기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS 아마존 DocumentDB에 대한 관리형 정책
사용자, 그룹 및 역할에 권한을 추가하려면 정책을 직접 작성하는 것보다 AWS 관리형 정책을 사용하는 것이 더 쉽습니다. 팀에 필요한 권한만 제공하는 IAM 고객 관리형 정책을 생성하기 위해서는 시간과 전문 지식이 필요합니다. 빠르게 시작하려면 AWS 관리형 정책을 사용할 수 있습니다. 이러한 정책은 일반적인 사용 사례를 다루며 AWS 계정에서 사용할 수 있습니다. AWS 관리형 정책에 대한 자세한 내용은 AWS ID 및 Access Management 사용 설명서의AWS 관리형 정책을 참조하십시오.
AWS 서비스는 AWS 관리형 정책을 유지 관리하고 업데이트합니다. AWS 관리형 정책에서는 권한을 변경할 수 없습니다. 서비스가 새 기능을 지원하기 위해 AWS 관리형 정책에 권한을 추가하는 경우가 있습니다. 이 유형의 업데이트는 정책이 연결된 모든 ID(사용자, 그룹 및 역할)에 적용됩니다. 서비스는 새 기능이 출시되거나 새 작업을 사용할 수 있게 되면 AWS 관리형 정책을 업데이트할 가능성이 높습니다. 서비스는 AWS 관리형 정책에서 권한을 제거하지 않으므로 정책 업데이트로 인해 기존 권한이 손상되지 않습니다.
또한 여러 서비스에 걸친 작업 기능에 대한 관리형 정책을 AWS 지원합니다. 예를 들어 ViewOnlyAccess AWS 관리형 정책은 많은 AWS 서비스와 리소스에 대한 읽기 전용 액세스를 제공합니다. 서비스가 새 기능을 출시하면 새 작업 및 리소스에 대한 읽기 전용 권한이 AWS 추가됩니다. 직무 정책의 목록과 설명은 AWS ID 및 액세스 관리 사용 설명서의 직무에 관한AWS 관리형 정책을 참조하십시오.
계정의 사용자에게 연결할 수 있는 다음과 같은 AWS 관리형 정책은 Amazon DocumentDB에만 적용됩니다.
AmazonDocDB FullAccess— 루트 계정의 모든 Amazon DocumentDB 리소스에 대한 전체 액세스 권한을 부여합니다. AWS
AmazonDocDB ReadOnlyAccess— 루트 계정의 모든 Amazon DocumentDB 리소스에 대한 읽기 전용 액세스 권한을 부여합니다. AWS
AmazonDocDB ConsoleFullAccess - AWS Management Console를 사용하여 Amazon DocumentDB 및 Amazon DocumentDB 엘라스틱 클러스터 리소스를 관리할 수 있는 전체 액세스를 부여합니다.
AmazonDocDB ElasticReadOnlyAccess— 루트 계정의 모든 Amazon DocumentDB 엘라스틱 클러스터 리소스에 대한 읽기 전용 액세스 권한을 부여합니다. AWS
AmazonDocDB ElasticFullAccess— 루트 계정의 모든 Amazon DocumentDB 엘라스틱 클러스터 리소스에 대한 전체 액세스 권한을 부여합니다. AWS
AmazonDocDB FullAccess
이 정책은 모든 Amazon DocumentDB 작업에 대한 전체 액세스 권한을 허용하는 관리 권한을 보안 주체에게 부여합니다. 해당 정책의 권한은 다음과 같이 그룹화됩니다.
Amazon DocumentDB 권한은 모든 Amazon DocumentDB 작업을 허용합니다.
이 정책의 일부 Amazon EC2 권한은 API 요청에서 전달된 리소스를 검증하는 데 필요합니다. 이는 Amazon DocumentDB가 클러스터에서 리소스를 성공적으로 사용할 수 있도록 하기 위한 것입니다. 이 정책의 나머지 Amazon EC2 권한은 Amazon DocumentDB가 클러스터에 연결하는 데 필요한 리소스를 AWS 생성할 수 있도록 허용합니다.
Amazon DocumentDB 권한은 API 호출 중에 요청에서 전달된 리소스를 검증하는 데 사용됩니다. Amazon DocumentDB가 전달된 키를 Amazon DocumentDB 클러스터에서 사용할 수 있도록 하기 위해 필요합니다.
