Administrar los permisos de acceso a los recursos de Amazon DocumentDB - Amazon DocumentDB

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administrar los permisos de acceso a los recursos de Amazon DocumentDB

Cada AWS recurso es propiedad de un Cuenta de AWS, y los permisos para crear o acceder a los recursos se rigen por políticas de permisos. Un administrador de cuentas puede adjuntar políticas de permisos a las IAM identidades (es decir, usuarios, grupos y roles), y algunos servicios (por ejemplo AWS Lambda) también permiten adjuntar políticas de permisos a los recursos.

nota

Un administrador de la cuenta (o usuario administrador) es un usuario con permisos de administrador. Para obtener más información, consulte las prácticas IAM recomendadas en la Guía del IAM usuario.

Recursos y operaciones de Amazon DocumentDB

En Amazon DocumentDB, el recurso principal es un clúster. Amazon DocumentDB admite otros recursos que pueden utilizarse con el recurso principal, como las instancias, los grupos de parámetros y las suscripciones a eventos. Estos recursos se denominan subrecursos.

Estos recursos y subrecursos tienen nombres de recursos de Amazon (ARNs) exclusivos asociados a ellos, como se muestra en la siguiente tabla.

Tipo de recurso ARNFormato

Clúster

arn:aws:rds:region:account-id:cluster:db-cluster-name

Grupo de parámetros del clúster

arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name

Instantánea de clúster

arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name

instancia

arn:aws:rds:region:account-id:db:db-instance-name

Grupo de seguridad

arn:aws:rds:region:account-id:secgrp:security-group-name

Subnet group (Grupo de subredes)

arn:aws:rds:region:account-id:subgrp:subnet-group-name

Amazon DocumentDB proporciona un conjunto de operaciones para trabajar con los recursos de Amazon DocumentDB. Para obtener una lista de operaciones disponibles, consulte Acciones.

Titularidad de los recursos

El propietario de un recurso es el Cuenta de AWS que creó un recurso. Es decir, el propietario del recurso es el Cuenta de AWS de la entidad principal (la cuenta raíz, un IAM usuario o un IAM rol) que autentica la solicitud que crea el recurso. Los siguientes ejemplos ilustran cómo funciona:

  • Si utiliza las credenciales de su cuenta raíz Cuenta de AWS para crear un recurso de Amazon DocumentDB, como una instancia, Cuenta de AWS es el propietario del recurso de Amazon DocumentDB.

  • Si crea un IAM usuario en su cuenta Cuenta de AWS y concede permisos para crear recursos de Amazon DocumentDB a ese usuario, el usuario podrá crear recursos de Amazon DocumentDB. Sin embargo, usted Cuenta de AWS, al que pertenece el usuario, es propietario de los recursos de Amazon DocumentDB.

  • Si crea un IAM rol Cuenta de AWS con permisos para crear recursos de Amazon DocumentDB, cualquier persona que pueda asumir el rol podrá crear recursos de Amazon DocumentDB. La suya Cuenta de AWS, a la que pertenece la función, es propietaria de los recursos de Amazon DocumentDB.

Administración del acceso a los recursos de

Una política de permisos describe quién tiene acceso a qué. En la siguiente sección se explican las opciones disponibles para crear políticas de permisos.

nota

En esta sección se describe el uso IAM en el contexto de Amazon DocumentDB. No proporciona información detallada sobre el IAM servicio. Para obtener IAM la documentación completa, consulte ¿Qué esIAM? en la Guía IAM del usuario. Para obtener información sobre IAM la sintaxis y las descripciones de las AWSIAM políticas, consulte la referencia de políticas en la Guía del IAM usuario.

Las políticas asociadas a una IAM identidad se denominan políticas basadas en la identidad (IAMpolíticas). Las políticas que se asocian a un recurso se denominan "políticas basadas en recursos". Amazon DocumentDB solo admite políticas basadas en la identidad (políticas). IAM

Políticas basadas en la identidad (políticas) IAM

Puede adjuntar políticas a las identidades. IAM Por ejemplo, puede hacer lo siguiente:

  • Asociar una política de permisos a un usuario o un grupo de su cuenta: un administrador de la cuenta puede utilizar una política de permisos asociada a un usuario determinado para concederle permisos para crear un recurso de Amazon DocumentDB, como una instancia.

  • Adjuntar una política de permisos a un rol (conceder permisos multicuenta): puedes adjuntar una política de permisos basada en la identidad a un IAM rol para conceder permisos multicuenta. Por ejemplo, un administrador puede crear un rol para conceder permisos entre cuentas a otro Cuenta de AWS o a un servicio de la siguiente manera: AWS

    1. El administrador de la cuenta A crea una IAM función y adjunta una política de permisos a la función que concede permisos sobre los recursos de la cuenta A.

