Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS politiche gestite per Amazon DocumentDB
Per aggiungere autorizzazioni a utenti, gruppi e ruoli, è più facile utilizzare politiche AWS gestite che scriverle autonomamente. Creare policy gestite dal cliente IAM per fornire al tuo team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza. Per iniziare rapidamente, puoi utilizzare le nostre politiche AWS gestite. Queste politiche coprono casi d'uso comuni e sono disponibili nel tuo AWS account. Per ulteriori informazioni sulle policy AWS gestite, consulta le policy AWS gestite nella AWS Identity and Access Management User Guide.
AWS i servizi mantengono e aggiornano le politiche AWS gestite. Non è possibile modificare le autorizzazioni nelle politiche AWS gestite. I servizi aggiungono occasionalmente autorizzazioni aggiuntive a una policy AWS gestita per supportare nuove funzionalità. Questo tipo di aggiornamento interessa tutte le identità (utenti, gruppi e ruoli) a cui è collegata la policy. È più probabile che i servizi aggiornino una politica AWS gestita quando viene lanciata una nuova funzionalità o quando diventano disponibili nuove operazioni. I servizi non rimuovono le autorizzazioni da una policy AWS gestita, quindi gli aggiornamenti delle policy non comprometteranno le autorizzazioni esistenti.
Inoltre, AWS supporta politiche gestite per le funzioni lavorative che si estendono su più servizi. Ad esempio, la policy ViewOnlyAccess AWS gestita fornisce l'accesso in sola lettura a molti AWS servizi e risorse. Quando un servizio lancia una nuova funzionalità, AWS aggiunge autorizzazioni di sola lettura per nuove operazioni e risorse. Per un elenco e una descrizione delle politiche relative alle funzioni lavorative, consulta le politiche AWS gestite per le funzioni lavorative nella AWS Identity and Access Management User Guide.
Le seguenti policy AWS gestite, che puoi allegare agli utenti del tuo account, sono specifiche di Amazon DocumentDB:
AmazonDocDB FullAccess— Garantisce l'accesso completo a tutte le risorse Amazon DocumentDB per l' AWS account root.
AmazonDocDB ReadOnlyAccess— Garantisce l'accesso in sola lettura a tutte le risorse Amazon DocumentDB per l'account root. AWS
AmazonDocDB ConsoleFullAccess— Garantisce l'accesso completo alla gestione delle risorse del cluster elastico Amazon DocumentDB e Amazon DocumentDB utilizzando il. AWS Management Console
AmazonDocDB ElasticReadOnlyAccess— Concede l'accesso in sola lettura a tutte le risorse del cluster elastico di Amazon DocumentDB per l'account root. AWS
AmazonDocDB ElasticFullAccess— Garantisce l'accesso completo a tutte le risorse del cluster elastico di Amazon DocumentDB per l' AWS account root.
AmazonDocDB FullAccess
Questa policy concede autorizzazioni amministrative che consentono l'accesso completo principale a tutte le azioni di Amazon DocumentDB. Le autorizzazioni in questa policy sono raggruppate come segue:
Le autorizzazioni di Amazon DocumentDB consentono tutte le azioni di Amazon DocumentDB.
Alcune delle autorizzazioni di Amazon EC2 incluse in questa policy sono necessarie per convalidare le risorse trasmesse in una richiesta API. Questo serve a garantire che Amazon DocumentDB sia in grado di utilizzare correttamente le risorse con un cluster. Le altre autorizzazioni di Amazon EC2 incluse in questa policy consentono ad Amazon DocumentDB di creare AWS le risorse necessarie per consentirti di connetterti ai tuoi cluster.
Le autorizzazioni di Amazon DocumentDB vengono utilizzate durante le chiamate API per convalidare le risorse passate in una richiesta. Sono necessari per consentire ad Amazon DocumentDB di utilizzare la chiave passata con il cluster Amazon DocumentDB.