Amazon DocumentDB가 CloudWatch 로그 전송 목적지에 도달할 수 있고 브로커 로그 사용에 유효한지 확인하려면 로그가 필요합니다.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "rds:AddRoleToDBCluster", "rds:AddSourceIdentifierToSubscription", "rds:AddTagsToResource", "rds:ApplyPendingMaintenanceAction", "rds:CopyDBClusterParameterGroup", "rds:CopyDBClusterSnapshot", "rds:CopyDBParameterGroup", "rds:CreateDBCluster", "rds:CreateDBClusterParameterGroup", "rds:CreateDBClusterSnapshot", "rds:CreateDBInstance", "rds:CreateDBParameterGroup", "rds:CreateDBSubnetGroup", "rds:CreateEventSubscription", "rds:DeleteDBCluster", "rds:DeleteDBClusterParameterGroup", "rds:DeleteDBClusterSnapshot", "rds:DeleteDBInstance", "rds:DeleteDBParameterGroup", "rds:DeleteDBSubnetGroup", "rds:DeleteEventSubscription", "rds:DescribeAccountAttributes", "rds:DescribeCertificates", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBClusterParameters", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBLogFiles", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSecurityGroups", "rds:DescribeDBSubnetGroups", "rds:DescribeEngineDefaultClusterParameters", "rds:DescribeEngineDefaultParameters", "rds:DescribeEventCategories", "rds:DescribeEventSubscriptions", "rds:DescribeEvents", "rds:DescribeOptionGroups", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribePendingMaintenanceActions", "rds:DescribeValidDBInstanceModifications", "rds:DownloadDBLogFilePortion", "rds:FailoverDBCluster", "rds:ListTagsForResource", "rds:ModifyDBCluster", "rds:ModifyDBClusterParameterGroup", "rds:ModifyDBClusterSnapshotAttribute", "rds:ModifyDBInstance", "rds:ModifyDBParameterGroup", "rds:ModifyDBSubnetGroup", "rds:ModifyEventSubscription", "rds:PromoteReadReplicaDBCluster", "rds:RebootDBInstance", "rds:RemoveRoleFromDBCluster", "rds:RemoveSourceIdentifierFromSubscription", "rds:RemoveTagsFromResource", "rds:ResetDBClusterParameterGroup", "rds:ResetDBParameterGroup", "rds:RestoreDBClusterFromSnapshot", "rds:RestoreDBClusterToPointInTime" ], "Effect": "Allow", "Resource": [ "*" ] }, { "Action": [ "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "ec2:DescribeAccountAttributes", "ec2:DescribeAvailabilityZones", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcs", "kms:ListAliases", "kms:ListKeyPolicies", "kms:ListKeys", "kms:ListRetirableGrants", "logs:DescribeLogStreams", "logs:GetLogEvents", "sns:ListSubscriptions", "sns:ListTopics", "sns:Publish" ], "Effect": "Allow", "Resource": [ "*" ] }, { "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS", "Condition": { "StringLike": { "iam:AWS ServiceName": "rds.amazonaws.com" } } } ] }
AmazonDocDB ReadOnlyAccess
이 정책은 Amazon DocumentDB의 정보를 볼 수 있는 읽기 전용 권한을 사용자에게 부여합니다. 이 정책이 첨부된 보안 주체는 기존 리소스를 업데이트하거나 삭제할 수 없으며 새 Amazon DocumentDB 리소스를 생성할 수도 없습니다. 예를 들어 이러한 권한이 있는 주체는 자신의 계정과 연결된 클러스터 및 구성 목록을 볼 수 있지만 클러스터의 구성이나 설정을 변경할 수는 없습니다. 해당 정책의 권한은 다음과 같이 그룹화됩니다.
Amazon DocumentDB 권한을 사용하면 Amazon DocumentDB 리소스를 나열하고, 설명하고, 그에 대한 정보를 얻을 수 있습니다.
Amazon EC2 권한은 클러스터와 연결된 Amazon VPC, 서브넷, 보안 그룹, ENI를 설명하는 데 사용됩니다.
