翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon DocumentDB のアイデンティティベースのポリシー (IAM ポリシー) の使用
重要
特定の管理機能について、Amazon DocumentDB は Amazon RDS と共有されるオペレーショナルテクノロジーを使用します。Amazon DocumentDB コンソール AWS CLI、、および API コールは、Amazon RDS API に対する呼び出しとして記録されます。
最初に、Amazon DocumentDB リソースへのアクセスを管理するために利用できる基本的な概念とオプションを説明する紹介トピックを確認することをお勧めします。詳細については、「Amazon DocumentDB リソースへのアクセス許可の管理」を参照してください。
このトピックでは、アカウント管理者が IAM アイデンティティ(ユーザー、グループ、ロール)へのアクセス権限ポリシーをアタッチする、アイデンティティベースのポリシーの例を示します。
IAM ポリシーの例を次に示します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCreateDBInstanceOnly", "Effect": "Allow", "Action": [ "rds:CreateDBInstance" ], "Resource": [ "arn:aws:rds:*:123456789012:db:test*", "arn:aws:rds:*:123456789012:pg:cluster-pg:default*", "arn:aws:rds:*:123456789012:subgrp:default" ] } ] }
ポリシーには、IAM ユーザー用の以下のアクセス許可を指定する単一のステートメントが含まれます。
-
このポリシーは、IAM ユーザーが CreateDBInstance アクションを使用してインスタンスを作成することを許可します (これは create-db-instance AWS CLI オペレーションと にも適用されます AWS Management Console)。
-
Resource要素では、ユーザーがリソースでアクションを実行できることを指定できます。Amazon リソースネーム (ARN) を使用してリソースを指定します。この ARN には、リソースが属するサービスの名前 (rds)、 AWS リージョン (*はこの例のリージョンを示します)、ユーザーアカウント番号 (123456789012はこの例のユーザー ID です)、およびリソースのタイプが含まれます。例の
Resource要素は、ユーザーのリソースで、以下のポリシーの制約を指定します。-
新しいインスタンスのインスタンス識別子は、
testで始まる必要があります (例:testCustomerData1、test-region2-data)。 -
新しいインスタンスのクラスターパラメータグループは、
defaultで始まる必要があります。 -
新しいインスタンスのサブネットグループは、
defaultサブネットグループである必要があります。
-
ID ベースのポリシーでアクセス許可を得るプリンシパルを指定していないため、ポリシーでは Principal 要素を指定していません。ユーザーにポリシーをアタッチすると、そのユーザーが暗黙のプリンシパルになります。IAM ロールにアクセス権限ポリシーをアタッチすると、ロールの信頼ポリシーで識別されたプリンシパルがアクセス権限を得ることになります。
すべての Amazon DocumentDB API オペレーションとそれらが適用されるリソースを示す表については、Amazon DocumentDB API のアクセス許可: アクション、リソース、条件リファレンス を参照してください。
Amazon DocumentDB コンソールの使用に必要な許可
Amazon DocumentDB コンソールを使用するユーザーには、最小限の権限のセットが必要です。これらのアクセス許可により、ユーザーは の Amazon DocumentDB リソースを記述 AWS アカウント し、Amazon EC2 セキュリティやネットワーク情報などの他の関連情報を提供できます。
これらの最小限必要なアクセス許可よりも制限された IAM ポリシーを作成している場合、その IAM ポリシーを使用するユーザーに対してコンソールは意図したとおりには機能しません。これらのユーザーが引き続き Amazon DocumentDB コンソールを使用できるようにするには、AmazonDocDBConsoleFullAccess で説明されているように AWS Amazon DocumentDB の マネージドポリシー マネージドポリシーをユーザーにアタッチします。
AWS CLI または Amazon DocumentDB API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。
お客様が管理するポリシーの例
このセクションでは、さまざまな Amazon DocumentDB アクションの許可を付与するユーザーポリシー例を示しています。これらのポリシーは、Amazon DocumentDB API アクション、 AWS SDKs、または を使用しているときに機能します AWS CLI。コンソールを使用している場合は、「Amazon DocumentDB コンソールの使用に必要な許可」で説明しているコンソールに固有の追加のアクセス権限を付与する必要があります。
特定の管理機能について、Amazon DocumentDB は、Amazon RDS (Amazon Relational Database Service) および AmazonNeptune と共有される運用テクノロジーを使用します。
注記
すべての例で、米国東部 (バージニア北部) リージョン (us-east-1) を使用し、架空のアカウント ID を使用しています。
例
例 1: ユーザーが任意の Amazon DocumentDB リソースに対して任意の Describe アクションを実行できるようにする
次のアクセス権限ポリシーは、Describe で始まるすべてのアクションを実行するためのアクセス権限をユーザーに付与します。これらのアクションは、インスタンスなど Amazon DocumentDB リソースに関する情報を表示します。Resource 要素内のワイルドカード文字 (*) は、アカウントによって所有されるすべての Amazon DocumentDB リソースに対してそれらのアクションが許可されることを示します。
{ "Version":"2012-10-17", "Statement":[ { "Sid":"AllowRDSDescribe", "Effect":"Allow", "Action":"rds:Describe*", "Resource":"*" } ] }
例 2: インスタンスの削除をユーザーに禁止する
以下のアクセス権限ポリシーは、特定のインスタンスを削除することをユーザーに禁止するためのアクセス権限を付与します。例えば、管理者ではないすべてのユーザーに対して、本稼働インスタンスの削除を拒否することもできます。
{ "Version":"2012-10-17", "Statement":[ { "Sid":"DenyDelete1", "Effect":"Deny", "Action":"rds:DeleteDBInstance", "Resource":"arn:aws:rds:us-east-1:123456789012:db:my-db-instance" } ] }
例 3: ストレージ暗号化が有効になっている場合を除き、クラスターをユーザーにできないようにする
次のアクセス許可ポリシーは、ストレージの暗号化が有効になっていない限り、ユーザーが Amazon DocumentDB クラスターを作成することを許可しません。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PreventUnencryptedDocumentDB", "Effect": "Deny", "Action": "RDS:CreateDBCluster", "Condition": { "Bool": { "rds:StorageEncrypted": "false" }, "StringEquals": { "rds:DatabaseEngine": "docdb" } }, "Resource": "*" } ] }
