Autorizzazioni necessarie per utilizzare la console Amazon DocumentDB Esempi di policy gestite dal cliente

Utilizzo di politiche basate sull'identità (politiche IAM) per Amazon DocumentDB

Importante

Per alcune funzionalità di gestione, Amazon DocumentDB utilizza una tecnologia operativa condivisa con Amazon RDS. Le chiamate alla console e alle API di Amazon DocumentDB vengono registrate come chiamate effettuate all'API Amazon RDS. AWS CLI

Ti consigliamo di consultare prima gli argomenti introduttivi che spiegano i concetti e le opzioni di base disponibili per gestire l'accesso alle tue risorse di Amazon DocumentDB. Per ulteriori informazioni, consulta Gestione delle autorizzazioni di accesso alle risorse Amazon DocumentDB.

In questo argomento vengono forniti esempi di policy basate su identità in cui un amministratore account può collegare policy di autorizzazione a identità IAM, ovvero utenti, gruppi e ruoli.

Di seguito è riportato un esempio di policy IAM.



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateDBInstanceOnly",
            "Effect": "Allow",
            "Action": [
                "rds:CreateDBInstance"
            ],
            "Resource": [
                "arn:aws:rds:*:123456789012:db:test*",
                "arn:aws:rds:*:123456789012:pg:cluster-pg:default*",
                "arn:aws:rds:*:123456789012:subgrp:default"
            ]
        }
    ]
}

La policy include una singola istruzione che specifica le autorizzazioni seguenti per l'utente IAM:

La policy consente all'utente IAM di creare un'istanza utilizzando l'azione CreateDBInstance (ciò vale anche per create-db-instance AWS CLI l'operazione e la). AWS Management Console
L'elemento Resource specifica che l'utente può eseguire azioni in o con altre risorse. Specifica le risorse utilizzando un Amazon Resource Name (ARN). Questo ARN include il nome del servizio a cui appartiene la risorsa (rds), il Regione AWS (*indica qualsiasi regione in questo esempio), il numero di account utente (123456789012è l'ID utente in questo esempio) e il tipo di risorsa.

L'elemento Resource nell'esempio specifica i seguenti vincoli della policy sulle risorse per l'utente:
- L'identificatore dell'istanza per la nuova istanza deve iniziare con test (per esempio, testCustomerData1, test-region2-data).
- Il gruppo di parametri cluster per la nuova istanza database deve iniziare con default.
- Il gruppo di sottoreti per la nuova istanza deve essere il gruppo di sottoreti default.

La policy non specifica l'elemento Principal poiché in una policy basata su identità l'entità che ottiene l'autorizzazione non viene specificata. Quando si collega una policy a un utente, quest'ultimo è l'entità implicita. Quando colleghi una policy di autorizzazioni a un ruolo IAM, il principale identificato nella policy di attendibilità del ruolo ottiene le autorizzazioni.

Per una tabella che mostra tutte le operazioni API di Amazon DocumentDB e le risorse a cui si applicano, consulta. Autorizzazioni API Amazon DocumentDB: riferimento ad azioni, risorse e condizioni

Autorizzazioni necessarie per utilizzare la console Amazon DocumentDB

Affinché un utente possa lavorare con la console Amazon DocumentDB, deve disporre di un set minimo di autorizzazioni. Queste autorizzazioni consentono all'utente di descrivere le Account AWS proprie risorse Amazon DocumentDB e di fornire altre informazioni correlate, tra cui la sicurezza e le informazioni di rete di Amazon EC2.

Se decidi di creare una policy IAM più restrittiva delle autorizzazioni minime richieste, la console non funzionerà come previsto per gli utenti con tale policy IAM. Per garantire che tali utenti possano continuare a utilizzare la console Amazon DocumentDB, collega anche la policy AmazonDocDBConsoleFullAccess gestita all'utente, come descritto in. AWS politiche gestite per Amazon DocumentDB

Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso l' AWS CLI API di Amazon DocumentDB.

Esempi di policy gestite dal cliente

In questa sezione, puoi trovare esempi di politiche utente che concedono autorizzazioni per varie azioni di Amazon DocumentDB. Queste policy funzionano quando utilizzi azioni API di Amazon DocumentDB, AWS SDK o. AWS CLI Se utilizzi la console, sarà necessario concedere autorizzazioni aggiuntive specifiche per quest'ultima, come illustrato in Autorizzazioni necessarie per utilizzare la console Amazon DocumentDB.

Per alcune funzionalità di gestione, Amazon DocumentDB utilizza una tecnologia operativa condivisa con Amazon Relational Database Service (Amazon RDS) e Amazon Neptune.

Nota

Tutti gli esempi utilizzano la regione Stati Uniti orientali (Virginia settentrionale) () e contengono ID di account us-east-1 fittizi.

Esempi

Esempio 1: consentire a un utente di eseguire qualsiasi azione di descrizione su qualsiasi risorsa Amazon DocumentDB
Esempio 2: impedire a un utente di eliminare un'istanza
Esempio 3: impedire a un utente di creare un cluster a meno che non sia abilitata la crittografia dello storage

Esempio 1: consentire a un utente di eseguire qualsiasi azione di descrizione su qualsiasi risorsa Amazon DocumentDB

La seguente policy di autorizzazione concede a un utente le autorizzazioni per eseguire tutte le operazioni che iniziano con Describe. Queste azioni mostrano informazioni su una risorsa Amazon DocumentDB, ad esempio un'istanza. Il carattere jolly (*) nell'Resourceelemento indica che le azioni sono consentite per tutte le risorse Amazon DocumentDB di proprietà dell'account.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"AllowRDSDescribe",
         "Effect":"Allow",
         "Action":"rds:Describe*",
         "Resource":"*"
      }
   ]
}

Esempio 2: impedire a un utente di eliminare un'istanza

La seguente policy di autorizzazione assegna le autorizzazioni per impedire a un utente di eliminare un'istanza specifica. Ad esempio, potresti voler negare la possibilità di eliminare le istanze di produzione a qualsiasi utente che non sia un amministratore.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"DenyDelete1",
         "Effect":"Deny",
         "Action":"rds:DeleteDBInstance",
         "Resource":"arn:aws:rds:us-east-1:123456789012:db:my-db-instance"
      }
   ]
}

Esempio 3: impedire a un utente di creare un cluster a meno che non sia abilitata la crittografia dello storage

La seguente politica di autorizzazione nega l'autorizzazione a un utente per la creazione di un cluster Amazon DocumentDB a meno che non sia abilitata la crittografia dello storage.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "PreventUnencryptedDocumentDB",
         "Effect": "Deny",
         "Action": "RDS:CreateDBCluster",
         "Condition": {
         "Bool": {
         "rds:StorageEncrypted": "false"
      },
         "StringEquals": {
         "rds:DatabaseEngine": "docdb"
         }
      },
      "Resource": "*"
      }
   ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Gestione delle autorizzazioni di accesso alle risorse Amazon DocumentDB

AWS politiche gestite per Amazon DocumentDB