Gestione delle autorizzazioni di accesso alle risorse Amazon DocumentDB

Ogni AWS risorsa è di proprietà di un utente e Account AWS le autorizzazioni per creare o accedere alle risorse sono regolate da politiche di autorizzazione. Un amministratore di account può associare politiche di autorizzazione alle IAM identità (ovvero utenti, gruppi e ruoli) e alcuni servizi (come AWS Lambda) supportano anche l'associazione di politiche di autorizzazione alle risorse.

Nota

Un amministratore account (o un utente amministratore) è un utente con autorizzazioni di amministratore. Per ulteriori informazioni, consulta IAMBest Practices nella Guida per l'utente. IAM

Amazon DocumentDB Risorse e operazioni

In Amazon DocumentDB, la risorsa principale è un cluster. Amazon DocumentDB supporta altre risorse che possono essere utilizzate con la risorsa principale, come istanze, gruppi di parametri e sottoscrizioni a eventi. Queste risorse vengono chiamate risorse secondarie.

A queste risorse e sottorisorse sono associati Amazon Resource Names (ARNs) univoci, come illustrato nella tabella seguente.

Tipo di risorsa	ARNFormato
Cluster	arn:aws:rds:region:account-id:cluster:db-cluster-name
Cluster parameter group (Gruppo di parametri del cluster)	arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name
Snapshot del cluster	arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name
Istanza	arn:aws:rds:region:account-id:db:db-instance-name
Gruppo di sicurezza	arn:aws:rds:region:account-id:secgrp:security-group-name
Subnet group (Gruppo di sottoreti)	arn:aws:rds:region:account-id:subgrp:subnet-group-name

Amazon DocumentDB fornisce una serie di operazioni per lavorare con le risorse di Amazon DocumentDB. Per un elenco di operazioni disponibili, consulta Operazioni.

Informazioni sulla proprietà delle risorse

Il proprietario di una risorsa è colui Account AWS che ha creato una risorsa. Cioè, il proprietario Account AWS della risorsa è l'entità principale (l'account root, un IAM utente o un IAM ruolo) che autentica la richiesta che crea la risorsa. Negli esempi seguenti viene illustrato il funzionamento:

• Se utilizzi le credenziali dell'account root del tuo account Account AWS per creare una risorsa Amazon DocumentDB, ad esempio un'istanza, sei Account AWS il proprietario della risorsa Amazon DocumentDB.

• Se crei un IAM utente nel tuo account Account AWS e concedi le autorizzazioni per creare risorse Amazon DocumentDB a quell'utente, l'utente può creare risorse Amazon DocumentDB. Tuttavia, l'utente Account AWS a cui appartiene l'utente possiede le risorse di Amazon DocumentDB.

• Se crei un IAM ruolo in una tua azienda Account AWS con le autorizzazioni per creare risorse Amazon DocumentDB, chiunque possa assumere il ruolo può creare risorse Amazon DocumentDB. Il tuo Account AWS, a cui appartiene il ruolo, possiede le risorse di Amazon DocumentDB.

Gestione dell'accesso alle risorse

La policy delle autorizzazioni descrive chi ha accesso a cosa. Nella sezione seguente vengono descritte le opzioni disponibili per la creazione di policy relative alle autorizzazioni.

Nota

Questa sezione descrive l'utilizzo IAM nel contesto di Amazon DocumentDB. Non fornisce informazioni dettagliate sul servizio. IAM Per la IAM documentazione completa, vedi Cos'èIAM? nella Guida IAM per l'utente. Per informazioni sulla sintassi e le descrizioni delle IAM policy, vedere AWSIAM Policy Reference nella Guida per l'IAMutente.

Le politiche associate a un'IAMidentità vengono chiamate politiche basate sull'identità (politiche). IAM Le policy collegate a una risorsa sono denominate policy basate sulle risorse. Amazon DocumentDB supporta solo policy (policy) basate sull'identità. IAM

Argomenti

• Politiche (politiche) basate sull'identità IAM
• Policy basate su risorse

Politiche (politiche) basate sull'identità IAM

È possibile allegare politiche alle identità. IAM Ad esempio, puoi eseguire le operazioni seguenti:

• Allega una politica di autorizzazioni a un utente o a un gruppo nel tuo account: un amministratore dell'account può utilizzare una politica di autorizzazioni associata a un particolare utente per concedere a quell'utente le autorizzazioni per creare una risorsa Amazon DocumentDB, ad esempio un'istanza.

• Associare una politica di autorizzazioni a un ruolo (concedere autorizzazioni per più account): puoi allegare una politica di autorizzazioni basata sull'identità a un ruolo per concedere autorizzazioni su più account. IAM Ad esempio, un amministratore può creare un ruolo per concedere autorizzazioni su più account a un altro o a un servizio nel modo seguente: Account AWS AWS

  1. Account Un amministratore crea un IAM ruolo e attribuisce una politica di autorizzazioni al ruolo che concede le autorizzazioni sulle risorse nell'Account A.