Amazon DocumentDB 권한은 클러스터와 연결된 키를 설명하는 데 사용됩니다.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "rds:DescribeAccountAttributes", "rds:DescribeCertificates", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBClusterParameters", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBLogFiles", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSubnetGroups", "rds:DescribeEventCategories", "rds:DescribeEventSubscriptions", "rds:DescribeEvents", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribePendingMaintenanceActions", "rds:DownloadDBLogFilePortion", "rds:ListTagsForResource" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "ec2:DescribeAccountAttributes", "ec2:DescribeAvailabilityZones", "ec2:DescribeInternetGateways", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcs" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "kms:ListKeys", "kms:ListRetirableGrants", "kms:ListAliases", "kms:ListKeyPolicies" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "logs:DescribeLogStreams", "logs:GetLogEvents" ], "Effect": "Allow", "Resource": [ "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*", "arn:aws:logs:*:*:log-group:/aws/docdb/*:log-stream:*" ] } ] }
AmazonDocDB ConsoleFullAccess
다음을 사용하여 AWS Management Console Amazon DocumentDB 리소스를 관리할 수 있는 전체 액세스 권한을 부여합니다.
모든 Amazon DocumentDB 및 Amazon DocumentDB 클러스터 작업을 허용할 수 있는 Amazon DocumentDB 권한
이 정책의 일부 Amazon EC2 권한은 API 요청에서 전달된 리소스를 검증하는 데 필요합니다. 이는 Amazon DocumentDB가 클러스터에서 리소스를 성공적으로 프로비저닝하고 유지할 수 있도록 하기 위한 것입니다. 이 정책의 나머지 Amazon EC2 권한은 Amazon DocumentDB가 사용자가 VPCendPoint와 같은 클러스터에 연결할 수 있도록 하는 데 필요한 리소스를 AWS 생성할 수 있도록 허용합니다.
AWS KMS 권한은 API 호출 중에 요청에서 전달된 리소스를 검증하는 AWS KMS 데 사용됩니다. 이는 Amazon DocumentDB가 전달된 키를 사용해 Amazon DocumentDB 엘라스틱 클러스터에서 저장 데이터를 암호화 및 암호 해독할 수 있도록 하기 위해 필요합니다.
Amazon DocumentDB가 CloudWatch 로그 전송 목적지에 도달할 수 있고 감사 및 프로파일링 로그 사용에 유효한지 확인하려면 로그가 필요합니다.
주어진 암호를 검증하고 이를 사용하여 Amazon DocumentDB 엘라스틱 클러스터의 관리자를 설정하려면 Secrets Manager 권한이 필요합니다.
Amazon DocumentDB 클러스터 관리 작업에는 Amazon RDS 권한이 필요합니다. 일부 관리 기능의 경우 Amazon DocumentDB는 Amazon RDS와 공유되는 운영 기술을 사용합니다.
SNS 권한은 보안 주체에게 Amazon Simple Notification Service(SNS) 구독 및 주제를 허용하고 Amazon SNS 메시지를 게시하도록 허용합니다.
지표 및 로그 게시에 필요한 서비스 연결 역할을 생성하려면 IAM 권한이 필요합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DocdbSids", "Effect": "Allow", "Action": [ "docdb-elastic:CreateCluster", "docdb-elastic:UpdateCluster", "docdb-elastic:GetCluster", "docdb-elastic:DeleteCluster", "docdb-elastic:ListClusters", "docdb-elastic:CreateClusterSnapshot", "docdb-elastic:GetClusterSnapshot", "docdb-elastic:DeleteClusterSnapshot", "docdb-elastic:ListClusterSnapshots", "docdb-elastic:RestoreClusterFromSnapshot", "docdb-elastic:TagResource", "docdb-elastic:UntagResource", "docdb-elastic:ListTagsForResource", "docdb-elastic:CopyClusterSnapshot", "docdb-elastic:StartCluster", "docdb-elastic:StopCluster", "rds:AddRoleToDBCluster", "rds:AddSourceIdentifierToSubscription", "rds:AddTagsToResource", "rds:ApplyPendingMaintenanceAction", "rds:CopyDBClusterParameterGroup", "rds:CopyDBClusterSnapshot", "rds:CopyDBParameterGroup", "rds:CreateDBCluster", "rds:CreateDBClusterParameterGroup", "rds:CreateDBClusterSnapshot", "rds:CreateDBInstance", "rds:CreateDBParameterGroup", "rds:CreateDBSubnetGroup", "rds:CreateEventSubscription", "rds:CreateGlobalCluster", "rds:DeleteDBCluster", "rds:DeleteDBClusterParameterGroup", "rds:DeleteDBClusterSnapshot", "rds:DeleteDBInstance", "rds:DeleteDBParameterGroup", "rds:DeleteDBSubnetGroup", "rds:DeleteEventSubscription", "rds:DeleteGlobalCluster