Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS kebijakan terkelola untuk Amazon DocumentDB
Untuk menambahkan izin ke pengguna, grup, dan peran, lebih mudah menggunakan kebijakan AWS terkelola daripada menulis kebijakan sendiri. Dibutuhkan waktu dan keahlian untuk membuat kebijakan yang dikelola pelanggan IAM yang hanya memberi tim Anda izin yang mereka butuhkan. Untuk memulai dengan cepat, Anda dapat menggunakan kebijakan AWS terkelola kami. Kebijakan ini mencakup kasus penggunaan umum dan tersedia di AWS akun Anda. Untuk informasi selengkapnya tentang kebijakan AWS terkelola, lihat kebijakan AWS terkelola di Panduan Pengguna AWS Identity and Access Management.
AWS layanan memelihara dan memperbarui kebijakan AWS terkelola. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Layanan terkadang menambahkan izin tambahan ke kebijakan AWS terkelola untuk mendukung fitur baru. Jenis pembaruan ini akan memengaruhi semua identitas (pengguna, grup, dan peran) di mana kebijakan tersebut dilampirkan. Layanan kemungkinan besar akan memperbarui kebijakan AWS terkelola saat fitur baru diluncurkan atau saat operasi baru tersedia. Layanan tidak menghapus izin dari kebijakan AWS terkelola, sehingga pembaruan kebijakan tidak akan merusak izin yang ada.
Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan ViewOnlyAccess AWS terkelola menyediakan akses hanya-baca ke banyak AWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS tambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk daftar dan deskripsi kebijakan fungsi pekerjaan, lihat kebijakan AWS terkelola untuk fungsi pekerjaan di Panduan Pengguna AWS Identity and Access Management.
Kebijakan AWS terkelola berikut, yang dapat Anda lampirkan ke pengguna di akun Anda, khusus untuk Amazon DocumentDB:
AmazonDocDB FullAccess— Memberikan akses penuh ke semua sumber daya Amazon DocumentDB untuk akun root. AWS
AmazonDocDB ReadOnlyAccess— Memberikan akses hanya-baca ke semua sumber daya Amazon DocumentDB untuk akun root. AWS
AmazonDocDB ConsoleFullAccess— Memberikan akses penuh untuk mengelola sumber daya cluster elastis Amazon DocumentDB dan Amazon DocumentDB menggunakan file. AWS Management Console
AmazonDocDB ElasticReadOnlyAccess— Memberikan akses hanya-baca ke semua sumber daya cluster elastis Amazon DocumentDB untuk akun root. AWS
AmazonDocDB ElasticFullAccess— Memberikan akses penuh ke semua sumber daya cluster elastis Amazon DocumentDB untuk akun root. AWS
AmazonDocDB FullAccess
Kebijakan ini memberikan izin administratif yang memungkinkan akses penuh utama ke semua tindakan Amazon DocumentDB. Izin dalam kebijakan ini dikelompokkan sebagai berikut:
Izin Amazon DocumentDB memungkinkan semua tindakan Amazon DocumentDB.
Beberapa izin Amazon EC2 dalam kebijakan ini diperlukan untuk memvalidasi sumber daya yang diteruskan dalam permintaan API. Ini untuk memastikan Amazon DocumentDB berhasil menggunakan sumber daya dengan cluster. Izin Amazon EC2 lainnya dalam kebijakan ini memungkinkan Amazon DocumentDB membuat AWS sumber daya yang diperlukan untuk memungkinkan Anda terhubung ke kluster Anda.
Izin Amazon DocumentDB digunakan selama panggilan API untuk memvalidasi sumber daya yang diteruskan dalam permintaan. Mereka diperlukan untuk Amazon DocumentDB untuk dapat menggunakan kunci yang diteruskan dengan cluster Amazon DocumentDB.