CloudWatch I log sono necessari per Amazon DocumentDB per garantire che le destinazioni di consegna dei log siano raggiungibili e che siano validi per l'utilizzo dei log da parte dei broker.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "rds:AddRoleToDBCluster", "rds:AddSourceIdentifierToSubscription", "rds:AddTagsToResource", "rds:ApplyPendingMaintenanceAction", "rds:CopyDBClusterParameterGroup", "rds:CopyDBClusterSnapshot", "rds:CopyDBParameterGroup", "rds:CreateDBCluster", "rds:CreateDBClusterParameterGroup", "rds:CreateDBClusterSnapshot", "rds:CreateDBInstance", "rds:CreateDBParameterGroup", "rds:CreateDBSubnetGroup", "rds:CreateEventSubscription", "rds:DeleteDBCluster", "rds:DeleteDBClusterParameterGroup", "rds:DeleteDBClusterSnapshot", "rds:DeleteDBInstance", "rds:DeleteDBParameterGroup", "rds:DeleteDBSubnetGroup", "rds:DeleteEventSubscription", "rds:DescribeAccountAttributes", "rds:DescribeCertificates", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBClusterParameters", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBLogFiles", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSecurityGroups", "rds:DescribeDBSubnetGroups", "rds:DescribeEngineDefaultClusterParameters", "rds:DescribeEngineDefaultParameters", "rds:DescribeEventCategories", "rds:DescribeEventSubscriptions", "rds:DescribeEvents", "rds:DescribeOptionGroups", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribePendingMaintenanceActions", "rds:DescribeValidDBInstanceModifications", "rds:DownloadDBLogFilePortion", "rds:FailoverDBCluster", "rds:ListTagsForResource", "rds:ModifyDBCluster", "rds:ModifyDBClusterParameterGroup", "rds:ModifyDBClusterSnapshotAttribute", "rds:ModifyDBInstance", "rds:ModifyDBParameterGroup", "rds:ModifyDBSubnetGroup", "rds:ModifyEventSubscription", "rds:PromoteReadReplicaDBCluster", "rds:RebootDBInstance", "rds:RemoveRoleFromDBCluster", "rds:RemoveSourceIdentifierFromSubscription", "rds:RemoveTagsFromResource", "rds:ResetDBClusterParameterGroup", "rds:ResetDBParameterGroup", "rds:RestoreDBClusterFromSnapshot", "rds:RestoreDBClusterToPointInTime" ], "Effect": "Allow", "Resource": [ "*" ] }, { "Action": [ "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "ec2:DescribeAccountAttributes", "ec2:DescribeAvailabilityZones", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcs", "kms:ListAliases", "kms:ListKeyPolicies", "kms:ListKeys", "kms:ListRetirableGrants", "logs:DescribeLogStreams", "logs:GetLogEvents", "sns:ListSubscriptions", "sns:ListTopics", "sns:Publish" ], "Effect": "Allow", "Resource": [ "*" ] }, { "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS", "Condition": { "StringLike": { "iam:AWS ServiceName": "rds.amazonaws.com" } } } ] }
AmazonDocDB ReadOnlyAccess
Questa policy concede autorizzazioni di sola lettura che consentono agli utenti di visualizzare le informazioni in Amazon DocumentDB. I responsabili a cui è associata questa policy non possono effettuare aggiornamenti o eliminare risorse esistenti, né possono creare nuove risorse Amazon DocumentDB. Ad esempio, i principali con queste autorizzazioni possono visualizzare l'elenco dei cluster e delle configurazioni associati al proprio account, ma non possono modificare la configurazione o le impostazioni di alcun cluster. Le autorizzazioni in questa policy sono raggruppate come segue:
Le autorizzazioni di Amazon DocumentDB consentono di elencare le risorse di Amazon DocumentDB, descriverle e ottenere informazioni su di esse.
Le autorizzazioni Amazon EC2 vengono utilizzate per descrivere Amazon VPC, sottoreti, gruppi di sicurezza ed ENI associati a un cluster.
