch Protokolle sind erforderlich, damit Amazon DocumentDB sicherstellen kann, dass die Ziele für die Protokollzustellung erreichbar sind und dass sie für die Verwendung von Prüfungs- und Profilerstellungsprotokollen gültig sind.
Secrets Manager Manager-Berechtigungen sind erforderlich, um das angegebene Geheimnis zu validieren und es zu verwenden, um den Admin-Benutzer für Amazon DocumentDB Elastic Clusters einzurichten.
RDSAmazon-Berechtigungen sind für Amazon DocumentDB-Cluster-Management-Aktionen erforderlich. Für bestimmte Verwaltungsfunktionen verwendet Amazon DocumentDB Betriebstechnologie, die mit Amazon RDS geteilt wird.
SNSBerechtigungen ermöglichen es Prinzipalen, Amazon Simple Notification Service (AmazonSNS) -Abonnements und -Themen zu abonnieren und SNS Amazon-Nachrichten zu veröffentlichen.
IAMFür die Erstellung der mit dem Service verknüpften Rollen, die für die Veröffentlichung von Metriken und Protokollen erforderlich sind, sind Berechtigungen erforderlich.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DocdbSids", "Effect": "Allow", "Action": [ "docdb-elastic:CreateCluster", "docdb-elastic:UpdateCluster", "docdb-elastic:GetCluster", "docdb-elastic:DeleteCluster", "docdb-elastic:ListClusters", "docdb-elastic:CreateClusterSnapshot", "docdb-elastic:GetClusterSnapshot", "docdb-elastic:DeleteClusterSnapshot", "docdb-elastic:ListClusterSnapshots", "docdb-elastic:RestoreClusterFromSnapshot", "docdb-elastic:TagResource", "docdb-elastic:UntagResource", "docdb-elastic:ListTagsForResource", "docdb-elastic:CopyClusterSnapshot", "docdb-elastic:StartCluster", "docdb-elastic:StopCluster", "rds:AddRoleToDBCluster", "rds:AddSourceIdentifierToSubscription", "rds:AddTagsToResource", "rds:ApplyPendingMaintenanceAction", "rds:CopyDBClusterParameterGroup", "rds:CopyDBClusterSnapshot", "rds:CopyDBParameterGroup", "rds:CreateDBCluster", "rds:CreateDBClusterParameterGroup", "rds:CreateDBClusterSnapshot", "rds:CreateDBInstance", "rds:CreateDBParameterGroup", "rds:CreateDBSubnetGroup", "rds:CreateEventSubscription", "rds:CreateGlobalCluster", "rds:DeleteDBCluster", "rds:DeleteDBClusterParameterGroup", "rds:DeleteDBClusterSnapshot", "rds:DeleteDBInstance", "rds:DeleteDBParameterGroup", "rds:DeleteDBSubnetGroup", "rds:DeleteEventSubscription", "rds:DeleteGlobalCluster", "rds:DescribeAccountAttributes", "rds:DescribeCertificates", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBClusterParameters", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBLogFiles", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSecurityGroups", "rds:DescribeDBSubnetGroups", "rds:DescribeEngineDefaultClusterParameters", "rds:DescribeEngineDefaultParameters", "rds:DescribeEventCategories", "rds:DescribeEventSubscriptions", "rds:DescribeEvents", "rds:DescribeGlobalClusters", "rds:DescribeOptionGroups", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribePendingMaintenanceActions", "rds:DescribeValidDBInstanceModifications", "rds:DownloadDBLogFilePortion", "rds:FailoverDBCluster", "rds:ListTagsForResource", "rds:ModifyDBCluster", "rds:ModifyDBClusterParameterGroup", "rds:ModifyDBClusterSnapshotAttribute", "rds:ModifyDBInstance", "rds:ModifyDBParameterGroup", "rds:ModifyDBSubnetGroup", "rds:ModifyEventSubscription", "rds:ModifyGlobalCluster", "rds:PromoteReadReplicaDBCluster", "rds:RebootDBInstance", "rds:RemoveFromGlobalCluster", "rds:RemoveRoleFromDBCluster", "rds:RemoveSourceIdentifierFromSubscription", "rds:RemoveTagsFromResource", "rds:ResetDBClusterParameterGroup", "rds:ResetDBParameterGroup", "rds:RestoreDBClusterFromSnapshot", "rds:RestoreDBClusterToPointInTime" ], "Resource": [ "*" ] }, { "Sid": "DependencySids", "Effect": "Allow", "Action": [ "iam:GetRole", "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "ec2:AllocateAddress", "ec2:AssignIpv6Addresses", "ec2:AssignPrivateIpAddresses", "ec2:AssociateAddress", "ec2:AssociateRouteTable", "ec2:AssociateSubnetCidrBlock", "ec2:AssociateVpcCidrBlock", "ec2:AttachInternetGateway", "ec2:AttachNetworkInterface", "ec2:CreateCustomerGateway", "ec2:CreateDefaultSubnet", "ec2:CreateDefaultVpc", "ec2:CreateInternetGateway", "ec2:CreateNatGateway", "ec2:CreateNetworkInterface", "ec2:CreateRoute", "ec2:CreateRouteTable", "ec2:CreateSecurityGroup", "ec2:CreateSubnet", "ec2:CreateVpc", "ec2:CreateVpcEndpoint", "ec2:DescribeAccountAttributes", "ec2:DescribeAddresses", "ec2:DescribeAvailabilityZones", "ec2:DescribeCustomerGateways", "ec2:DescribeInstances", "ec2:DescribeNatGateways", "ec2:DescribeNetworkInterfaces", "ec2:DescribePrefixLists", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroupReferences", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ec2:ModifyNetworkInterfaceAttribute", "ec2:ModifySubnetAttribute", "ec2:ModifyVpcAttribute", "ec2:ModifyVpcEndpoint", "kms:DescribeKey", "kms:ListAliases", "kms:ListKeyPolicies", "kms:ListKeys", "kms:ListRetirableGrants", "logs:DescribeLogStreams", "logs:GetLogEvents", "sns:ListSubscriptions", "sns:ListTopics", "sns:Publish" ], "Resource": [ "*" ] }, { "Sid": "DocdbSLRSid", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS", "Condition": { "StringLike": { "iam:AWSServiceName": "rds.amazonaws.com" } } }, { "Sid": "DocdbElasticSLRSid", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic", "Condition": { "StringLike": { "iam:AWSServiceName": "docdb-elastic.amazonaws.com" } } } ] }
AmazonDocDBElasticReadOnlyAccess
Diese Richtlinie gewährt nur Leseberechtigungen, mit denen Benutzer Elastic Cluster-Informationen in Amazon DocumentDB anzeigen können. Principals, denen diese Richtlinie beigefügt ist, können weder Aktualisierungen vornehmen oder bestehende Ressourcen löschen, noch können sie neue Amazon DocumentDB DocumentDB-Ressourcen erstellen. Prinzipale mit diesen Berechtigungen können beispielsweise die Liste der Cluster und Konfigurationen, die mit ihrem Konto verknüpft sind, einsehen, aber nicht die Konfiguration oder Einstellungen von Clustern ändern. Die Berechtigungen in dieser Richtlinie sind wie folgt gruppiert:
Mit Amazon DocumentDB-Elastic-Cluster-Berechtigungen können Sie Elastic Cluster-Ressourcen von Amazon DocumentDB auflisten, beschreiben und Informationen über sie abrufen.
CloudWatch Berechtigungen werden verwendet, um Servicemetriken zu überprüfen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "docdb-elastic:ListClusters", "docdb-elastic:GetCluster", "docdb-elastic:ListClusterSnapshots", "docdb-elastic:GetClusterSnapshot", "docdb-elastic:ListTagsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics" ], "Resource": "*" } ] }
AmazonDocDBElasticFullAccess
Diese Richtlinie gewährt Administratorberechtigungen, die einem Principal vollen Zugriff auf alle Amazon DocumentDB-Aktionen für Amazon DocumentDB Elastic Cluster gewähren.
Diese Richtlinie verwendet AWS Tags (https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) innerhalb bestimmter Bedingungen, um den Zugriff auf Ressourcen einzuschränken. Wenn Sie ein Geheimnis verwenden, muss es mit einem Tag-Schlüssel DocDBElasticFullAccess und einem Tag-Wert gekennzeichnet werden. Wenn Sie einen vom Kunden verwalteten Schlüssel verwenden, muss dieser mit einem Tag-Schlüssel DocDBElasticFullAccess und einem Tag-Wert versehen werden.
Die Berechtigungen in dieser Richtlinie sind wie folgt gruppiert:
Elastische Cluster-Berechtigungen von Amazon DocumentDB ermöglichen alle Amazon DocumentDB DocumentDB-Aktionen.
Einige der EC2 Amazon-Berechtigungen in dieser Richtlinie sind erforderlich, um die übergebenen Ressourcen in einer API Anfrage zu validieren. Dadurch wird sichergestellt, dass Amazon DocumentDB die Ressourcen erfolgreich für die Bereitstellung und Wartung des Clusters nutzen kann. Die übrigen EC2 Amazon-Berechtigungen in dieser Richtlinie ermöglichen es Amazon DocumentDB, AWS Ressourcen zu erstellen, die benötigt werden, damit Sie sich wie mit einem VPC Endpunkt mit Ihren Clustern verbinden können.
AWS KMS Für Amazon DocumentDB sind Berechtigungen erforderlich, um den übergebenen Schlüssel zum Verschlüsseln und Entschlüsseln der ruhenden Daten innerhalb des Amazon DocumentDB Elastic Clusters verwenden zu können.
Anmerkung
Der vom Kunden verwaltete Schlüssel muss über ein Tag mit Schlüssel
DocDBElasticFullAccessund Tag-Wert verfügen.SecretsManager Berechtigungen sind erforderlich, um das angegebene Geheimnis zu validieren und es zu verwenden, um den Admin-Benutzer für Amazon DocumentDB Elastic Clusters einzurichten.