CloudWatch Log diperlukan untuk Amazon DocumentDB untuk dapat memastikan bahwa tujuan pengiriman log dapat dijangkau, dan valid untuk penggunaan log broker.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "rds:AddRoleToDBCluster", "rds:AddSourceIdentifierToSubscription", "rds:AddTagsToResource", "rds:ApplyPendingMaintenanceAction", "rds:CopyDBClusterParameterGroup", "rds:CopyDBClusterSnapshot", "rds:CopyDBParameterGroup", "rds:CreateDBCluster", "rds:CreateDBClusterParameterGroup", "rds:CreateDBClusterSnapshot", "rds:CreateDBInstance", "rds:CreateDBParameterGroup", "rds:CreateDBSubnetGroup", "rds:CreateEventSubscription", "rds:DeleteDBCluster", "rds:DeleteDBClusterParameterGroup", "rds:DeleteDBClusterSnapshot", "rds:DeleteDBInstance", "rds:DeleteDBParameterGroup", "rds:DeleteDBSubnetGroup", "rds:DeleteEventSubscription", "rds:DescribeAccountAttributes", "rds:DescribeCertificates", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBClusterParameters", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBLogFiles", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSecurityGroups", "rds:DescribeDBSubnetGroups", "rds:DescribeEngineDefaultClusterParameters", "rds:DescribeEngineDefaultParameters", "rds:DescribeEventCategories", "rds:DescribeEventSubscriptions", "rds:DescribeEvents", "rds:DescribeOptionGroups", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribePendingMaintenanceActions", "rds:DescribeValidDBInstanceModifications", "rds:DownloadDBLogFilePortion", "rds:FailoverDBCluster", "rds:ListTagsForResource", "rds:ModifyDBCluster", "rds:ModifyDBClusterParameterGroup", "rds:ModifyDBClusterSnapshotAttribute", "rds:ModifyDBInstance", "rds:ModifyDBParameterGroup", "rds:ModifyDBSubnetGroup", "rds:ModifyEventSubscription", "rds:PromoteReadReplicaDBCluster", "rds:RebootDBInstance", "rds:RemoveRoleFromDBCluster", "rds:RemoveSourceIdentifierFromSubscription", "rds:RemoveTagsFromResource", "rds:ResetDBClusterParameterGroup", "rds:ResetDBParameterGroup", "rds:RestoreDBClusterFromSnapshot", "rds:RestoreDBClusterToPointInTime" ], "Effect": "Allow", "Resource": [ "*" ] }, { "Action": [ "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "ec2:DescribeAccountAttributes", "ec2:DescribeAvailabilityZones", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcs", "kms:ListAliases", "kms:ListKeyPolicies", "kms:ListKeys", "kms:ListRetirableGrants", "logs:DescribeLogStreams", "logs:GetLogEvents", "sns:ListSubscriptions", "sns:ListTopics", "sns:Publish" ], "Effect": "Allow", "Resource": [ "*" ] }, { "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS", "Condition": { "StringLike": { "iam:AWS ServiceName": "rds.amazonaws.com" } } } ] }
AmazonDocDB ReadOnlyAccess
Kebijakan ini memberikan izin hanya-baca yang memungkinkan pengguna melihat informasi di Amazon DocumentDB. Prinsipal dengan kebijakan terlampir ini tidak dapat membuat pembaruan atau menghapus sumber daya yang keluar, juga tidak dapat membuat sumber daya Amazon DocumentDB baru. Misalnya, prinsipal dengan izin ini dapat melihat daftar cluster dan konfigurasi yang terkait dengan akun mereka, tetapi tidak dapat mengubah konfigurasi atau pengaturan cluster apa pun. Izin dalam kebijakan ini dikelompokkan sebagai berikut:
Izin Amazon DocumentDB memungkinkan Anda mencantumkan sumber daya Amazon DocumentDB, menjelaskannya, dan mendapatkan informasi tentangnya.
Izin Amazon EC2 digunakan untuk menggambarkan VPC Amazon, subnet, grup keamanan, dan ENI yang terkait dengan kluster.