", "rds:DescribeAccountAttributes", "rds:DescribeCertificates", "rds:DescribeDBClusterParameterGroups", "rds:DescribeDBClusterParameters", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBClusters", "rds:DescribeDBEngineVersions", "rds:DescribeDBInstances", "rds:DescribeDBLogFiles", "rds:DescribeDBParameterGroups", "rds:DescribeDBParameters", "rds:DescribeDBSecurityGroups", "rds:DescribeDBSubnetGroups", "rds:DescribeEngineDefaultClusterParameters", "rds:DescribeEngineDefaultParameters", "rds:DescribeEventCategories", "rds:DescribeEventSubscriptions", "rds:DescribeEvents", "rds:DescribeGlobalClusters", "rds:DescribeOptionGroups", "rds:DescribeOrderableDBInstanceOptions", "rds:DescribePendingMaintenanceActions", "rds:DescribeValidDBInstanceModifications", "rds:DownloadDBLogFilePortion", "rds:FailoverDBCluster", "rds:ListTagsForResource", "rds:ModifyDBCluster", "rds:ModifyDBClusterParameterGroup", "rds:ModifyDBClusterSnapshotAttribute", "rds:ModifyDBInstance", "rds:ModifyDBParameterGroup", "rds:ModifyDBSubnetGroup", "rds:ModifyEventSubscription", "rds:ModifyGlobalCluster", "rds:PromoteReadReplicaDBCluster", "rds:RebootDBInstance", "rds:RemoveFromGlobalCluster", "rds:RemoveRoleFromDBCluster", "rds:RemoveSourceIdentifierFromSubscription", "rds:RemoveTagsFromResource", "rds:ResetDBClusterParameterGroup", "rds:ResetDBParameterGroup", "rds:RestoreDBClusterFromSnapshot", "rds:RestoreDBClusterToPointInTime" ], "Resource": [ "*" ] }, { "Sid": "DependencySids", "Effect": "Allow", "Action": [ "iam:GetRole", "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "ec2:AllocateAddress", "ec2:AssignIpv6Addresses", "ec2:AssignPrivateIpAddresses", "ec2:AssociateAddress", "ec2:AssociateRouteTable", "ec2:AssociateSubnetCidrBlock", "ec2:AssociateVpcCidrBlock", "ec2:AttachInternetGateway", "ec2:AttachNetworkInterface", "ec2:CreateCustomerGateway", "ec2:CreateDefaultSubnet", "ec2:CreateDefaultVpc", "ec2:CreateInternetGateway", "ec2:CreateNatGateway", "ec2:CreateNetworkInterface", "ec2:CreateRoute", "ec2:CreateRouteTable", "ec2:CreateSecurityGroup", "ec2:CreateSubnet", "ec2:CreateVpc", "ec2:CreateVpcEndpoint", "ec2:DescribeAccountAttributes", "ec2:DescribeAddresses", "ec2:DescribeAvailabilityZones", "ec2:DescribeCustomerGateways", "ec2:DescribeInstances", "ec2:DescribeNatGateways", "ec2:DescribeNetworkInterfaces", "ec2:DescribePrefixLists", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroupReferences", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcAttribute", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ec2:ModifyNetworkInterfaceAttribute", "ec2:ModifySubnetAttribute", "ec2:ModifyVpcAttribute", "ec2:ModifyVpcEndpoint", "kms:DescribeKey", "kms:ListAliases", "kms:ListKeyPolicies", "kms:ListKeys", "kms:ListRetirableGrants", "logs:DescribeLogStreams", "logs:GetLogEvents", "sns:ListSubscriptions", "sns:ListTopics", "sns:Publish" ], "Resource": [ "*" ] }, { "Sid": "DocdbSLRSid", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS", "Condition": { "StringLike": { "iam:AWSServiceName": "rds.amazonaws.com" } } }, { "Sid": "DocdbElasticSLRSid", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic", "Condition": { "StringLike": { "iam:AWSServiceName": "docdb-elastic.amazonaws.com" } } } ] }
AmazonDocDB ElasticReadOnlyAccess
이 정책은 Amazon DocumentDB의 엘라스틱 클러스터 정보를 볼 수 있는 읽기 전용 권한을 사용자에게 부여합니다. 이 정책이 첨부된 보안 주체는 기존 리소스를 업데이트하거나 삭제할 수 없으며 새 Amazon DocumentDB 리소스를 생성할 수도 없습니다. 예를 들어 이러한 권한이 있는 주체는 자신의 계정과 연결된 클러스터 및 구성 목록을 볼 수 있지만 클러스터의 구성이나 설정을 변경할 수는 없습니다. 해당 정책의 권한은 다음과 같이 그룹화됩니다.