Un'autorizzazione Amazon DocumentDB viene utilizzata per descrivere la chiave associata al cluster.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "rds:DescribeAccountAttributes", "rds:DescribeCertificates", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBClusterParameters", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBLogFiles", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSubnetGroups", "rds:DescribeEventCategories", "rds:DescribeEventSubscriptions", "rds:DescribeEvents", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribePendingMaintenanceActions", "rds:DownloadDBLogFilePortion", "rds:ListTagsForResource" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "ec2:DescribeAccountAttributes", "ec2:DescribeAvailabilityZones", "ec2:DescribeInternetGateways", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcs" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "kms:ListKeys", "kms:ListRetirableGrants", "kms:ListAliases", "kms:ListKeyPolicies" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "logs:DescribeLogStreams", "logs:GetLogEvents" ], "Effect": "Allow", "Resource": [ "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*", "arn:aws:logs:*:*:log-group:/aws/docdb/*:log-stream:*" ] } ] }
AmazonDocDB ConsoleFullAccess
Garantisce l'accesso completo alla gestione delle risorse di Amazon DocumentDB utilizzando quanto AWS Management Console segue:
Le autorizzazioni di Amazon DocumentDB per consentire tutte le azioni dei cluster Amazon DocumentDB e Amazon DocumentDB.
Alcune delle autorizzazioni di Amazon EC2 incluse in questa policy sono necessarie per convalidare le risorse trasmesse in una richiesta API. Questo serve a garantire che Amazon DocumentDB sia in grado di utilizzare correttamente le risorse per il provisioning e la manutenzione del cluster. Le altre autorizzazioni di Amazon EC2 incluse in questa policy consentono ad Amazon DocumentDB di creare AWS le risorse necessarie per consentirti di connetterti ai tuoi cluster come VPCEndpoint.
AWS KMS le autorizzazioni vengono utilizzate durante le chiamate API per convalidare le risorse passate in una AWS KMS richiesta. Sono necessari per consentire ad Amazon DocumentDB di utilizzare la chiave passata per crittografare e decrittografare i dati inattivi con il cluster elastico Amazon DocumentDB.
CloudWatch I log sono necessari per Amazon DocumentDB per garantire che le destinazioni di consegna dei log siano raggiungibili e che siano validi per il controllo e la profilazione dell'utilizzo dei log.
Le autorizzazioni di Secrets Manager sono necessarie per convalidare un determinato segreto e utilizzarlo, configurare l'utente amministratore per i cluster elastici di Amazon DocumentDB.
Le autorizzazioni di Amazon RDS sono necessarie per le azioni di gestione dei cluster Amazon DocumentDB. Per alcune funzionalità di gestione, Amazon DocumentDB utilizza una tecnologia operativa condivisa con Amazon RDS.
Le autorizzazioni SNS consentono ai responsabili di abbonamenti e argomenti Amazon Simple Notification Service (Amazon SNS) e di pubblicare messaggi Amazon SNS.
