Gerenciando permissões de acesso aos seus recursos do Amazon DocumentDB - Amazon DocumentDB
Recursos e operações do Amazon DocumentDBInformações sobre propriedade de recursosGerenciamento de acesso aos recursosEspecificar elementos da política: ações, efeitos, recursos e entidades principaisEspecificar condições em uma política

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciando permissões de acesso aos seus recursos do Amazon DocumentDB

Cada AWS recurso é de propriedade de um Conta da AWS, e as permissões para criar ou acessar os recursos são regidas por políticas de permissões. Um administrador de conta pode anexar políticas de permissões a IAM identidades (ou seja, usuários, grupos e funções), e alguns serviços (como AWS Lambda) também oferecem suporte à anexação de políticas de permissões a recursos.

nota

O administrador de uma conta (ou o usuário administrador) é um usuário com permissões de administrador. Para obter mais informações, consulte as IAM melhores práticas no Guia IAM do usuário.

Recursos e operações do Amazon DocumentDB

No Amazon DocumentDB, o principal recurso é um cluster. O Amazon DocumentDB oferece suporte a outros recursos que podem ser usados com o recurso principal, como instâncias, grupos de parâmetros, e assinaturas de eventos. Esses recursos são chamados de sub-recursos.

Esses recursos e sub-recursos têm nomes de recursos da Amazon (ARNs) exclusivos associados a eles, conforme mostrado na tabela a seguir.

Tipo de recurso ARNFormato

Cluster

arn:aws:rds:region:account-id:cluster:db-cluster-name

Grupo de parâmetros do cluster

arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name

Snapshot de cluster

arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name

Instância

arn:aws:rds:region:account-id:db:db-instance-name

Grupo de segurança

arn:aws:rds:region:account-id:secgrp:security-group-name

Grupo de sub-redes

arn:aws:rds:region:account-id:subgrp:subnet-group-name

O Amazon DocumentDB fornece um conjunto de operações para trabalhar com recursos do Amazon DocumentDB. Para obter uma lista das operações disponíveis, consulte Ações.

Informações sobre propriedade de recursos

O proprietário de um recurso é Conta da AWS aquele que criou um recurso. Ou seja, o proprietário Conta da AWS do recurso é a entidade principal (a conta raiz, um IAM usuário ou uma IAM função) que autentica a solicitação que cria o recurso. Os seguintes exemplos mostram como isso funciona:

  • Se você usar as credenciais da sua conta raiz Conta da AWS para criar um recurso do Amazon DocumentDB, como uma instância, você é Conta da AWS o proprietário do recurso Amazon DocumentDB.

  • Se você criar um IAM usuário em seu Conta da AWS e conceder permissões para criar recursos do Amazon DocumentDB para esse usuário, o usuário poderá criar recursos do Amazon DocumentDB. No entanto, você Conta da AWS, ao qual o usuário pertence, possui os recursos do Amazon DocumentDB.

  • Se você criar uma IAM função Conta da AWS com permissões para criar recursos do Amazon DocumentDB, qualquer pessoa que possa assumir a função poderá criar recursos do Amazon DocumentDB. Você Conta da AWS, ao qual a função pertence, possui os recursos do Amazon DocumentDB.

Gerenciamento de acesso aos recursos

A política de permissões descreve quem tem acesso a quê. A seção a seguir explica as opções disponíveis para a criação das políticas de permissões.

nota

Esta seção discute o uso IAM no contexto do Amazon DocumentDB. Ele não fornece informações detalhadas sobre o IAM serviço. Para obter a IAM documentação completa, consulte O que éIAM? no Guia do IAM usuário. Para obter informações sobre a IAM sintaxe e as descrições das AWSIAM políticas, consulte Referência de políticas no Guia do IAM usuário.

As políticas anexadas a uma IAM identidade são chamadas de políticas baseadas em identidade (IAMpolíticas). As políticas anexadas a um recurso são chamadas de políticas baseadas em recursos. O Amazon DocumentDB oferece suporte somente a políticas (políticas) baseadas em identidade. IAM

Políticas baseadas em identidade (políticas) IAM

Você pode anexar políticas às IAM identidades. Por exemplo, você pode fazer o seguinte:

  • Anexar uma política de permissões a um usuário ou a um grupo em sua conta – um administrador da conta pode usar uma política de permissões associada a um determinado usuário a fim de conceder permissões para que o usuário crie um recurso do Amazon DocumentDB, como uma instância.

