Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan kebijakan (IAMkebijakan) berbasis identitas untuk Amazon DocumentDB
penting
Untuk fitur manajemen tertentu, Amazon DocumentDB menggunakan teknologi operasional yang dibagikan dengan Amazon. RDS Konsol Amazon DocumentDB AWS CLI,, API dan panggilan dicatat sebagai panggilan yang dilakukan ke Amazon. RDS API
Kami menyarankan Anda untuk terlebih dahulu meninjau topik pendahuluan yang menjelaskan konsep dasar dan opsi yang tersedia bagi Anda untuk mengelola akses ke sumber daya Amazon DocumentDB Anda. Untuk informasi selengkapnya, lihat Mengelola izin akses ke sumber daya Amazon DocumentDB Anda.
Topik ini memberikan contoh kebijakan berbasis identitas di mana administrator akun dapat melampirkan kebijakan izin ke IAM identitas (yaitu, pengguna, grup, dan peran).
Berikut ini adalah contoh IAM kebijakan.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateDBInstanceOnly", "Effect": "Allow", "Action": [ "rds:CreateDBInstance" ], "Resource": [ "arn:aws:rds:*:123456789012:db:test*", "arn:aws:rds:*:123456789012:pg:cluster-pg:default*", "arn:aws:rds:*:123456789012:subgrp:default" ] } ] }
Kebijakan ini mencakup satu pernyataan yang menentukan izin berikut untuk pengguna: IAM
-
Kebijakan ini memungkinkan IAM pengguna untuk membuat instance menggunakan reateDBInstance tindakan C (ini juga berlaku untuk create-db-instance AWS CLI operasi dan AWS Management Console).
-
Elemen
Resourcemenentukan bahwa pengguna dapat melakukan tindakan pada atau dengan sumber daya. Anda menentukan sumber daya menggunakan Amazon Resource Name (ARN). Ini ARN termasuk nama layanan yang dimiliki sumber daya (rds), Wilayah AWS (*menunjukkan Wilayah apa pun dalam contoh ini), nomor akun pengguna (123456789012adalah ID pengguna dalam contoh ini), dan jenis sumber daya.Elemen
Resourcedalam contoh menentukan batasan kebijakan berikut pada sumber daya untuk pengguna:-
Pengidentifikasi instans untuk instans baru harus dimulai dengan
test(sebagai contoh,testCustomerData1,test-region2-data). -
Grup parameter klaster untuk instans baru harus dimulai dengan
default. -
Grup subnet untuk instans baru harus grup subnet
default.
-
Kebijakan tidak menentukan elemen Principal karena dalam kebijakan berbasis identitas, Anda tidak menentukan prinsipal yang mendapatkan izin. Saat Anda melampirkan kebijakan kepada pengguna, pengguna tersebut menjadi prinsipal secara implisit. Saat Anda melampirkan kebijakan izin ke IAM peran, prinsipal yang diidentifikasi dalam kebijakan kepercayaan peran akan mendapatkan izin.
Untuk tabel yang menunjukkan semua operasi Amazon API DocumentDB dan sumber daya yang mereka terapkan, lihat. Izin Amazon API DocumentDB: referensi tindakan, sumber daya, dan kondisi
Izin diperlukan untuk menggunakan konsol Amazon DocumentDB
Agar pengguna dapat bekerja dengan konsol Amazon DocumentDB, pengguna tersebut harus memiliki rangkaian izin minimum. Izin ini memungkinkan pengguna untuk mendeskripsikan sumber daya Amazon DocumentDB Akun AWS untuk mereka dan untuk memberikan informasi terkait lainnya, termasuk keamanan EC2 Amazon dan informasi jaringan.
Jika Anda membuat IAM kebijakan yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana dimaksud untuk pengguna dengan kebijakan tersebutIAM. Untuk memastikan bahwa pengguna tersebut masih dapat menggunakan konsol Amazon DocumentDB, lampirkan juga kebijakan terkelola AmazonDocDBConsoleFullAccess kepada pengguna, sebagaimana dijelaskan dalam AWS kebijakan terkelola untuk Amazon DocumentDB.
Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke Amazon DocumentDB AWS CLI API atau Amazon.
Contoh kebijakan yang dikelola pelanggan
Dalam bagian ini, Anda dapat menemukan contoh kebijakan pengguna yang memberikan izin untuk berbagai tindakan Amazon DocumentDB. Kebijakan ini berfungsi saat Anda menggunakan tindakan Amazon API DocumentDB AWS SDKs, atau. AWS CLI Saat menggunakan konsol, Anda perlu memberikan izin tambahan yang khusus untuk konsol, yang dibahas dalam Izin diperlukan untuk menggunakan konsol Amazon DocumentDB.
Untuk fitur manajemen tertentu, Amazon DocumentDB menggunakan teknologi operasional yang dibagikan dengan Amazon Relational Database Service RDS (Amazon) dan Amazon Neptune.
catatan
Semua contoh menggunakan Wilayah AS Timur (Virginia Utara) (us-east-1) dan berisi akun fiktif. IDs
Contoh
Contoh 1: Izinkan pengguna melakukan tindakan mendeskripsikan apa pun pada sumber daya Amazon DocumentDB
Kebijakan izin berikut ini memberikan izin kepada pengguna untuk menjalankan semua tindakan yang dimulai dengan Describe. Tindakan tersebut menunjukkan informasi tentang sumber daya Amazon DocumentDB, seperti instans. Karakter wildcard (*) di elemen Resource menunjukkan bahwa tindakan diizinkan untuk semua sumber daya Amazon DocumentDB yang dimiliki akun tersebut.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"AllowRDSDescribe", "Effect":"Allow", "Action":"rds:Describe*", "Resource":"*" } ] }
Contoh 2: Mencegah pengguna menghapus instance
Kebijakan izin berikut ini memberikan izin untuk mencegah pengguna menghapus instans tertentu. Sebagai contoh, Anda mungkin ingin menolak kemampuan untuk menghapus instans produksi Anda kepada setiap pengguna yang bukan administrator.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"DenyDelete1", "Effect":"Deny", "Action":"rds:DeleteDBInstance", "Resource":"arn:aws:rds:us-east-1:123456789012:db:my-db-instance" } ] }
Contoh 3: Mencegah pengguna membuat cluster kecuali enkripsi penyimpanan diaktifkan
Kebijakan izin berikut ini menolak izin bagi pengguna untuk membuat klaster Amazon DocumentDB kecuali enkripsi penyimpanan diaktifkan.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PreventUnencryptedDocumentDB", "Effect": "Deny", "Action": "RDS:CreateDBCluster", "Condition": { "Bool": { "rds:StorageEncrypted": "false" }, "StringEquals": { "rds:DatabaseEngine": "docdb" } }, "Resource": "*" } ] }