Le autorizzazioni IAM sono necessarie per creare i ruoli collegati al servizio necessari per la pubblicazione di metriche e log.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DocdbSids", "Effect": "Allow", "Action": [ "docdb-elastic:CreateCluster", "docdb-elastic:UpdateCluster", "docdb-elastic:GetCluster", "docdb-elastic:DeleteCluster", "docdb-elastic:ListClusters", "docdb-elastic:CreateClusterSnapshot", "docdb-elastic:GetClusterSnapshot", "docdb-elastic:DeleteClusterSnapshot", "docdb-elastic:ListClusterSnapshots", "docdb-elastic:RestoreClusterFromSnapshot", "docdb-elastic:TagResource", "docdb-elastic:UntagResource", "docdb-elastic:ListTagsForResource", "docdb-elastic:CopyClusterSnapshot", "docdb-elastic:StartCluster", "docdb-elastic:StopCluster", "rds:AddRoleToDBCluster", "rds:AddSourceIdentifierToSubscription", "rds:AddTagsToResource", "rds:ApplyPendingMaintenanceAction", "rds:CopyDBClusterParameterGroup", "rds:CopyDBClusterSnapshot", "rds:CopyDBParameterGroup", "rds:CreateDBCluster", "rds:CreateDBClusterParameterGroup", "rds:CreateDBClusterSnapshot", "rds:CreateDBInstance", "rds:CreateDBParameterGroup", "rds:CreateDBSubnetGroup", "rds:CreateEventSubscription", "rds:CreateGlobalCluster", "rds:DeleteDBCluster", "rds:DeleteDBClusterParameterGroup", "rds:DeleteDBClusterSnapshot", "rds:DeleteDBInstance", "rds:DeleteDBParameterGroup", "rds:DeleteDBSubnetGroup", "rds:DeleteEventSubscription", "rds:DeleteGlobalCluster", "rds:DescribeAccountAttributes", "rds:DescribeCertificates", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBClusterParameters", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBLogFiles", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSecurityGroups", "rds:DescribeDBSubnetGroups", "rds:DescribeEngineDefaultClusterParameters", "rds:DescribeEngineDefaultParameters", "rds:DescribeEventCategories", "rds:DescribeEventSubscriptions", "rds:DescribeEvents", "rds:DescribeGlobalClusters", "rds:DescribeOptionGroups", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribePendingMaintenanceActions", "rds:DescribeValidDBInstanceModifications", "rds:DownloadDBLogFilePortion", "rds:FailoverDBCluster", "rds:ListTagsForResource", "rds:ModifyDBCluster", "rds:ModifyDBClusterParameterGroup", "rds:ModifyDBClusterSnapshotAttribute", "rds:ModifyDBInstance", "rds:ModifyDBParameterGroup", "rds:ModifyDBSubnetGroup", "rds:ModifyEventSubscription", "rds:ModifyGlobalCluster", "rds:PromoteReadReplicaDBCluster", "rds:RebootDBInstance", "rds:RemoveFromGlobalCluster", "rds:RemoveRoleFromDBCluster", "rds:RemoveSourceIdentifierFromSubscription", "rds:RemoveTagsFromResource", "rds:ResetDBClusterParameterGroup", "rds:ResetDBParameterGroup", "rds:RestoreDBClusterFromSnapshot", "rds:RestoreDBClusterToPointInTime" ], "Resource": [ "*" ] }, { "Sid": "DependencySids", "Effect": "Allow", "Action": [ "iam:GetRole", "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "ec2:AllocateAddress", "ec2:AssignIpv6Addresses", "ec2:AssignPrivateIpAddresses", "ec2:AssociateAddress", "ec2:AssociateRouteTable", "ec2:AssociateSubnetCidrBlock", "ec2:AssociateVpcCidrBlock", "ec2:AttachInternetGateway", "ec2:AttachNetworkInterface", "ec2:CreateCustomerGateway", "ec2:CreateDefaultSubnet", "ec2:CreateDefaultVpc", "ec2:CreateInternetGateway", "ec2:CreateNatGateway", "ec2:CreateNetworkInterface", "ec2:CreateRoute", "ec2:CreateRouteTable", "ec2:CreateSecurityGroup", "ec2:CreateSubnet", "ec2:CreateVpc", "ec2:CreateVpcEndpoint", "ec2:DescribeAccountAttributes", "ec2:DescribeAddresses", "ec2:DescribeAvailabilityZones", "ec2:DescribeCustomerGateways", "ec2:DescribeInstances", "ec2:DescribeNatGateways", "ec2:DescribeNetworkInterfaces", "ec2:DescribePrefixLists", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroupReferences", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ec2:ModifyNetworkInterfaceAttribute", "ec2:ModifySubnetAttribute", "ec2:ModifyVpcAttribute", "ec2:ModifyVpcEndpoint", "kms:DescribeKey", "kms:ListAliases", "kms:ListKeyPolicies", "kms:ListKeys", "kms:ListRetirableGrants", "logs:DescribeLogStreams", "logs:GetLogEvents", "sns:ListSubscriptions", "sns:ListTopics", "sns:Publish" ], "Resource": [ "*" ] }, { "Sid": "DocdbSLRSid", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS", "Condition": { "StringLike": { "iam:AWSServiceName": "rds.amazonaws.com" } } }, { "Sid": "DocdbElasticSLRSid", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic", "Condition": { "StringLike": { "iam:AWSServiceName": "docdb-elastic.amazonaws.com" } } } ] }
AmazonDocDB ElasticReadOnlyAccess
Questa policy concede autorizzazioni di sola lettura che consentono agli utenti di visualizzare le informazioni sui cluster elastici in Amazon DocumentDB. I responsabili a cui è associata questa policy non possono effettuare aggiornamenti o eliminare risorse esistenti, né possono creare nuove risorse Amazon DocumentDB. Ad esempio, i principali con queste autorizzazioni possono visualizzare l'elenco dei cluster e delle configurazioni associati al proprio account, ma non possono modificare la configurazione o le impostazioni di alcun cluster. Le autorizzazioni in questa policy sono raggruppate come segue:
Le autorizzazioni del cluster elastico di Amazon DocumentDB consentono di elencare le risorse del cluster elastico di Amazon DocumentDB, descriverle e ottenere informazioni su di esse.