Izin Amazon DocumentDB digunakan untuk menggambarkan kunci yang terkait dengan cluster.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "rds:DescribeAccountAttributes", "rds:DescribeCertificates", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBClusterParameters", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBLogFiles", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSubnetGroups", "rds:DescribeEventCategories", "rds:DescribeEventSubscriptions", "rds:DescribeEvents", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribePendingMaintenanceActions", "rds:DownloadDBLogFilePortion", "rds:ListTagsForResource" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "ec2:DescribeAccountAttributes", "ec2:DescribeAvailabilityZones", "ec2:DescribeInternetGateways", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcs" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "kms:ListKeys", "kms:ListRetirableGrants", "kms:ListAliases", "kms:ListKeyPolicies" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "logs:DescribeLogStreams", "logs:GetLogEvents" ], "Effect": "Allow", "Resource": [ "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*", "arn:aws:logs:*:*:log-group:/aws/docdb/*:log-stream:*" ] } ] }
AmazonDocDB ConsoleFullAccess
Memberikan akses penuh untuk mengelola sumber daya AWS Management Console Amazon DocumentDB menggunakan berikut ini:
Izin Amazon DocumentDB untuk mengizinkan semua tindakan cluster Amazon DocumentDB dan Amazon DocumentDB.
Beberapa izin Amazon EC2 dalam kebijakan ini diperlukan untuk memvalidasi sumber daya yang diteruskan dalam permintaan API. Ini untuk memastikan Amazon DocumentDB berhasil menggunakan sumber daya untuk menyediakan dan memelihara cluster. Izin Amazon EC2 lainnya dalam kebijakan ini memungkinkan Amazon DocumentDB membuat AWS sumber daya yang diperlukan untuk memungkinkan Anda terhubung ke cluster seperti VPcendPoint.
AWS KMS izin digunakan selama panggilan API AWS KMS untuk memvalidasi sumber daya yang diteruskan dalam permintaan. Mereka diperlukan untuk Amazon DocumentDB untuk dapat menggunakan kunci yang diteruskan untuk mengenkripsi dan mendekripsi data saat istirahat dengan cluster elastis Amazon DocumentDB.
CloudWatch Log diperlukan untuk Amazon DocumentDB agar dapat memastikan bahwa tujuan pengiriman log dapat dijangkau, dan valid untuk mengaudit dan membuat profil penggunaan log.
Izin Secrets Manager diperlukan untuk memvalidasi rahasia yang diberikan dan menggunakannya untuk mengatur pengguna admin untuk cluster elastis Amazon DocumentDB.
Izin Amazon RDS diperlukan untuk tindakan pengelolaan klaster Amazon DocumentDB. Untuk fitur manajemen tertentu, Amazon DocumentDB menggunakan teknologi operasional yang dibagi dengan Amazon RDS.
Izin SNS memungkinkan prinsipal untuk langganan dan topik Amazon Simple Notification Service (Amazon SNS), dan untuk mempublikasikan pesan Amazon SNS.
Izin IAM diperlukan untuk membuat peran terkait layanan yang diperlukan untuk metrik dan penerbitan log.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DocdbSids", "Effect": "Allow", "Action": [ "docdb-elastic:CreateCluster", "docdb-elastic:UpdateCluster", "docdb-elastic:GetCluster", "docdb-elastic:DeleteCluster", "docdb-elastic:ListClusters", "docdb-elastic:CreateClusterSnapshot", "docdb-elastic:GetClusterSnapshot", "docdb-elastic:DeleteClusterSnapshot", "docdb-elastic:ListClusterSnapshots", "docdb-elastic:RestoreClusterFromSnapshot", "docdb-elastic:TagResource", "docdb-elastic:UntagResource", "docdb-elastic:ListTagsForResource", "docdb-elastic:CopyClusterSnapshot", "docdb-elastic:StartCluster", "docdb-elastic:StopCluster", "rds:AddRoleToDBCluster", "rds:AddSourceIdentifierToSubscription", "rds:AddTagsToResource", "rds:ApplyPendingMaintenanceAction", "rds:CopyDBClusterParameterGroup", "rds:CopyDBClusterSnapshot", "rds:CopyDBParameterGroup", "rds:CreateDBCluster", "rds:CreateDBClusterParameterGroup", "rds:CreateDBClusterSnapshot", "rds:CreateDBInstance", "rds:CreateDBParameterGroup", "rds:CreateDBSubnetGroup", "rds:CreateEventSubscription", "rds:CreateGlobalCluster", "rds:DeleteDBCluster", "rds:DeleteDBClusterParameterGroup", "rds:DeleteDBClusterSnapshot", "rds:DeleteDBInstance", "rds:DeleteDBParameterGroup", "rds:DeleteDBSubnetGroup", "rds:DeleteEventSubscription", "rds:DeleteGlobalCluster", "rds:DescribeAccountAttributes", "rds:DescribeCertificates", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBClusterParameters", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBLogFiles", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSecurityGroups", "rds:DescribeDBSubnetGroups", "rds:DescribeEngineDefaultClusterParameters", "rds:DescribeEngineDefaultParameters", "rds:DescribeEventCategories", "rds:DescribeEventSubscriptions", "rds:DescribeEvents", "rds:DescribeGlobalClusters", "rds:DescribeOptionGroups", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribePendingMaintenanceActions", "rds:DescribeValidDBInstanceModifications", "rds:DownloadDBLogFilePortion", "rds:FailoverDBCluster", "rds:ListTagsForResource", "rds:ModifyDBCluster", "rds:ModifyDBClusterParameterGroup", "rds:ModifyDBClusterSnapshotAttribute", "rds:ModifyDBInstance", "rds:ModifyDBParameterGroup", "rds:ModifyDBSubnetGroup", "rds:ModifyEventSubscription", "rds:ModifyGlobalCluster", "rds:PromoteReadReplicaDBCluster", "rds:RebootDBInstance", "rds:RemoveFromGlobalCluster", "rds:RemoveRoleFromDBCluster", "rds:RemoveSourceIdentifierFromSubscription", "rds:RemoveTagsFromResource", "rds:ResetDBClusterParameterGroup", "rds:ResetDBParameterGroup", "rds:RestoreDBClusterFromSnapshot", "rds:RestoreDBClusterToPointInTime" ], "Resource": [ "*" ] }, { "Sid": "DependencySids", "Effect": "Allow", "Action": [ "iam:GetRole", "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "ec2:AllocateAddress", "ec2:AssignIpv6Addresses", "ec2:AssignPrivateIpAddresses", "ec2:AssociateAddress", "ec2:AssociateRouteTable", "ec2:AssociateSubnetCidrBlock", "ec2:AssociateVpcCidrBlock", "ec2:AttachInternetGateway", "ec2:AttachNetworkInterface", "ec2:CreateCustomerGateway", "ec2:CreateDefaultSubnet", "ec2:CreateDefaultVpc", "ec2:CreateInternetGateway", "ec2:CreateNatGateway", "ec2:CreateNetworkInterface", "ec2:CreateRoute", "ec2:CreateRouteTable", "ec2:CreateSecurityGroup", "ec2:CreateSubnet", "ec2:CreateVpc", "ec2:CreateVpcEndpoint", "ec2:DescribeAccountAttributes", "ec2:DescribeAddresses", "ec2:DescribeAvailabilityZones", "ec2:DescribeCustomerGateways", "ec2:DescribeInstances", "ec2:DescribeNatGateways", "ec2:DescribeNetworkInterfaces", "ec2:DescribePrefixLists", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroupReferences", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ec2:ModifyNetworkInterfaceAttribute", "ec2:ModifySubnetAttribute", "ec2:ModifyVpcAttribute", "ec2:ModifyVpcEndpoint", "kms:DescribeKey", "kms:ListAliases", "kms:ListKeyPolicies", "kms:ListKeys", "kms:ListRetirableGrants", "logs:DescribeLogStreams", "logs:GetLogEvents", "sns:ListSubscriptions", "sns:ListTopics", "sns:Publish" ], "Resource": [ "*" ] }, { "Sid": "DocdbSLRSid", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS", "Condition": { "StringLike": { "iam:AWSServiceName": "rds.amazonaws.com" } } }, { "Sid": "DocdbElasticSLRSid", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic", "Condition": { "StringLike": { "iam:AWSServiceName": "docdb-elastic.amazonaws.com" } } } ] }
AmazonDocDB ElasticReadOnlyAccess
Kebijakan ini memberikan izin hanya-baca yang memungkinkan pengguna melihat informasi klaster elastis di Amazon DocumentDB. Prinsipal dengan kebijakan terlampir ini tidak dapat membuat pembaruan atau menghapus sumber daya yang keluar, juga tidak dapat membuat sumber daya Amazon DocumentDB baru. Misalnya, prinsipal dengan izin ini dapat melihat daftar cluster dan konfigurasi yang terkait dengan akun mereka, tetapi tidak dapat mengubah konfigurasi atau pengaturan cluster apa pun. Izin dalam kebijakan ini dikelompokkan sebagai berikut:
Izin cluster elastis Amazon DocumentDB memungkinkan Anda mencantumkan sumber daya cluster elastis Amazon DocumentDB, mendeskripsikannya, dan mendapatkan informasi tentangnya.
