Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS politiques gérées pour Amazon DocumentDB
Pour ajouter des autorisations aux utilisateurs, aux groupes et aux rôles, il est plus facile d'utiliser des politiques AWS gérées que de les rédiger vous-même. Il faut du temps et de l’expertise pour créer des politiques gérées par le client IAM qui ne fournissent à votre équipe que les autorisations dont elle a besoin. Pour démarrer rapidement, vous pouvez utiliser nos politiques AWS gérées. Ces politiques couvrent les cas d'utilisation courants et sont disponibles dans votre AWS compte. Pour plus d'informations sur les politiques AWS gérées, consultez les politiques AWS gérées dans le guide de l'utilisateur d'AWS Identity and Access Management.
AWS les services maintiennent et mettent à jour les politiques AWS gérées. Vous ne pouvez pas modifier les autorisations dans les politiques AWS gérées. Les services ajoutent parfois des autorisations supplémentaires à une politique AWS gérée pour prendre en charge de nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont plus susceptibles de mettre à jour une politique AWS gérée lorsqu'une nouvelle fonctionnalité est lancée ou lorsque de nouvelles opérations sont disponibles. Les services ne suppriment pas les autorisations d'une politique AWS gérée. Les mises à jour des politiques n'endommageront donc pas vos autorisations existantes.
En outre, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, la politique ViewOnlyAccess AWS gérée fournit un accès en lecture seule à de nombreux AWS services et ressources. Lorsqu'un service lance une nouvelle fonctionnalité, il AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir une liste et une description des politiques relatives aux fonctions de travail, voir les politiques AWS gérées pour les fonctions de travail dans le guide de l'utilisateur d'AWS Identity and Access Management.
Les politiques AWS gérées suivantes, que vous pouvez associer aux utilisateurs de votre compte, sont spécifiques à Amazon DocumentDB :
AmazonDocDB FullAccess— Accorde un accès complet à toutes les ressources Amazon DocumentDB pour le compte root AWS .
AmazonDocDB ReadOnlyAccess— Accorde un accès en lecture seule à toutes les ressources Amazon DocumentDB pour le compte root. AWS
AmazonDocDB ConsoleFullAccess— Accorde un accès complet pour gérer les ressources du cluster élastique Amazon DocumentDB et Amazon DocumentDB à l'aide du. AWS Management Console
AmazonDocDB ElasticReadOnlyAccess— Accorde un accès en lecture seule à toutes les ressources du cluster élastique Amazon DocumentDB pour le compte racine. AWS
AmazonDocDB ElasticFullAccess— Accorde un accès complet à toutes les ressources du cluster élastique Amazon DocumentDB pour le compte root AWS .
AmazonDocDB FullAccess
Cette politique accorde des autorisations administratives qui permettent un accès complet principal à toutes les actions Amazon DocumentDB. Les autorisations définies dans cette politique sont regroupées comme suit :
Les autorisations Amazon DocumentDB autorisent toutes les actions Amazon DocumentDB.
Certaines des autorisations Amazon EC2 définies dans cette politique sont requises pour valider les ressources transmises dans le cadre d'une demande d'API. Cela permet de s'assurer qu'Amazon DocumentDB est capable d'utiliser correctement les ressources avec un cluster. Les autres autorisations Amazon EC2 de cette politique permettent à Amazon DocumentDB de AWS créer les ressources nécessaires pour vous permettre de vous connecter à vos clusters.
Les autorisations Amazon DocumentDB sont utilisées lors des appels d'API pour valider les ressources transmises dans une demande. Ils sont nécessaires pour qu'Amazon DocumentDB puisse utiliser la clé transmise avec le cluster Amazon DocumentDB.