CloudWatch le autorizzazioni vengono utilizzate per verificare le metriche del servizio.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "docdb-elastic:ListClusters", "docdb-elastic:GetCluster", "docdb-elastic:ListClusterSnapshots", "docdb-elastic:GetClusterSnapshot", "docdb-elastic:ListTagsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics" ], "Resource": "*" } ] }
AmazonDocDB ElasticFullAccess
Questa policy concede autorizzazioni amministrative che consentono l'accesso completo principale a tutte le azioni di Amazon DocumentDB per il cluster elastico Amazon DocumentDB.
Questa policy utilizza i AWS tag (https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) entro condizioni atte a definire l'accesso alle risorse. Se stai usando un segreto, deve essere etichettato con la chiave del tag DocDBElasticFullAccess e un valore del tag. Se si utilizza una chiave gestita dal cliente, questa deve essere contrassegnata con una chiave tag DocDBElasticFullAccess e un valore di tag.
Le autorizzazioni in questa policy sono raggruppate come segue:
Le autorizzazioni del cluster elastico di Amazon DocumentDB consentono tutte le azioni di Amazon DocumentDB.
Alcune delle autorizzazioni di Amazon EC2 incluse in questa policy sono necessarie per convalidare le risorse trasmesse in una richiesta API. Questo serve a garantire che Amazon DocumentDB sia in grado di utilizzare correttamente le risorse per il provisioning e la manutenzione del cluster. Le altre autorizzazioni Amazon EC2 incluse in questa policy consentono ad Amazon DocumentDB di creare AWS le risorse necessarie per consentirti di connetterti ai tuoi cluster come un endpoint VPC.
AWS KMS sono necessarie autorizzazioni per consentire ad Amazon DocumentDB di utilizzare la chiave passata per crittografare e decrittografare i dati inattivi all'interno del cluster elastico Amazon DocumentDB.
Nota
La chiave gestita dal cliente deve avere un tag con chiave e un valore del tag.
DocDBElasticFullAccessSecretsManager sono necessarie autorizzazioni per convalidare un determinato segreto e utilizzarlo, configurare l'utente amministratore per i cluster elastici di Amazon DocumentDB.
