Permissões necessárias para usar o console do Amazon DocumentDB Exemplos de política gerenciada pelo cliente

Usar políticas baseadas em identidade (políticas do IAM) para o Amazon DocumentDB

Importante

Para determinados atributos de gerenciamento, o Amazon DocumentDB usa a tecnologia operacional que é compartilhada com o Amazon RDS. As chamadas de console e API do Amazon DocumentDB são registradas como chamadas feitas para a API do Amazon RDS. AWS CLI

Recomendamos analisar primeiro os tópicos introdutórios que explicam os conceitos básicos e as opções disponíveis para gerenciar o acesso aos recursos do Amazon DocumentDB. Para ter mais informações, consulte Managing Access Permissions to Your Amazon DocumentDB Resources (Gerenciar permissões de acesso aos recursos do Amazon DocumentDB).

Este tópico fornece exemplos de políticas baseadas em identidade em que um administrador de conta pode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e funções).

A seguir há um exemplo de uma política do IAM.



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateDBInstanceOnly",
            "Effect": "Allow",
            "Action": [
                "rds:CreateDBInstance"
            ],
            "Resource": [
                "arn:aws:rds:*:123456789012:db:test*",
                "arn:aws:rds:*:123456789012:pg:cluster-pg:default*",
                "arn:aws:rds:*:123456789012:subgrp:default"
            ]
        }
    ]
}

A política inclui uma única instrução que especifica as seguintes permissões para o usuário do IAM:

A política permite que o usuário do IAM crie uma instância usando a ação createdBInstance (isso também se aplica à operação e à create-db-instance AWS CLI ). AWS Management Console
O elemento Resource especifica que o usuário pode realizar ações em ou com recursos. Você especifica recursos usando um nome de recurso da Amazon (ARN). Esse ARN inclui o nome do serviço ao qual o recurso pertence (rds), o Região da AWS (*indica qualquer região neste exemplo), o número da conta do usuário (123456789012é a ID do usuário neste exemplo) e o tipo de recurso.

O elemento Resource neste exemplo especifica as restrições da política a seguir em recursos para o usuário:
- O identificador de instância para a nova instância deve começar com test (por exemplo, testCustomerData1, test-region2-data).
- O grupo de parâmetros de cluster para a nova instância deve começar com default.
- O grupo de sub-redes para a nova instância deve ser o grupo de sub-redes default.

A política não especifica o elemento Principal porque, em uma política baseada em identidade, a entidade principal que obtém as permissões não é especificada. Quando você anexar uma política um usuário, o usuário será a entidade principal implícita. Quando você anexa uma política de permissões a um perfil do IAM, o principal identificado na política de confiança do perfil obtém as permissões.

Para obter uma tabela lista mostrando todas as operações da API do Amazon DocumentDB e os recursos aos quais elas se aplicam, consulte Permissões da API do Amazon DocumentDB: referência de ações, recursos e condições.

Permissões necessárias para usar o console do Amazon DocumentDB

Para um usuário trabalhar com o console Amazon DocumentDB, esse usuário deve ter um conjunto de permissões mínimo. Essas permissões permitem que o usuário descreva seus recursos do Amazon DocumentDB Conta da AWS e forneça outras informações relacionadas, incluindo informações de rede e segurança do Amazon EC2.

Se você criar uma política do IAM que seja mais restritiva que as permissões mínimas necessárias, o console do não funcionará como pretendido para os usuários com essa política do IAM. Para garantir que esses usuários ainda consigam usar o console Amazon DocumentDB, associe também a política gerenciada AmazonDocDBConsoleFullAccess ao usuário, conforme descrito em AWS políticas gerenciadas para o Amazon DocumentDB.

Você não precisa permitir permissões mínimas de console para usuários que estão fazendo chamadas somente para a API do Amazon DocumentDB AWS CLI ou para a API do Amazon DocumentDB.

Exemplos de política gerenciada pelo cliente

Nesta seção, você pode encontrar exemplos de políticas de usuário que concedem permissões para várias ações do Amazon DocumentDB. Essas políticas funcionam quando você está usando ações de API do Amazon DocumentDB, AWS SDKs ou o. AWS CLI Ao usar o console, você precisa conceder permissões adicionais específicas ao console, o que é abordado em Permissões necessárias para usar o console do Amazon DocumentDB.

Para alguns atributos de gerenciamento, o Amazon DocumentDB usa a tecnologia operacional que é compartilhada com o Amazon Relational Database Service (Amazon RDS) e o Amazon Neptune..

nota

Todos os exemplos usam a Leste dos EUA (N. da Virgínia) (us-east-1) e contêm IDs de conta fictícios.

Exemplos

Exemplo 1: permitir que um usuário execute qualquer ação de descrição em qualquer recurso do Amazon DocumentDB
Exemplo 2: impedir que um usuário exclua uma instância
Exemplo 3: Impedir que um usuário crie um cluster, a menos que a criptografia de armazenamento esteja habilitada

Exemplo 1: permitir que um usuário execute qualquer ação de descrição em qualquer recurso do Amazon DocumentDB

A seguinte política de permissões concede permissões a um usuário para executar todas as ações que começam com Describe. Essas ações mostram informações sobre um recurso do Amazon DocumentDB, como uma instância. O caractere curinga (*) no elemento Resource indica que as ações são permitidas para todos os recursos do Amazon DocumentDB que pertencem à conta.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"AllowRDSDescribe",
         "Effect":"Allow",
         "Action":"rds:Describe*",
         "Resource":"*"
      }
   ]
}

Exemplo 2: impedir que um usuário exclua uma instância

A seguinte política de permissões concede permissões para impedir que um usuário exclua uma instância específica. Por exemplo, você pode querer negar a capacidade de excluir suas instâncias de produção a qualquer usuário que não seja um administrador.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"DenyDelete1",
         "Effect":"Deny",
         "Action":"rds:DeleteDBInstance",
         "Resource":"arn:aws:rds:us-east-1:123456789012:db:my-db-instance"
      }
   ]
}

Exemplo 3: Impedir que um usuário crie um cluster, a menos que a criptografia de armazenamento esteja habilitada

A política de permissões a seguir nega a permissão de um usuário criar um cluster Amazon DocumentDB, a menos que a criptografia de armazenamento esteja habilitada.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "PreventUnencryptedDocumentDB",
         "Effect": "Deny",
         "Action": "RDS:CreateDBCluster",
         "Condition": {
         "Bool": {
         "rds:StorageEncrypted": "false"
      },
         "StringEquals": {
         "rds:DatabaseEngine": "docdb"
         }
      },
      "Resource": "*"
      }
   ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Managing Access Permissions to Your Amazon DocumentDB Resources (Gerenciar permissões de acesso aos recursos do Amazon DocumentDB)

AWS políticas gerenciadas para o Amazon DocumentDB