  • Anexar uma política de permissões a uma função (conceder permissões entre contas) — Você pode anexar uma política de permissões baseada em identidade a uma IAM função para conceder permissões entre contas. Por exemplo, um administrador pode criar uma função para conceder permissões entre contas a outra pessoa Conta da AWS ou a um AWS serviço da seguinte forma:

    1. O administrador da Conta A cria uma IAM função e anexa uma política de permissões à função que concede permissões sobre recursos na Conta A.

    2. Um administrador da Conta A anexa uma política de confiança à função identificando a Conta B como a entidade principal, que pode assumir a função.

    3. O administrador da Conta B pode então delegar permissões para assumir a função a qualquer usuário na Conta B. Isso permite que os usuários da Conta B criem ou acessem recursos na Conta A. O principal na política de confiança também pode ser um diretor de AWS serviço se você quiser conceder permissões a um AWS serviço para assumir a função.

    Para obter mais informações sobre IAM como delegar permissões, consulte Gerenciamento de acesso no Guia do IAM usuário.

Veja a seguir um exemplo de política que permite ao usuário com o ID 123456789012 para criar instâncias para o seu Conta da AWS. A nova instância deve usar um grupo de opções e um parameter group que começa com default e deve usar o grupo de sub-redes default.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateDBInstanceOnly",
            "Effect": "Allow",
            "Action": [
                "rds:CreateDBInstance"
            ],
            "Resource": [
                "arn:aws:rds:*:123456789012:db:test*",
                "arn:aws:rds:*:123456789012:pg:cluster-pg:default*",
                "arn:aws:rds:*:123456789012:subgrp:default"
            ]
        }
    ]
}

Para obter mais informações sobre o uso de políticas baseadas em identidade com o Amazon DocumentDB, consulte Usando políticas baseadas em identidade (IAMpolíticas) para o Amazon DocumentDB. Para obter mais informações sobre usuários, grupos, funções e permissões, consulte Identidades (usuários, grupos e funções) no Guia do IAM usuário.

Políticas baseadas no recurso

Outros serviços, como o Amazon Simple Storage Service (Amazon S3), são compatíveis com políticas de permissões baseadas em recursos. Por exemplo, você pode anexar uma política a um bucket do Amazon S3 para gerenciar permissões de acesso a esse bucket. O Amazon DocumentDB não oferece suporte a políticas baseadas em recursos.

Especificar elementos da política: ações, efeitos, recursos e entidades principais

Para cada recurso do Amazon DocumentDB (consulteRecursos e operações do Amazon DocumentDB), o serviço define um conjunto de API operações. Para obter mais informações, consulte Ações. Para conceder permissões para essas API operações, o Amazon DocumentDB define um conjunto de ações que você pode especificar em uma política. A execução de uma API operação pode exigir permissões para mais de uma ação.

Estes são os elementos de política básicos:

  • Recurso — Em uma política, você usa um Amazon Resource Name (ARN) para identificar o recurso ao qual a política se aplica.

  • Ação: você usa palavras-chave de ação para identificar operações de recursos que deseja permitir ou negar. Por exemplo, a permissão rds:DescribeDBInstances permite que o usuário execute a operação DescribeDBInstances.

  • Efeito: você especifica o efeito quando o usuário solicita a ação específica, que pode ser permitir ou negar. Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar explicitamente o acesso a um recurso, para ter certeza de que um usuário não consiga acessá-lo, mesmo que uma política diferente conceda acesso.

  • Principal — Em políticas baseadas em identidade (IAMpolíticas), o usuário ao qual a política está vinculada é o principal implícito. Para as políticas baseadas em recursos, você especifica quais usuários, contas, serviços ou outras entidades deseja que recebam permissões (isso se aplica somente a políticas baseadas em recursos). O Amazon DocumentDB não oferece suporte a políticas baseadas em recursos.

Para saber mais sobre a sintaxe e as descrições das IAM políticas, consulte a Referência AWS IAM de políticas no Guia do IAM usuário.

Para obter uma tabela mostrando todas as API ações do Amazon DocumentDB e os recursos aos quais elas se aplicam, consulte. APIPermissões do Amazon DocumentDB: referência de ações, recursos e condições

Especificar condições em uma política

Ao conceder permissões, você pode usar a linguagem da IAM política para especificar as condições em que uma política deve entrar em vigor. Por exemplo, é recomendável aplicar uma política somente após uma data específica. Para obter mais informações sobre a especificação de condições em um idioma de política, consulte Condição no Guia do IAM Usuário.

Para expressar condições, você usa chaves de condição predefinidas. O Amazon DocumentDB não tem chaves de contexto específicas do serviço que possam ser usadas em uma política. IAM Para obter uma lista das chaves de contexto de condição global que estão disponíveis para todos os serviços, consulte Chaves disponíveis para condições no Guia IAM do usuário.