Amazon DocumentDB 엘라스틱 클러스터 권한을 사용하면 Amazon DocumentDB 엘라스틱 클러스터 리소스를 나열하고, 설명하고, 그에 대한 정보를 얻을 수 있습니다.
CloudWatch 권한은 서비스 메트릭을 확인하는 데 사용됩니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "docdb-elastic:ListClusters", "docdb-elastic:GetCluster", "docdb-elastic:ListClusterSnapshots", "docdb-elastic:GetClusterSnapshot", "docdb-elastic:ListTagsForResource" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics" ], "Resource": "*" } ] }
AmazonDocDB ElasticFullAccess
이 정책은 모든 Amazon DocumentDB 엘라스틱 클러스터의 Amazon DocumentDB 작업에 대한 전체 액세스 권한을 허용하는 관리 권한을 보안 주체에게 부여합니다.
이 정책은 조건 내에서 AWS 태그 (https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) 를 사용하여 리소스에 대한 액세스 범위를 지정합니다. 암호를 사용하는 경우 태그 키 DocDBElasticFullAccess과 태그 값으로 태그를 지정해야 합니다. 고객 관리형 키를 사용하는 경우 태그 키 DocDBElasticFullAccess과 태그 값으로 태그를 지정해야 합니다.
해당 정책의 권한은 다음과 같이 그룹화됩니다.
Amazon DocumentDB 엘라스틱 클러스터 권한은 모든 Amazon DocumentDB 작업을 허용합니다.
이 정책의 일부 Amazon EC2 권한은 API 요청에서 전달된 리소스를 검증하는 데 필요합니다. 이는 Amazon DocumentDB가 클러스터에서 리소스를 성공적으로 프로비저닝하고 유지할 수 있도록 하기 위한 것입니다. 이 정책의 나머지 Amazon EC2 권한은 Amazon DocumentDB가 사용자가 VPC 엔드포인트와 같은 클러스터에 연결할 수 있도록 하는 데 필요한 리소스를 AWS 생성할 수 있도록 합니다.
AWS KMS Amazon DocumentDB가 전달된 키를 사용하여 Amazon DocumentDB 엘라스틱 클러스터 내에 저장된 데이터를 암호화하고 해독할 수 있으려면 권한이 필요합니다.
참고
고객 관리형 키에는 키
DocDBElasticFullAccess과 태그 값이 있는 태그가 있어야 합니다.SecretsManager 주어진 암호를 검증하고 이를 사용하여 Amazon DocumentDB 탄력적 클러스터의 관리자 사용자를 설정하려면 권한이 필요합니다.