Les CloudWatch journaux sont nécessaires pour qu'Amazon DocumentDB puisse garantir que les destinations de livraison des journaux sont accessibles et qu'ils sont valides pour l'utilisation des journaux des courtiers.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "rds:AddRoleToDBCluster", "rds:AddSourceIdentifierToSubscription", "rds:AddTagsToResource", "rds:ApplyPendingMaintenanceAction", "rds:CopyDBClusterParameterGroup", "rds:CopyDBClusterSnapshot", "rds:CopyDBParameterGroup", "rds:CreateDBCluster", "rds:CreateDBClusterParameterGroup", "rds:CreateDBClusterSnapshot", "rds:CreateDBInstance", "rds:CreateDBParameterGroup", "rds:CreateDBSubnetGroup", "rds:CreateEventSubscription", "rds:DeleteDBCluster", "rds:DeleteDBClusterParameterGroup", "rds:DeleteDBClusterSnapshot", "rds:DeleteDBInstance", "rds:DeleteDBParameterGroup", "rds:DeleteDBSubnetGroup", "rds:DeleteEventSubscription", "rds:DescribeAccountAttributes", "rds:DescribeCertificates", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBClusterParameters", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBLogFiles", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSecurityGroups", "rds:DescribeDBSubnetGroups", "rds:DescribeEngineDefaultClusterParameters", "rds:DescribeEngineDefaultParameters", "rds:DescribeEventCategories", "rds:DescribeEventSubscriptions", "rds:DescribeEvents", "rds:DescribeOptionGroups", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribePendingMaintenanceActions", "rds:DescribeValidDBInstanceModifications", "rds:DownloadDBLogFilePortion", "rds:FailoverDBCluster", "rds:ListTagsForResource", "rds:ModifyDBCluster", "rds:ModifyDBClusterParameterGroup", "rds:ModifyDBClusterSnapshotAttribute", "rds:ModifyDBInstance", "rds:ModifyDBParameterGroup", "rds:ModifyDBSubnetGroup", "rds:ModifyEventSubscription", "rds:PromoteReadReplicaDBCluster", "rds:RebootDBInstance", "rds:RemoveRoleFromDBCluster", "rds:RemoveSourceIdentifierFromSubscription", "rds:RemoveTagsFromResource", "rds:ResetDBClusterParameterGroup", "rds:ResetDBParameterGroup", "rds:RestoreDBClusterFromSnapshot", "rds:RestoreDBClusterToPointInTime" ], "Effect": "Allow", "Resource": [ "*" ] }, { "Action": [ "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "ec2:DescribeAccountAttributes", "ec2:DescribeAvailabilityZones", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcs", "kms:ListAliases", "kms:ListKeyPolicies", "kms:ListKeys", "kms:ListRetirableGrants", "logs:DescribeLogStreams", "logs:GetLogEvents", "sns:ListSubscriptions", "sns:ListTopics", "sns:Publish" ], "Effect": "Allow", "Resource": [ "*" ] }, { "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS", "Condition": { "StringLike": { "iam:AWS ServiceName": "rds.amazonaws.com" } } } ] }
AmazonDocDB ReadOnlyAccess
Cette politique accorde des autorisations en lecture seule qui permettent aux utilisateurs de consulter les informations dans Amazon DocumentDB. Les directeurs auxquels cette politique est attachée ne peuvent effectuer aucune mise à jour ou supprimer des ressources existantes, ni créer de nouvelles ressources Amazon DocumentDB. Par exemple, les principaux disposant de ces autorisations peuvent consulter la liste des clusters et des configurations associés à leur compte, mais ne peuvent pas modifier la configuration ou les paramètres des clusters. Les autorisations définies dans cette politique sont regroupées comme suit :
Les autorisations Amazon DocumentDB vous permettent de répertorier les ressources Amazon DocumentDB, de les décrire et d'obtenir des informations les concernant.
Les autorisations Amazon EC2 sont utilisées pour décrire le VPC Amazon, les sous-réseaux, les groupes de sécurité et les ENI associés à un cluster.