CloudWatch izin digunakan untuk memverifikasi metrik layanan.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "docdb-elastic:ListClusters", "docdb-elastic:GetCluster", "docdb-elastic:ListClusterSnapshots", "docdb-elastic:GetClusterSnapshot", "docdb-elastic:ListTagsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics" ], "Resource": "*" } ] }
AmazonDocDB ElasticFullAccess
Kebijakan ini memberikan izin administratif yang memungkinkan akses penuh utama ke semua tindakan Amazon DocumentDB untuk klaster elastis Amazon DocumentDB.
Kebijakan ini menggunakan AWS tag (https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) dalam kondisi untuk cakupan akses ke sumber daya. Jika Anda menggunakan rahasia, itu harus ditandai dengan kunci tag DocDBElasticFullAccess dan nilai tag. Jika Anda menggunakan kunci yang dikelola pelanggan, itu harus ditandai dengan kunci tag DocDBElasticFullAccess dan nilai tag.
Izin dalam kebijakan ini dikelompokkan sebagai berikut:
Izin cluster elastis Amazon DocumentDB memungkinkan semua tindakan Amazon DocumentDB.
Beberapa izin Amazon EC2 dalam kebijakan ini diperlukan untuk memvalidasi sumber daya yang diteruskan dalam permintaan API. Ini untuk memastikan Amazon DocumentDB berhasil menggunakan sumber daya untuk menyediakan dan memelihara cluster. Izin Amazon EC2 lainnya dalam kebijakan ini memungkinkan Amazon DocumentDB membuat AWS sumber daya yang diperlukan untuk memungkinkan Anda terhubung ke cluster Anda seperti titik akhir VPC.
AWS KMS izin diperlukan agar Amazon DocumentDB dapat menggunakan kunci yang diteruskan untuk mengenkripsi dan mendekripsi data saat istirahat dalam cluster elastis Amazon DocumentDB.
catatan
Kunci yang dikelola pelanggan harus memiliki tag dengan kunci
DocDBElasticFullAccessdan nilai tag.SecretsManager izin diperlukan untuk memvalidasi rahasia yang diberikan dan menggunakannya untuk mengatur pengguna admin untuk cluster elastis Amazon DocumentDB.