  2. L'amministratore dell'account A attribuisce una policy di attendibilità al ruolo, identificando l'account B come il principale per tale ruolo.

  3. L'amministratore dell'Account B può quindi delegare le autorizzazioni per assumere il ruolo a qualsiasi utente dell'Account B. In questo modo gli utenti dell'Account B possono creare o accedere alle risorse nell'Account A. Il responsabile della politica di fiducia può anche essere un responsabile del AWS servizio se si desidera concedere le autorizzazioni a un servizio che assume il ruolo. AWS

  Per ulteriori informazioni sull'utilizzo per IAM delegare le autorizzazioni, vedere Gestione degli accessi nella Guida per l'utente. IAM

Di seguito è riportato un esempio di politica che consente all'utente con l'ID di creare istanze 123456789012 per il tuo. Account AWS La nuova istanza database deve utilizzare un gruppo di opzioni e un gruppo di parametri che inizia con default e deve utilizzare il gruppo di sottoreti default.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateDBInstanceOnly",
            "Effect": "Allow",
            "Action": [
                "rds:CreateDBInstance"
            ],
            "Resource": [
                "arn:aws:rds:*:123456789012:db:test*",
                "arn:aws:rds:*:123456789012:pg:cluster-pg:default*",
                "arn:aws:rds:*:123456789012:subgrp:default"
            ]
        }
    ]
}

Per ulteriori informazioni sull'utilizzo di politiche basate sull'identità con Amazon DocumentDB, consulta. Utilizzo di politiche (IAMpolitiche) basate sull'identità per Amazon DocumentDB Per ulteriori informazioni su utenti, gruppi, ruoli e autorizzazioni, consulta Identità (utenti, gruppi e ruoli) nella Guida per l'utente. IAM

Policy basate su risorse

Anche altri servizi, come Amazon Simple Storage Service (Amazon S3), supportano politiche di autorizzazione basate sulle risorse. Ad esempio, è possibile associare una policy a un bucket Amazon S3 per gestire le autorizzazioni di accesso a quel bucket. Amazon DocumentDB non supporta policy basate sulle risorse.

Specificazione degli elementi della policy: azioni, effetti, risorse e principi

Per ogni risorsa Amazon DocumentDB (vediAmazon DocumentDB Risorse e operazioni), il servizio definisce una serie di API operazioni. Per ulteriori informazioni, consulta Operazioni. Per concedere le autorizzazioni per queste API operazioni, Amazon DocumentDB definisce una serie di azioni che è possibile specificare in una policy. L'esecuzione di un'APIoperazione può richiedere autorizzazioni per più di un'azione.

Di seguito sono elencati gli elementi di base di una policy:

• Risorsa: in una policy, utilizzi un Amazon Resource Name (ARN) per identificare la risorsa a cui si applica la policy.

• Operazione: utilizzi le parole chiave per identificare le operazioni sulla risorsa da permettere o rifiutare. Ad esempio, l'autorizzazione rds:DescribeDBInstances concede all'utente le autorizzazioni per eseguire l'operazione DescribeDBInstances.

• Effetto: l'effetto prodotto quando l'utente richiede l'operazione specifica, ovvero un'autorizzazione o un rifiuto. USe non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. Puoi anche rifiutare esplicitamente l'accesso a una risorsa per garantire che un utente non possa accedervi, anche se l'accesso viene concesso da un'altra policy.

• Principal: nelle politiche basate sull'identità (IAMpolicy), l'utente a cui è associata la policy è il principale implicito. Per policy basate su risorse, specifichi l'utente, l'account, il servizio o un'altra entità che desideri riceva le autorizzazioni (si applica solo alle policy basate su risorse). Amazon DocumentDB non supporta policy basate sulle risorse.

Per ulteriori informazioni sulla sintassi e le descrizioni delle IAM policy, consulta AWS IAMPolicy Reference nella Guida per l'utente. IAM

Per una tabella che mostra tutte le API azioni di Amazon DocumentDB e le risorse a cui si applicano, consulta. APIAutorizzazioni Amazon DocumentDB: riferimento ad azioni, risorse e condizioni

Specifica delle condizioni in una policy

Quando concedi le autorizzazioni, puoi utilizzare il linguaggio delle IAM policy per specificare le condizioni in cui una policy deve avere effetto. Ad esempio, potresti decidere che una policy venga applicata solo dopo una data specifica. Per ulteriori informazioni sulla specificazione delle condizioni in un linguaggio di policy, consulta Condition nella Guida per l'IAMutente.

Per esprimere le condizioni è necessario utilizzare chiavi di condizione predefinite. Amazon DocumentDB non dispone di chiavi di contesto specifiche del servizio che possano essere utilizzate in una policy. IAM Per un elenco delle chiavi di contesto delle condizioni globali disponibili per tutti i servizi, consulta Available Keys for Conditions nella Guida per l'IAMutente.