Une autorisation Amazon DocumentDB est utilisée pour décrire la clé associée au cluster.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "rds:DescribeAccountAttributes", "rds:DescribeCertificates", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBClusterParameters", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBLogFiles", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSubnetGroups", "rds:DescribeEventCategories", "rds:DescribeEventSubscriptions", "rds:DescribeEvents", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribePendingMaintenanceActions", "rds:DownloadDBLogFilePortion", "rds:ListTagsForResource" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "ec2:DescribeAccountAttributes", "ec2:DescribeAvailabilityZones", "ec2:DescribeInternetGateways", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcs" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "kms:ListKeys", "kms:ListRetirableGrants", "kms:ListAliases", "kms:ListKeyPolicies" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "logs:DescribeLogStreams", "logs:GetLogEvents" ], "Effect": "Allow", "Resource": [ "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*", "arn:aws:logs:*:*:log-group:/aws/docdb/*:log-stream:*" ] } ] }
AmazonDocDB ConsoleFullAccess
Accorde un accès complet à la gestion des ressources Amazon DocumentDB à l' AWS Management Console aide des méthodes suivantes :
Les autorisations Amazon DocumentDB permettant d'autoriser toutes les actions de cluster Amazon DocumentDB et Amazon DocumentDB.
Certaines des autorisations Amazon EC2 définies dans cette politique sont requises pour valider les ressources transmises dans le cadre d'une demande d'API. Cela permet de s'assurer qu'Amazon DocumentDB est en mesure d'utiliser correctement les ressources pour approvisionner et gérer le cluster. Les autres autorisations Amazon EC2 de cette politique permettent à Amazon DocumentDB de AWS créer les ressources nécessaires pour vous permettre de vous connecter à vos clusters tels que VPCEndpoint.
AWS KMS les autorisations sont utilisées lors des appels d'API AWS KMS pour valider les ressources transmises dans une demande. Ils sont nécessaires pour qu'Amazon DocumentDB puisse utiliser la clé transmise pour chiffrer et déchiffrer les données au repos avec le cluster élastique Amazon DocumentDB.
Les CloudWatch journaux sont nécessaires pour qu'Amazon DocumentDB puisse garantir que les destinations de livraison des journaux sont accessibles et qu'ils sont valides pour l'audit et le profilage de l'utilisation des journaux.
Les autorisations de Secrets Manager sont requises pour valider un secret donné et l'utiliser pour configurer l'utilisateur administrateur pour les clusters élastiques Amazon DocumentDB.
Les autorisations Amazon RDS sont requises pour les actions de gestion du cluster Amazon DocumentDB. Pour certaines fonctionnalités de gestion, Amazon DocumentDB utilise une technologie opérationnelle partagée avec Amazon RDS.
Les autorisations SNS permettent aux principaux d'accéder à des abonnements et à des rubriques Amazon Simple Notification Service (Amazon SNS), ainsi que de publier des messages Amazon SNS.
Les autorisations IAM sont requises pour créer les rôles liés au service requis pour la publication des métriques et des journaux.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DocdbSids", "Effect": "Allow", "Action": [ "docdb-elastic:CreateCluster", "docdb-elastic:UpdateCluster", "docdb-elastic:GetCluster", "docdb-elastic:DeleteCluster", "docdb-elastic:ListClusters", "docdb-elastic:CreateClusterSnapshot", "docdb-elastic:GetClusterSnapshot", "docdb-elastic:DeleteClusterSnapshot", "docdb-elastic:ListClusterSnapshots", "docdb-elastic:RestoreClusterFromSnapshot", "docdb-elastic:TagResource", "docdb-elastic:UntagResource", "docdb-elastic:ListTagsForResource", "docdb-elastic:CopyClusterSnapshot", "docdb-elastic:StartCluster", "docdb-elastic:StopCluster", "rds:AddRoleToDBCluster", "rds:AddSourceIdentifierToSubscription", "rds:AddTagsToResource", "rds:ApplyPendingMaintenanceAction", "rds:CopyDBClusterParameterGroup", "rds:CopyDBClusterSnapshot", "rds:CopyDBParameterGroup", "rds:CreateDBCluster", "rds:CreateDBClusterParameterGroup", "rds:CreateDBClusterSnapshot", "rds:CreateDBInstance", "rds:CreateDBParameterGroup", "rds:CreateDBSubnetGroup", "rds:CreateEventSubscription", "rds:CreateGlobalCluster", "rds:DeleteDBCluster", "rds:DeleteDBClusterParameterGroup", "rds:DeleteDBClusterSnapshot", "rds:DeleteDBInstance", "rds:DeleteDBParameterGroup", "rds:DeleteDBSubnetGroup", "rds:DeleteEventSubscription", "rds:DeleteGlobalCluster", "rds:DescribeAccountAttributes", "rds:DescribeCertificates", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBClusterParameters", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBLogFiles", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSecurityGroups", "rds:DescribeDBSubnetGroups", "rds:DescribeEngineDefaultClusterParameters", "rds:DescribeEngineDefaultParameters", "rds:DescribeEventCategories", "rds:DescribeEventSubscriptions", "rds:DescribeEvents", "rds:DescribeGlobalClusters", "rds:DescribeOptionGroups", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribePendingMaintenanceActions", "rds:DescribeValidDBInstanceModifications", "rds:DownloadDBLogFilePortion", "rds:FailoverDBCluster", "rds:ListTagsForResource", "rds:ModifyDBCluster", "rds:ModifyDBClusterParameterGroup", "rds:ModifyDBClusterSnapshotAttribute", "rds:ModifyDBInstance", "rds:ModifyDBParameterGroup", "rds:ModifyDBSubnetGroup", "rds:ModifyEventSubscription", "rds:ModifyGlobalCluster", "rds:PromoteReadReplicaDBCluster", "rds:RebootDBInstance", "rds:RemoveFromGlobalCluster", "rds:RemoveRoleFromDBCluster", "rds:RemoveSourceIdentifierFromSubscription", "rds:RemoveTagsFromResource", "rds:ResetDBClusterParameterGroup", "rds:ResetDBParameterGroup", "rds:RestoreDBClusterFromSnapshot", "rds:RestoreDBClusterToPointInTime" ], "Resource": [ "*" ] }, { "Sid": "DependencySids", "Effect": "Allow", "Action": [ "iam:GetRole", "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "ec2:AllocateAddress", "ec2:AssignIpv6Addresses", "ec2:AssignPrivateIpAddresses", "ec2:AssociateAddress", "ec2:AssociateRouteTable", "ec2:AssociateSubnetCidrBlock", "ec2:AssociateVpcCidrBlock", "ec2:AttachInternetGateway", "ec2:AttachNetworkInterface", "ec2:CreateCustomerGateway", "ec2:CreateDefaultSubnet", "ec2:CreateDefaultVpc", "ec2:CreateInternetGateway", "ec2:CreateNatGateway", "ec2:CreateNetworkInterface", "ec2:CreateRoute", "ec2:CreateRouteTable", "ec2:CreateSecurityGroup", "ec2:CreateSubnet", "ec2:CreateVpc", "ec2:CreateVpcEndpoint", "ec2:DescribeAccountAttributes", "ec2:DescribeAddresses", "ec2:DescribeAvailabilityZones", "ec2:DescribeCustomerGateways", "ec2:DescribeInstances", "ec2:DescribeNatGateways", "ec2:DescribeNetworkInterfaces", "ec2:DescribePrefixLists", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroupReferences", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ec2:ModifyNetworkInterfaceAttribute", "ec2:ModifySubnetAttribute", "ec2:ModifyVpcAttribute", "ec2:ModifyVpcEndpoint", "kms:DescribeKey", "kms:ListAliases", "kms:ListKeyPolicies", "kms:ListKeys", "kms:ListRetirableGrants", "logs:DescribeLogStreams", "logs:GetLogEvents", "sns:ListSubscriptions", "sns:ListTopics", "sns:Publish" ], "Resource": [ "*" ] }, { "Sid": "DocdbSLRSid", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS", "Condition": { "StringLike": { "iam:AWSServiceName": "rds.amazonaws.com" } } }, { "Sid": "DocdbElasticSLRSid", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic", "Condition": { "StringLike": { "iam:AWSServiceName": "docdb-elastic.amazonaws.com" } } } ] }
AmazonDocDB ElasticReadOnlyAccess
Cette politique accorde des autorisations en lecture seule qui permettent aux utilisateurs de consulter les informations relatives aux clusters élastiques dans Amazon DocumentDB. Les directeurs auxquels cette politique est attachée ne peuvent effectuer aucune mise à jour ou supprimer des ressources existantes, ni créer de nouvelles ressources Amazon DocumentDB. Par exemple, les principaux disposant de ces autorisations peuvent consulter la liste des clusters et des configurations associés à leur compte, mais ne peuvent pas modifier la configuration ou les paramètres des clusters. Les autorisations définies dans cette politique sont regroupées comme suit :
Les autorisations du cluster élastique Amazon DocumentDB vous permettent de répertorier les ressources du cluster élastique Amazon DocumentDB, de les décrire et d'obtenir des informations à leur sujet.