    2. El administrador de la CuentaA asocia una política de confianza al rol que identifica la Cuenta B como la entidad principal que puede asumir el rol.

    3. De este modo, el administrador de la cuenta B puede delegar los permisos para que asuman el rol en cualquier usuario de la cuenta B. De este modo, los usuarios de la cuenta B pueden crear o acceder a los recursos de la cuenta A. El principal de la política de confianza también puede ser un director de AWS servicio si desea conceder permisos a un AWS servicio para que asuma el rol.

    Para obtener más información sobre cómo IAM delegar permisos, consulte Administración del acceso en la Guía del IAM usuario.

A continuación se muestra un ejemplo de una política que permite al usuario con el ID 123456789012 crear instancias para una Cuenta de AWS. La nueva instancia debe usar un grupo de opciones y un grupo de parámetros de base de datos que comience por default y debe utilizar el grupo de subredes default.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateDBInstanceOnly", "Effect": "Allow", "Action": [ "rds:CreateDBInstance" ], "Resource": [ "arn:aws:rds:*:123456789012:db:test*", "arn:aws:rds:*:123456789012:pg:cluster-pg:default*", "arn:aws:rds:*:123456789012:subgrp:default" ] } ] }

Para obtener más información acerca del uso de políticas basadas en identidades con Amazon DocumentDB, consulte Uso de políticas basadas en identidad (IAMpolíticas) para Amazon DocumentDB. Para obtener más información sobre los usuarios, los grupos, las funciones y los permisos, consulte Identidades (usuarios, grupos y funciones) en la Guía del IAM usuario.

Políticas basadas en recursos

Otros servicios de, como Amazon Simple Storage Service (Amazon S3), también admiten políticas de permisos basadas en recursos. Por ejemplo, puede adjuntar una política a un bucket de Amazon S3 para administrar los permisos de acceso a dicho bucket. Amazon DocumentDB no admite políticas basadas en recursos.

Especificación de elementos de política: acciones, efectos, recursos y entidades principales

Para cada recurso de Amazon DocumentDB (consulteRecursos y operaciones de Amazon DocumentDB), el servicio define un conjunto de API operaciones. Para obtener más información, consulte Acciones. Para conceder permisos para estas API operaciones, Amazon DocumentDB define un conjunto de acciones que puede especificar en una política. La realización de una API operación puede requerir permisos para más de una acción.

A continuación, se indican los elementos básicos de la política:

  • Recurso: en una política, se utiliza un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política.

  • Acción: utilice palabras clave de acción para identificar las operaciones del recurso que desea permitir o denegar. Por ejemplo, cuando se concede el permiso rds:DescribeDBInstances, el usuario puede realizar la operación DescribeDBInstances.

  • Efecto: especifique el efecto que se producirá cuando el usuario solicite la acción específica; puede ser permitir o denegar. Si no concede acceso de forma explícita (permitir) a un recurso, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso para asegurarse de que un usuario no pueda obtener acceso a él, aunque otra política le conceda acceso.

  • Principal: en las políticas basadas en la identidad (IAMpolíticas), el usuario al que está vinculada la política es el principal implícito. Para las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad que desee que reciba permisos (se aplica solo a las políticas basadas en recursos). Amazon DocumentDB no admite políticas basadas en recursos.

Para obtener más información sobre la sintaxis y las descripciones de las IAM políticas, consulte la referencia AWS IAM de políticas en la Guía del IAM usuario.

Para ver una tabla que muestra todas las API acciones de Amazon DocumentDB y los recursos a los que se aplican, consulte. APIPermisos de Amazon DocumentDB: referencia de acciones, recursos y condiciones

Especificación de las condiciones de una política

Al conceder permisos, puede utilizar el lenguaje de la IAM política para especificar las condiciones en las que una política debe entrar en vigor. Por ejemplo, es posible que desee que solo se aplique una política después de una fecha específica. Para obtener más información sobre cómo especificar las condiciones en el lenguaje de una política, consulte Condición en la Guía del IAM usuario.

Cómo expresar condiciones, se usan claves de condición predefinidas. Amazon DocumentDB no tiene claves de contexto específicas de un servicio que se puedan usar en una política. IAM Para obtener una lista de las claves de contexto de condiciones globales que están disponibles para todos los servicios, consulte las claves disponibles para las condiciones en la Guía del IAM usuario.