참고
사용되는 암호에는 키
DocDBElasticFullAccess과 태그 값이 있는 태그가 있어야 합니다.지표 및 로그 게시에 필요한 서비스 연결 역할을 생성하려면 IAM 권한이 필요합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DocdbElasticSid", "Effect": "Allow", "Action": [ "docdb-elastic:CreateCluster", "docdb-elastic:UpdateCluster", "docdb-elastic:GetCluster", "docdb-elastic:DeleteCluster", "docdb-elastic:ListClusters", "docdb-elastic:CreateClusterSnapshot", "docdb-elastic:GetClusterSnapshot", "docdb-elastic:DeleteClusterSnapshot", "docdb-elastic:ListClusterSnapshots", "docdb-elastic:RestoreClusterFromSnapshot", "docdb-elastic:TagResource", "docdb-elastic:UntagResource", "docdb-elastic:ListTagsForResource", "docdb-elastic:CopyClusterSnapshot", "docdb-elastic:StartCluster", "docdb-elastic:StopCluster" ], "Resource": [ "*" ] }, { "Sid": "EC2Sid", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:DescribeVpcEndpoints", "ec2:DeleteVpcEndpoints", "ec2:ModifyVpcEndpoint", "ec2:DescribeVpcAttribute", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeAvailabilityZones", "secretsmanager:ListSecrets" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "aws:CalledViaFirst": "docdb-elastic.amazonaws.com" } } }, { "Sid": "KMSSid", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": [ "docdb-elastic.*.amazonaws.com" ], "aws:ResourceTag/DocDBElasticFullAccess": "*" } } }, { "Sid": "KMSGrantSid", "Effect": "Allow", "Action": [ "kms:CreateGrant" ], "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/DocDBElasticFullAccess": "*", "kms:ViaService": [ "docdb-elastic.*.amazonaws.com" ] }, "Bool": { "kms:GrantIsForAWSResource": true } } }, { "Sid": "SecretManagerSid", "Effect": "Allow", "Action": [ "secretsmanager:ListSecretVersionIds", "secretsmanager:DescribeSecret", "secretsmanager:GetSecretValue", "secretsmanager:GetResourcePolicy" ], "Resource": "*", "Condition": { "StringLike": { "secretsmanager:ResourceTag/DocDBElasticFullAccess": "*" }, "StringEquals": { "aws:CalledViaFirst": "docdb-elastic.amazonaws.com" } } }, { "Sid": "CloudwatchSid", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics" ], "Resource": [ "*" ] }, { "Sid": "SLRSid", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic", "Condition": { "StringLike": { "iam:AWSServiceName": "docdb-elastic.amazonaws.com" } } } ] }
AmazonDocDB- ElasticServiceRolePolicy
AmazonDocDBElasticServiceRolePolicy AWS Identity and Access Management 엔티티에 연결할 수 없습니다. 이 정책은 Amazon DocumentDB에 사용자를 대신하여 작업을 수행할 수 있도록 하는 서비스 연결 역할에 연결됩니다. 자세한 정보는 탄력적 클러스터에서 서비스 연결 역할을 참조하세요.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": [ "AWS/DocDB-Elastic" ] } } } ] }
관리형 정책에 대한 Amazon DocumentDB 업데이트 AWS
| 변경 사항 | 설명 | 날짜 |
|---|---|---|
| AmazonDocDB ElasticFullAccess, AmazonDocDB ConsoleFullAccess - 변경 | 클러스터 시작/중지 및 클러스터 스냅샷 복사 작업을 추가하도록 정책이 업데이트되었습니다. | 2024년 2월 21일 |
| AmazonDocDB ElasticReadOnlyAccess, AmazonDocDB ElasticFullAccess - 변경 | cloudwatch:GetMetricData 작업을 추가하기 위해 정책이 업데이트되었습니다. |
2023년 6월 21일 |
| AmazonDocDB ElasticReadOnlyAccess - 새 정책 | Amazon DocumentDB 엘라스틱 클러스터를 위한 새로운 관리형 정책 | 2023년 6월 8일 |
| AmazonDocDB ElasticFullAccess - 새 정책 | Amazon DocumentDB 엘라스틱 클러스터를 위한 새로운 관리형 정책 | 6/5/2023 |
| AmazonDocDB- ElasticServiceRolePolicy - 새 정책 | Amazon DocumentDB는 아마존 DocumentDB 엘라스틱 클러스터를 위한 AWS ServiceRoleForDoc 새로운 DB-Elastic 서비스 연결 역할을 생성합니다. | 2022년 11월 30일 |
| AmazonDocDB ConsoleFullAccess - 변경 사항 | Amazon DocumentDB 글로벌 및 엘라스틱 클러스터 권한을 추가하도록 정책이 업데이트되었습니다. | 2022년 11월 30일 |
| AmazonDocDB ConsoleFullAccess, AmazonDocDB FullAccess, AmazonDocDB ReadOnlyAccess - 새 정책 | 서비스 시작 | 2017년 1월 19일 |