catatan
Rahasia yang digunakan harus memiliki tag dengan kunci
DocDBElasticFullAccessdan nilai tag.Izin IAM diperlukan untuk membuat peran terkait layanan yang diperlukan untuk metrik dan penerbitan log.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DocdbElasticSid", "Effect": "Allow", "Action": [ "docdb-elastic:CreateCluster", "docdb-elastic:UpdateCluster", "docdb-elastic:GetCluster", "docdb-elastic:DeleteCluster", "docdb-elastic:ListClusters", "docdb-elastic:CreateClusterSnapshot", "docdb-elastic:GetClusterSnapshot", "docdb-elastic:DeleteClusterSnapshot", "docdb-elastic:ListClusterSnapshots", "docdb-elastic:RestoreClusterFromSnapshot", "docdb-elastic:TagResource", "docdb-elastic:UntagResource", "docdb-elastic:ListTagsForResource", "docdb-elastic:CopyClusterSnapshot", "docdb-elastic:StartCluster", "docdb-elastic:StopCluster" ], "Resource": [ "*" ] }, { "Sid": "EC2Sid", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:DescribeVpcEndpoints", "ec2:DeleteVpcEndpoints", "ec2:ModifyVpcEndpoint", "ec2:DescribeVpcAttribute", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeAvailabilityZones", "secretsmanager:ListSecrets" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:CalledViaFirst": "docdb-elastic.amazonaws.com" } } }, { "Sid": "KMSSid", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": [ "docdb-elastic.*.amazonaws.com" ], "aws:ResourceTag/DocDBElasticFullAccess": "*" } } }, { "Sid": "KMSGrantSid", "Effect": "Allow", "Action": [ "kms:CreateGrant" ], "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/DocDBElasticFullAccess": "*", "kms:ViaService": [ "docdb-elastic.*.amazonaws.com" ] }, "Bool": { "kms:GrantIsForAWSResource": true } } }, { "Sid": "SecretManagerSid", "Effect": "Allow", "Action": [ "secretsmanager:ListSecretVersionIds", "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:GetResourcePolicy" ], "Resource": "*", "Condition": { "StringLike": { "secretsmanager:ResourceTag/DocDBElasticFullAccess": "*" }, "StringEquals": { "aws:CalledViaFirst": "docdb-elastic.amazonaws.com" } } }, { "Sid": "CloudwatchSid", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics" ], "Resource": [ "*" ] }, { "Sid": "SLRSid", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic", "Condition": { "StringLike": { "iam:AWSServiceName": "docdb-elastic.amazonaws.com" } } } ] }
AmazonDocDB- ElasticServiceRolePolicy
Anda tidak dapat melampirkan AmazonDocDBElasticServiceRolePolicy ke AWS Identity and Access Management entitas Anda. Kebijakan ini dilampirkan ke peran terkait layanan yang memungkinkan Amazon DocumentDB melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Peran terkait layanan dalam kelompok elastis.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": [ "AWS/DocDB-Elastic" ] } } } ] }
Amazon DocumentDB memperbarui kebijakan terkelola AWS
| Perubahan | Deskripsi | Tanggal |
|---|---|---|
| AmazonDocDB ElasticFullAccess, AmazonDocDB ConsoleFullAccess - Ubah | Kebijakan diperbarui untuk menambahkan cluster start/stop dan menyalin tindakan snapshot cluster. | 2/21/2024 |
| AmazonDocDB ElasticReadOnlyAccess, AmazonDocDB ElasticFullAccess - Ubah | Kebijakan diperbarui untuk menambahkan cloudwatch:GetMetricData tindakan. |
6/21/2023 |
| AmazonDocDB ElasticReadOnlyAccess- Kebijakan baru | Kebijakan terkelola baru untuk cluster elastis Amazon DocumentDB | 6/8/2023 |
| AmazonDocDB ElasticFullAccess- Kebijakan baru | Kebijakan terkelola baru untuk cluster elastis Amazon DocumentDB | 6/5/2023 |
| AmazonDocDB- ElasticServiceRolePolicy – Kebijakan baru | Amazon DocumentDB menciptakan peran terkait layanan DB-Elastic AWS ServiceRoleForDoc baru untuk cluster elastis Amazon DocumentDB | 11/30/2022 |
| AmazonDocDB ConsoleFullAccess- Perubahan | Kebijakan diperbarui untuk menambahkan izin klaster global dan elastis Amazon DocumentDB | 11/30/2022 |
| AmazonDocDB ConsoleFullAccess,AmazonDocDB FullAccess, AmazonDocDB ReadOnlyAccess - Kebijakan Baru | Peluncuran layanan | 1/19/2017 |
