Ressources et opérations Amazon DocumentDB Présentation de la propriété des ressources Gestion de l'accès aux ressources Spécification des éléments d'une stratégie : actions, effets, ressources et mandataires Spécification de conditions dans une politique

Gestion des autorisations d'accès à vos ressources Amazon DocumentDB

Chaque AWS ressource appartient à un Compte AWS, et les autorisations de création ou d'accès aux ressources sont régies par des politiques d'autorisation. Un administrateur de compte peut associer des politiques d'autorisations aux identités IAM (c'est-à-dire aux utilisateurs, aux groupes et aux rôles), et certains services (tels que AWS Lambda) prennent également en charge l'attachement de politiques d'autorisations aux ressources.

Note

Un administrateur de compte (ou utilisateur administrateur) est un utilisateur doté d'autorisations d'administrateur. Pour plus d'informations, consultez Bonnes pratiques IAM dans le Guide de l'utilisateur IAM.

Rubriques

Ressources et opérations Amazon DocumentDB
Présentation de la propriété des ressources
Gestion de l'accès aux ressources
Spécification des éléments d'une stratégie : actions, effets, ressources et mandataires
Spécification de conditions dans une politique

Ressources et opérations Amazon DocumentDB

Dans Amazon DocumentDB, la ressource principale est un cluster. Amazon DocumentDB prend en charge d'autres ressources qui peuvent être utilisées avec la ressource principale, telles que les instances, les groupes de paramètres et les abonnements aux événements. Ces ressources sont appelées sous-ressources.

Ces ressources et sous-ressources ont un ARN (Amazon Resource Name) unique qui leur est associé, comme illustré dans le tableau suivant.

Type de ressource	Format ARN
Cluster	`arn:aws:rds:region:account-id:cluster:db-cluster-name`
Groupe de paramètres du cluster	`arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name`
Instantané du cluster	`arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name`
Instance	`arn:aws:rds:region:account-id:db:db-instance-name`
Groupe de sécurité	`arn:aws:rds:region:account-id:secgrp:security-group-name`
Groupe de sous-réseaux	`arn:aws:rds:region:account-id:subgrp:subnet-group-name`

Amazon DocumentDB fournit un ensemble d'opérations permettant de travailler avec les ressources Amazon DocumentDB. Pour obtenir la liste des opérations disponibles, consultez Actions.

Présentation de la propriété des ressources

Le propriétaire d'une ressource est celui Compte AWS qui a créé une ressource. En d'autres termes, le propriétaire Compte AWS de la ressource est l'entité principale (le compte root, un utilisateur IAM ou un rôle IAM) qui authentifie la demande qui crée la ressource. Les exemples suivants illustrent comment cela fonctionne :

Si vous utilisez les informations d'identification de votre compte root Compte AWS pour créer une ressource Amazon DocumentDB, telle qu'une instance, vous Compte AWS êtes le propriétaire de la ressource Amazon DocumentDB.
Si vous créez un utilisateur IAM dans votre compte Compte AWS et que vous accordez l'autorisation de créer des ressources Amazon DocumentDB à cet utilisateur, celui-ci peut créer des ressources Amazon DocumentDB. Cependant, c'est à vous Compte AWS, à laquelle appartient l'utilisateur, que vous êtes propriétaire des ressources Amazon DocumentDB.
Si vous créez un rôle IAM Compte AWS avec l'autorisation de créer des ressources Amazon DocumentDB, toute personne capable d'assumer ce rôle peut créer des ressources Amazon DocumentDB. À qui appartient le rôle Compte AWS, vous êtes propriétaire des ressources Amazon DocumentDB.

Gestion de l'accès aux ressources

Une politique d'autorisation décrit qui a accès à quoi. La section suivante explique les options disponibles pour créer des politiques d'autorisations.

Note

Cette section décrit l'utilisation d'IAM dans le contexte d'Amazon DocumentDB. Elle ne fournit pas d’informations détaillées sur le service IAM. Pour une documentation complète sur IAM, veuillez consulter Qu'est-ce qu'IAM ? dans le Guide de l'utilisateur IAM. Pour plus d'informations sur la syntaxe et les descriptions des politiques IAM, consultez la section Référence des AWSIAM politiques dans le guide de l'utilisateur IAM.

Les politiques qui sont associées à une identité IAM sont appelées des politiques basées sur l'identité (politiques IAM). Les politiques qui sont attachées à une ressource sont appelées politiques basées sur la ressource. Amazon DocumentDB prend uniquement en charge les politiques basées sur l'identité (politiques IAM).