Nota
Il segreto utilizzato deve avere un tag con chiave
DocDBElasticFullAccesse un valore di tag.Le autorizzazioni IAM sono necessarie per creare i ruoli collegati al servizio necessari per la pubblicazione di metriche e log.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DocdbElasticSid", "Effect": "Allow", "Action": [ "docdb-elastic:CreateCluster", "docdb-elastic:UpdateCluster", "docdb-elastic:GetCluster", "docdb-elastic:DeleteCluster", "docdb-elastic:ListClusters", "docdb-elastic:CreateClusterSnapshot", "docdb-elastic:GetClusterSnapshot", "docdb-elastic:DeleteClusterSnapshot", "docdb-elastic:ListClusterSnapshots", "docdb-elastic:RestoreClusterFromSnapshot", "docdb-elastic:TagResource", "docdb-elastic:UntagResource", "docdb-elastic:ListTagsForResource", "docdb-elastic:CopyClusterSnapshot", "docdb-elastic:StartCluster", "docdb-elastic:StopCluster" ], "Resource": [ "*" ] }, { "Sid": "EC2Sid", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:DescribeVpcEndpoints", "ec2:DeleteVpcEndpoints", "ec2:ModifyVpcEndpoint", "ec2:DescribeVpcAttribute", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeAvailabilityZones", "secretsmanager:ListSecrets" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:CalledViaFirst": "docdb-elastic.amazonaws.com" } } }, { "Sid": "KMSSid", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": [ "docdb-elastic.*.amazonaws.com" ], "aws:ResourceTag/DocDBElasticFullAccess": "*" } } }, { "Sid": "KMSGrantSid", "Effect": "Allow", "Action": [ "kms:CreateGrant" ], "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/DocDBElasticFullAccess": "*", "kms:ViaService": [ "docdb-elastic.*.amazonaws.com" ] }, "Bool": { "kms:GrantIsForAWSResource": true } } }, { "Sid": "SecretManagerSid", "Effect": "Allow", "Action": [ "secretsmanager:ListSecretVersionIds", "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:GetResourcePolicy" ], "Resource": "*", "Condition": { "StringLike": { "secretsmanager:ResourceTag/DocDBElasticFullAccess": "*" }, "StringEquals": { "aws:CalledViaFirst": "docdb-elastic.amazonaws.com" } } }, { "Sid": "CloudwatchSid", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics" ], "Resource": [ "*" ] }, { "Sid": "SLRSid", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic", "Condition": { "StringLike": { "iam:AWSServiceName": "docdb-elastic.amazonaws.com" } } } ] }
AmazonDocDB- ElasticServiceRolePolicy
Non puoi collegarti AmazonDocDBElasticServiceRolePolicy alle tue AWS Identity and Access Management entità. Questa policy è associata a un ruolo collegato al servizio che consente ad Amazon DocumentDB di eseguire azioni per tuo conto. Per ulteriori informazioni, consulta Ruoli collegati ai servizi nei cluster elastici.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": [ "AWS/DocDB-Elastic" ] } } } ] }
Amazon DocumentDB aggiorna le policy gestite AWS
| Modifica | Descrizione | Data |
|---|---|---|
| AmazonDocDB ElasticFullAccess, AmazonDocDB ConsoleFullAccess - Modifica | Politiche aggiornate per aggiungere azioni di avvio/arresto del cluster e copiare le azioni di snapshot del cluster. | 21/02/2024 |
| AmazonDocDB ElasticReadOnlyAccess, - Modifica AmazonDocDB ElasticFullAccess | Politiche aggiornate per aggiungere cloudwatch:GetMetricData azioni. |
21/06/2023 |
| AmazonDocDB ElasticReadOnlyAccess: nuova policy | Nuova policy gestita per i cluster elastici di Amazon DocumentDB | 08/06/2023 |
| AmazonDocDB ElasticFullAccess: nuova policy | Nuova policy gestita per i cluster elastici di Amazon DocumentDB | 5/06/2023 |
| AmazonDocDB- ElasticServiceRolePolicy: nuova policy | Amazon DocumentDB crea un nuovo ruolo collegato al servizio AWS ServiceRoleForDoc DB-Elastic per i cluster elastici di Amazon DocumentDB | 30/11/2022 |
| AmazonDocDB ConsoleFullAccess- Cambia | Policy aggiornata per aggiungere le autorizzazioni globali ed elastiche per i cluster Amazon DocumentDB | 30/11/2022 |
| AmazonDocDB ConsoleFullAccess,AmazonDocDB FullAccess, AmazonDocDB ReadOnlyAccess - Nuova politica | Avvio del servizio | 19/1/2017 |
