本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon DocumentDB API 許可:動作、資源和條件參考
當您設定對 Amazon DocumentDB 使用基於身份的政策 (IAM 政策)並撰寫可附加至 IAM 身分 (身分型政策) 的許可政策時,請使用下列各節做為參考。
下面列出了每個 Amazon DocumentDB API 操作。清單中包括您可以授與執行動作之權限的對應動作、您可以授與權限的 AWS 資源,以及您可以包含的條件索引鍵以進行精細的存取控制。您可以在政策的 Action 欄位中指定動作、在政策的 Resource 欄位中指定資源值,以及在政策的 Condition 欄位中指定條件。如需條件的相關資訊,請參閱在政策中指定條件。
您可以在 Amazon DocumentDB 政策中使用 AWS寬條件金鑰來表示條件。如需完整的 AWS全金鑰清單,請參閱 IAM 使用者指南中的可用金鑰。
您可以使用 IAM 政策模擬器測試 IAM 政策。它會自動提供每個動作所需的資源和參數清單,包括 Amazon DocumentDB AWS 動作。IAM 政策模擬器會決定您指定的每個動作所需的許可。如需 IAM 政策模擬器的相關資訊,請參閱 IAM 使用者指南中的使用 IAM 政策模擬器測試 IAM 政策。
注意
若要指定動作,請使用後接 API 操作名稱的 rds: 字首 (例如,rds:CreateDBInstance)。
以下列出 Amazon RDS API 操作及其相關動作、資源和條件金鑰。
Support 資源層級許可的 Amazon 文件資料庫動作
資源層級權限可讓您指定允許使用者執行動作的資源。Amazon DocumentDB 對資源級許可提供部分支持。這表示對於某些 Amazon DocumentDB 動作,您可以根據必須滿足的條件或允許使用者使用的特定資源,控制何時允許使用者使用這些動作。例如,您可以授予使用者只修改特定執行個體的許可。
以下列出 Amazon DocumentDB API 操作及其相關動作、資源和條件金鑰。
注意
對於某些管理功能,Amazon DocumentDB 會使用與 Amazon RDS 共用的操作技術。如需更多 Amazon DocumentDB 動作和許可,請參閱服務授權參考中適用於 Amazon RDS 的動作、資源和條件金鑰。
| Amazon DocumentDB API 操作和操作 | 資源 | 條件金鑰 |
|---|---|---|
|
|
執行個體
|
|
子網路群組
|
|
|
|
|
執行個體
|
|
|
|
叢集快照
|
|
|
|
叢集
|
|
叢集參數群組
|
|
|
子網路群組
|
|
|
|
|
叢集參數群組
|
|
|
|
叢集
|
|
叢集快照
|
|
|
|
|
執行個體
|
|
叢集
|
|
|
|
|
子網路群組
|
|
|
|
執行個體
|
|
|
|
子網路群組
|
|
|
|
叢集參數群組
|
|
|
|
叢集參數群組
|
|
|
|
叢集
|
|
|
描述 B ClusterSnapshotAttributes
|
叢集快照
|
|
|
|
子網路群組
|
|
|
DescribePendingMaintenanceActions
|
執行個體
|
|
|
|
叢集
|
|
|
|
執行個體
|
|
子網路群組
|
|
|
|
|
叢集
|
|
叢集參數群組
|
|
|
|
|
叢集參數群組
|
|
|
修改資料庫 ClusterSnapshotAttribute
|
叢集快照
|
|
|
|
執行個體
|
|
|
|
執行個體
|
|
|
|
執行個體
|
|
子網路群組
|
|
|
|
|
叢集參數群組
|
|
|
|
叢集
|
|
叢集快照
|
|
|
|
|
叢集
|
|
子網路群組
|
|
不 Support 資源層級許可的亞馬遜文件資料庫動作
您可以使用 IAM 政策中的所有 Amazon DocumentDB 動作,授予或拒絕使用者使用該動作的權限。不過,並非所有 Amazon DocumentDB 動作都支援資源層級許可,這可讓您指定可以執行動作的資源。下列 Amazon DocumentDB API 動作目前不支援資源層級許可。因此,若要在 IAM 政策中使用這些動作,您必須針對陳述式中的元素使用*萬用字Resource元,授與使用者使用該動作所有資源的權限。
-
rds:DescribeDBClusterSnapshots -
rds:DescribeDBInstances