Rubriques

Politiques basées sur une identité (politiques IAM)
Politiques basées sur une ressource

Politiques basées sur une identité (politiques IAM)

Vous pouvez attacher des politiques à des identités IAM. Par exemple, vous pouvez effectuer les opérations suivantes :

Associez une politique d'autorisations à un utilisateur ou à un groupe de votre compte : un administrateur de compte peut utiliser une politique d'autorisations associée à un utilisateur particulier pour autoriser cet utilisateur à créer une ressource Amazon DocumentDB, telle qu'une instance.
Attacher une politique d'autorisations à un rôle (accorder des autorisations entre comptes) : vous pouvez attacher une politique d'autorisation basée sur une identité à un rôle IAM afin d'accorder des autorisations entre comptes. Par exemple, un administrateur peut créer un rôle pour accorder des autorisations entre comptes à un autre Compte AWS ou à un AWS service comme suit :
1. L'administrateur du Compte A crée un rôle IAM et attache une politique d'autorisation à ce rôle qui accorde des autorisations sur les ressources dans le Compte A.
2. L'administrateur du Compte A attache une politique d'approbation au rôle identifiant le Compte B comme principal pouvant assumer ce rôle.
3. L'administrateur du compte B peut ensuite déléguer les autorisations nécessaires pour assumer le rôle à n'importe quel utilisateur du compte B. Cela permet aux utilisateurs du compte B de créer ou d'accéder aux ressources du compte A. Le principal de la politique de confiance peut également être un principal de AWS service si vous souhaitez autoriser un AWS service à assumer ce rôle.
Pour en savoir plus sur l'utilisation d'IAM pour déléguer des autorisations, consultez Gestion des accès dans le Guide de l'utilisateur IAM.

Voici un exemple de politique qui permet à l'utilisateur possédant l'ID 123456789012 de créer des instances pour votre Compte AWS. La nouvelle instance doit utiliser un groupe d'options et un groupe de paramètres de base de données commençant par default, et elle doit utiliser le groupe de sous-réseaux default.



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateDBInstanceOnly",
            "Effect": "Allow",
            "Action": [
                "rds:CreateDBInstance"
            ],
            "Resource": [
                "arn:aws:rds:*:123456789012:db:test*",
                "arn:aws:rds:*:123456789012:pg:cluster-pg:default*",
                "arn:aws:rds:*:123456789012:subgrp:default"
            ]
        }
    ]
}

Pour plus d'informations sur l'utilisation de politiques basées sur l'identité avec Amazon DocumentDB, consultez. Utilisation de politiques basées sur l'identité (politiques IAM) pour Amazon DocumentDB Pour de plus amples informations sur les utilisateurs, les groupes, les rôles et les autorisations, consultez Identités (utilisateurs, groupes et rôles) dans le Guide de l'utilisateur IAM.

Politiques basées sur une ressource

D'autres services, tels qu'Amazon Simple Storage Service (Amazon S3), prennent également en charge les politiques d'autorisation basées sur les ressources. Par exemple, vous pouvez attacher une politique à un compartiment Amazon S3 pour gérer les autorisations d'accès à ce compartiment. Amazon DocumentDB ne prend pas en charge les politiques basées sur les ressources.

Spécification des éléments d'une stratégie : actions, effets, ressources et mandataires

Pour chaque ressource Amazon DocumentDB (voirRessources et opérations Amazon DocumentDB), le service définit un ensemble d'opérations d'API. Pour plus d'informations, consultez Actions. Pour accorder des autorisations pour ces opérations d'API, Amazon DocumentDB définit un ensemble d'actions que vous pouvez spécifier dans une politique. Une opération d’API peut exiger des autorisations pour plusieurs actions.

Voici les éléments de base d’une politique :

Ressource : dans une politique, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la politique s’applique.
Action : vous utilisez des mots clés d’action pour identifier les opérations de ressource que vous voulez accorder ou refuser. Par exemple, l'autorisation rds:DescribeDBInstances permet à l'utilisateur d'effectuer l'opération DescribeDBInstances.
Effet – Vous spécifiez l’effet produit lorsque l’utilisateur demande l’action spécifique, qui peut être une autorisation ou un refus. Si vous n’accordez pas explicitement l’accès pour (autoriser) une ressource, l’accès est implicitement refusé. Vous pouvez aussi explicitement refuser l’accès à une ressource, ce que vous pouvez faire afin de vous assurer qu’un utilisateur n’y a pas accès, même si une politique différente accorde l’accès.
Principal – dans les politiques basées sur une identité (politiques IAM), l’utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur une ressource, vous spécifiez l’utilisateur, le compte, le service ou une autre entité qui doit recevoir les autorisations (s’applique uniquement aux politiques basées sur une ressource). Amazon DocumentDB ne prend pas en charge les politiques basées sur les ressources.

Pour en savoir plus sur la syntaxe des stratégies IAM et pour obtenir des descriptions, consultez Référence de stratégie IAM AWS dans le Guide de l'utilisateur IAM.

Pour un tableau présentant toutes les actions de l'API Amazon DocumentDB et les ressources auxquelles elles s'appliquent, consultez. Autorisations d'API Amazon DocumentDB : référence des actions, des ressources et des conditions

Spécification de conditions dans une politique

Lorsque vous accordez des autorisations, vous pouvez utiliser le langage des politiques IAM afin de spécifier les conditions définissant à quel moment une politique doit prendre effet. Par exemple, il est possible d'appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification de conditions dans un langage de politique, consultez Condition dans le Guide de l'utilisateur IAM.

Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. Amazon DocumentDB ne possède aucune clé de contexte spécifique à un service pouvant être utilisée dans une politique IAM. Pour accéder à la liste des clés de contexte de condition disponibles pour tous les services, consultez Clés de condition disponibles dans le Guide de l'utilisateur IAM.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Résolution des problèmes

Utilisation des politiques basées sur une identité (politiques IAM)