Autorisations requises pour utiliser la console Amazon DocumentDB Exemples de politiques gérées par le client

Utilisation de politiques basées sur l'identité (politiques IAM) pour Amazon DocumentDB

Important

Pour certaines fonctionnalités de gestion, Amazon DocumentDB utilise une technologie opérationnelle partagée avec Amazon RDS. Les appels à la console Amazon DocumentDB et à l'API sont enregistrés en tant qu'appels passés à l'API Amazon RDS. AWS CLI

Nous vous recommandons de consulter d'abord les rubriques d'introduction qui expliquent les concepts de base et les options disponibles pour gérer l'accès à vos ressources Amazon DocumentDB. Pour de plus amples informations, veuillez consulter Gestion des autorisations d'accès à vos ressources Amazon DocumentDB.

Cette rubrique fournit des exemples de politiques basées sur une identité dans lesquelles un administrateur de compte peut attacher des politiques d’autorisation aux identités IAM (c’est-à-dire aux utilisateurs, groupes et rôles).

Voici un exemple de politique IAM.



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateDBInstanceOnly",
            "Effect": "Allow",
            "Action": [
                "rds:CreateDBInstance"
            ],
            "Resource": [
                "arn:aws:rds:*:123456789012:db:test*",
                "arn:aws:rds:*:123456789012:pg:cluster-pg:default*",
                "arn:aws:rds:*:123456789012:subgrp:default"
            ]
        }
    ]
}

La politique inclut une instruction unique spécifiant les autorisations suivantes pour l'utilisateur IAM :

La politique permet à l'utilisateur IAM de créer une instance à l'aide de l'action CreateDBInstance (cela s'applique également à l'opération et create-db-instance AWS CLI au). AWS Management Console
L'élément Resource spécifie que l'utilisateur peut effectuer des actions sur et avec des ressources. Vous indiquez des ressources à l'aide d'un Amazon Resources Name (ARN). Cet ARN inclut le nom du service auquel appartient la ressource (rds), le Région AWS (*indique n'importe quelle région dans cet exemple), le numéro de compte utilisateur (123456789012il s'agit de l'ID utilisateur dans cet exemple) et le type de ressource.

L'élément Resource dans l'exemple spécifie les contraintes de stratégie suivantes sur les ressources de l'utilisateur :
- L'identifiant d'instance de la nouvelle instance doit commencer par test (par exemple, testCustomerData1, test-region2-data).
- Le groupe de paramètres du cluster de la nouvelle instance doit commencer par default.
- Le groupe de sous-réseaux de la nouvelle instance doit être le groupe de sous-réseaux default.

La politique ne spécifie pas l'élément Principal, car dans une politique basée sur une identité, vous ne spécifiez pas le principal qui obtient l'autorisation. Quand vous attachez une politique à un utilisateur, l'utilisateur est le principal implicite. Lorsque vous attachez une politique d'autorisation à un rôle IAM, le principal identifié dans la politique d'approbation de ce rôle obtient les autorisations.

Pour consulter un tableau présentant toutes les opérations de l'API Amazon DocumentDB et les ressources auxquelles elles s'appliquent, consultez. Autorisations d'API Amazon DocumentDB : référence des actions, des ressources et des conditions

Autorisations requises pour utiliser la console Amazon DocumentDB

Pour qu'un utilisateur puisse utiliser la console Amazon DocumentDB, il doit disposer d'un ensemble minimal d'autorisations. Ces autorisations permettent à l'utilisateur de décrire les ressources Amazon DocumentDB qui lui sont associées Compte AWS et de fournir d'autres informations connexes, notamment des informations relatives à la sécurité et au réseau Amazon EC2.

Si vous créez une politique IAM plus restrictive que les autorisations minimales requises, la console ne fonctionnera pas comme prévu pour les utilisateurs dotés de cette politique IAM. Pour garantir que ces utilisateurs peuvent toujours utiliser la console Amazon DocumentDB, associez également la politique AmazonDocDBConsoleFullAccess gérée à l'utilisateur, comme décrit dans. AWS politiques gérées pour Amazon DocumentDB

Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API Amazon DocumentDB AWS CLI ou l'API Amazon DocumentDB.

Exemples de politiques gérées par le client

Dans cette section, vous trouverez des exemples de politiques utilisateur qui accordent des autorisations pour diverses actions Amazon DocumentDB. Ces politiques fonctionnent lorsque vous utilisez des actions d'API Amazon DocumentDB, des AWS SDK ou le. AWS CLI Lorsque vous utilisez la console, vous devez accorder des autorisations supplémentaires spécifiques à la console, ce qui est détaillé dans Autorisations requises pour utiliser la console Amazon DocumentDB.

Pour certaines fonctionnalités de gestion, Amazon DocumentDB utilise une technologie opérationnelle partagée avec Amazon Relational Database Service (Amazon RDS) et Amazon Neptune.

Note

Tous les exemples utilisent la région USA Est (Virginie du Nord) (us-east-1) et contiennent des identifiants de compte fictifs.

Exemples

Exemple 1 : autoriser un utilisateur à effectuer n'importe quelle action de description sur n'importe quelle ressource Amazon DocumentDB
Exemple 2 : Empêcher un utilisateur de supprimer une instance
Exemple 3 : Empêcher un utilisateur de créer un cluster à moins que le chiffrement du stockage ne soit activé

Exemple 1 : autoriser un utilisateur à effectuer n'importe quelle action de description sur n'importe quelle ressource Amazon DocumentDB

La politique d'autorisation suivante accorde des autorisations à un utilisateur lui permettant d'exécuter toutes les actions commençant par Describe. Ces actions affichent des informations sur une ressource Amazon DocumentDB, telle qu'une instance. Le caractère générique (*) dans l'Resourceélément indique que les actions sont autorisées pour toutes les ressources Amazon DocumentDB détenues par le compte.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"AllowRDSDescribe",
         "Effect":"Allow",
         "Action":"rds:Describe*",
         "Resource":"*"
      }
   ]
}

Exemple 2 : Empêcher un utilisateur de supprimer une instance

La stratégie d'autorisation suivante accorde des autorisations empêchant un utilisateur de supprimer une instance spécifique. Par exemple, il est possible de refuser la capacité à supprimer vos instances de production à un utilisateur quelconque qui n'est pas un administrateur.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"DenyDelete1",
         "Effect":"Deny",
         "Action":"rds:DeleteDBInstance",
         "Resource":"arn:aws:rds:us-east-1:123456789012:db:my-db-instance"
      }
   ]
}

Exemple 3 : Empêcher un utilisateur de créer un cluster à moins que le chiffrement du stockage ne soit activé

La politique d'autorisation suivante interdit à un utilisateur de créer un cluster Amazon DocumentDB à moins que le chiffrement du stockage ne soit activé.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "PreventUnencryptedDocumentDB",
         "Effect": "Deny",
         "Action": "RDS:CreateDBCluster",
         "Condition": {
         "Bool": {
         "rds:StorageEncrypted": "false"
      },
         "StringEquals": {
         "rds:DatabaseEngine": "docdb"
         }
      },
      "Resource": "*"
      }
   ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Gestion des autorisations d'accès à vos ressources Amazon DocumentDB

AWS politiques gérées pour Amazon DocumentDB