CloudWatch les autorisations sont utilisées pour vérifier les métriques de service.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "docdb-elastic:ListClusters", "docdb-elastic:GetCluster", "docdb-elastic:ListClusterSnapshots", "docdb-elastic:GetClusterSnapshot", "docdb-elastic:ListTagsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics" ], "Resource": "*" } ] }
AmazonDocDB ElasticFullAccess
Cette politique accorde des autorisations administratives qui permettent un accès complet principal à toutes les actions Amazon DocumentDB pour le cluster élastique Amazon DocumentDB.
Cette politique utilise des AWS balises (https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) dans des conditions permettant de définir l'accès aux ressources. Si vous utilisez un secret, il doit être étiqueté avec une clé de balise DocDBElasticFullAccess et une valeur de balise. Si vous utilisez une clé gérée par le client, elle doit être étiquetée avec une clé de balise DocDBElasticFullAccess et une valeur de balise.
Les autorisations définies dans cette politique sont regroupées comme suit :
Les autorisations du cluster élastique Amazon DocumentDB autorisent toutes les actions Amazon DocumentDB.
Certaines des autorisations Amazon EC2 définies dans cette politique sont requises pour valider les ressources transmises dans le cadre d'une demande d'API. Cela permet de s'assurer qu'Amazon DocumentDB est en mesure d'utiliser correctement les ressources pour approvisionner et gérer le cluster. Les autres autorisations Amazon EC2 de cette politique permettent à Amazon DocumentDB de AWS créer les ressources nécessaires pour vous permettre de vous connecter à vos clusters comme un point de terminaison VPC.
AWS KMS des autorisations sont requises pour qu'Amazon DocumentDB puisse utiliser la clé transmise pour chiffrer et déchiffrer les données au repos au sein du cluster élastique Amazon DocumentDB.
Note
La clé gérée par le client doit comporter une étiquette avec clé
DocDBElasticFullAccesset une valeur de balise.SecretsManager des autorisations sont requises pour valider le secret donné et l'utiliser pour configurer l'utilisateur administrateur pour les clusters élastiques Amazon DocumentDB.