Anmerkung
Das verwendete Geheimnis muss ein Tag mit einem Schlüssel
DocDBElasticFullAccessund einem Tag-Wert haben.IAMFür die Erstellung der serviceverknüpften Rollen, die für die Veröffentlichung von Metriken und Protokollen erforderlich sind, sind Berechtigungen erforderlich.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DocdbElasticSid", "Effect": "Allow", "Action": [ "docdb-elastic:CreateCluster", "docdb-elastic:UpdateCluster", "docdb-elastic:GetCluster", "docdb-elastic:DeleteCluster", "docdb-elastic:ListClusters", "docdb-elastic:CreateClusterSnapshot", "docdb-elastic:GetClusterSnapshot", "docdb-elastic:DeleteClusterSnapshot", "docdb-elastic:ListClusterSnapshots", "docdb-elastic:RestoreClusterFromSnapshot", "docdb-elastic:TagResource", "docdb-elastic:UntagResource", "docdb-elastic:ListTagsForResource", "docdb-elastic:CopyClusterSnapshot", "docdb-elastic:StartCluster", "docdb-elastic:StopCluster" ], "Resource": [ "*" ] }, { "Sid": "EC2Sid", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:DescribeVpcEndpoints", "ec2:DeleteVpcEndpoints", "ec2:ModifyVpcEndpoint", "ec2:DescribeVpcAttribute", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeAvailabilityZones", "secretsmanager:ListSecrets" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:CalledViaFirst": "docdb-elastic.amazonaws.com" } } }, { "Sid": "KMSSid", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": [ "docdb-elastic.*.amazonaws.com" ], "aws:ResourceTag/DocDBElasticFullAccess": "*" } } }, { "Sid": "KMSGrantSid", "Effect": "Allow", "Action": [ "kms:CreateGrant" ], "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/DocDBElasticFullAccess": "*", "kms:ViaService": [ "docdb-elastic.*.amazonaws.com" ] }, "Bool": { "kms:GrantIsForAWSResource": true } } }, { "Sid": "SecretManagerSid", "Effect": "Allow", "Action": [ "secretsmanager:ListSecretVersionIds", "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:GetResourcePolicy" ], "Resource": "*", "Condition": { "StringLike": { "secretsmanager:ResourceTag/DocDBElasticFullAccess": "*" }, "StringEquals": { "aws:CalledViaFirst": "docdb-elastic.amazonaws.com" } } }, { "Sid": "CloudwatchSid", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics" ], "Resource": [ "*" ] }, { "Sid": "SLRSid", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic", "Condition": { "StringLike": { "iam:AWSServiceName": "docdb-elastic.amazonaws.com" } } } ] }
AmazonDocDB- ElasticServiceRolePolicy
Sie können nichts AmazonDocDBElasticServiceRolePolicy an Ihre AWS Identity and Access Management Entitäten anhängen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es Amazon DocumentDB ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter Serviceverknüpfte Rollen in elastischen Clustern.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": [ "AWS/DocDB-Elastic" ] } } } ] }
Amazon DocumentDB DocumentDB-Updates für AWS verwaltete Richtlinien
| Änderung | Beschreibung | Datum |
|---|---|---|
| AmazonDocDBElasticFullAccess, AmazonDocDBConsoleFullAccess - Änderung | Die Richtlinien wurden aktualisiert, um Aktionen zum Starten/Stoppen von Clustern und zum Kopieren von Cluster-Snapshots hinzuzufügen. | 21.2.2024 |
| AmazonDocDBElasticReadOnlyAccess, AmazonDocDBElasticFullAccess - Veränderung | Richtlinien wurden aktualisiert, um cloudwatch:GetMetricData Aktionen hinzuzufügen. |
21.6.2023 |
| AmazonDocDBElasticReadOnlyAccess – Neue Richtlinie | Neue verwaltete Richtlinie für elastische Amazon DocumentDB-Cluster | 08.06.2023 |
| AmazonDocDBElasticFullAccess – Neue Richtlinie | Neue verwaltete Richtlinie für elastische Amazon DocumentDB-Cluster | 05.06.2023 |
| AmazonDocDB- ElasticServiceRolePolicy – Neue Richtlinie. | Amazon DocumentDB erstellt eine neue AWS ServiceRoleForDoc DB-Elastic Service-verknüpfte Rolle für elastische Amazon DocumentDB-Cluster | 30.11.2022 |
| AmazonDocDBConsoleFullAccess- Veränderung | Die Richtlinie wurde aktualisiert, um globale und elastische Cluster-Berechtigungen für Amazon DocumentDB hinzuzufügen | 30.11.2022 |
| AmazonDocDBConsoleFullAccess,AmazonDocDBFullAccess, AmazonDocDBReadOnlyAccess - Neue Richtlinie | Servicestart | 19.01.2017 |