Note
Le secret utilisé doit avoir une balise avec clé
DocDBElasticFullAccesset une valeur de balise.Les autorisations IAM sont requises pour créer les rôles liés au service requis pour la publication des métriques et des journaux.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DocdbElasticSid", "Effect": "Allow", "Action": [ "docdb-elastic:CreateCluster", "docdb-elastic:UpdateCluster", "docdb-elastic:GetCluster", "docdb-elastic:DeleteCluster", "docdb-elastic:ListClusters", "docdb-elastic:CreateClusterSnapshot", "docdb-elastic:GetClusterSnapshot", "docdb-elastic:DeleteClusterSnapshot", "docdb-elastic:ListClusterSnapshots", "docdb-elastic:RestoreClusterFromSnapshot", "docdb-elastic:TagResource", "docdb-elastic:UntagResource", "docdb-elastic:ListTagsForResource", "docdb-elastic:CopyClusterSnapshot", "docdb-elastic:StartCluster", "docdb-elastic:StopCluster" ], "Resource": [ "*" ] }, { "Sid": "EC2Sid", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:DescribeVpcEndpoints", "ec2:DeleteVpcEndpoints", "ec2:ModifyVpcEndpoint", "ec2:DescribeVpcAttribute", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeAvailabilityZones", "secretsmanager:ListSecrets" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:CalledViaFirst": "docdb-elastic.amazonaws.com" } } }, { "Sid": "KMSSid", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": [ "docdb-elastic.*.amazonaws.com" ], "aws:ResourceTag/DocDBElasticFullAccess": "*" } } }, { "Sid": "KMSGrantSid", "Effect": "Allow", "Action": [ "kms:CreateGrant" ], "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/DocDBElasticFullAccess": "*", "kms:ViaService": [ "docdb-elastic.*.amazonaws.com" ] }, "Bool": { "kms:GrantIsForAWSResource": true } } }, { "Sid": "SecretManagerSid", "Effect": "Allow", "Action": [ "secretsmanager:ListSecretVersionIds", "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:GetResourcePolicy" ], "Resource": "*", "Condition": { "StringLike": { "secretsmanager:ResourceTag/DocDBElasticFullAccess": "*" }, "StringEquals": { "aws:CalledViaFirst": "docdb-elastic.amazonaws.com" } } }, { "Sid": "CloudwatchSid", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics" ], "Resource": [ "*" ] }, { "Sid": "SLRSid", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic", "Condition": { "StringLike": { "iam:AWSServiceName": "docdb-elastic.amazonaws.com" } } } ] }
AmazonDocDB- ElasticServiceRolePolicy
Vous ne pouvez pas vous attacher AmazonDocDBElasticServiceRolePolicy à vos AWS Identity and Access Management entités. Cette politique est associée à un rôle lié à un service qui permet à Amazon DocumentDB d'effectuer des actions en votre nom. Pour plus d’informations, consultez Rôles liés aux services dans les clusters élastiques.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": [ "AWS/DocDB-Elastic" ] } } } ] }
Amazon DocumentDB met à jour les politiques gérées AWS
| Modification | Description | Date |
|---|---|---|
| AmazonDocDB ElasticFullAccess, AmazonDocDB ConsoleFullAccess - Modifier | Les politiques ont été mises à jour pour ajouter des actions de démarrage/arrêt du cluster et de copie des instantanés du cluster. | 21/02/2024 |
| AmazonDocDB ElasticReadOnlyAccess, AmazonDocDB ElasticFullAccess - Modifier | Politiques mises à jour pour ajouter des cloudwatch:GetMetricData actions. |
21/06/2023 |
| AmazonDocDB ElasticReadOnlyAccess : nouvelle politique | Nouvelle politique gérée pour les clusters élastiques Amazon DocumentDB | 08/06/2023 |
| AmazonDocDB ElasticFullAccess : nouvelle politique | Nouvelle politique gérée pour les clusters élastiques Amazon DocumentDB | 05/06/2023 |
| AmazonDocDB- ElasticServiceRolePolicy : nouvelle politique | Amazon DocumentDB crée un nouveau rôle lié au service AWS ServiceRoleForDoc DB-Elastic pour les clusters élastiques Amazon DocumentDB | 30/11/2022 |
| AmazonDocDB ConsoleFullAccess- Changement | Politique mise à jour pour ajouter les autorisations de cluster globales et élastiques d'Amazon DocumentDB | 30/11/2022 |
| AmazonDocDB ConsoleFullAccess,AmazonDocDB FullAccess, AmazonDocDB ReadOnlyAccess - Nouvelle politique | Lancement de service | 19/01/2017 |
