本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon DocumentDB API 权限:操作、资源和条件参考
在设置为亚马逊 DocumentDB 使用基于身份的IAM策略(策略)和编写您可附加到 IAM 身份的权限策略(基于身份的策略)时,可以使用以下内容作为参考。
以下列出了亚马逊文档数据库API的每项操作。列表中包括您可以授予执行操作权限的相应操作、可以授予权限的 Amazon 资源以及可以包含的用于精细访问控制的条件密钥。您需要在策略的 Action
字段中指定操作、在策略的 Resource
字段中指定资源值、在策略的 Condition
字段中指定条件。有关条件的更多信息,请参阅“在策略中指定条件”。
您可以在 Amazon DocumentDB 政策中使用 Amazon全局条件键来表达条件。有关 Amazon-wide 密钥的完整列表,请参阅《IAM用户指南》中的可用密钥。
您可以使用 IAM 策略模拟器测试 IAM 策略。它会自动提供每项操作所需的资源和参数列表,包括 Amazon DocumentDB Amazon 操作。IAM 策略模拟器确定您指定的每个操作所需的权限。有关IAM策略模拟器的信息,请参阅《IAM用户指南》中的 “使用IAMIAM策略模拟器测试策略”。
注意
要指定操作,请使用rds:
前缀和API操作名称(例如rds:CreateDBInstance
)。
以下列出了 Amazon RDS API 运营及其相关操作、资源和条件键。
支持资源级权限的 Amazon DocumentDB 操作
资源级权限提供以下能力:指定允许用户对其执行操作的资源。Amazon DocumentDB 部分支持资源级权限。这意味着对于某些 Amazon DocumentDB 操作,您可以基于须满足的条件或允许用户使用的具体资源,控制何时允许用户使用这些操作。例如,您可以向用户授予仅修改特定实例的权限。
以下列出了 Amazon DocumentDB API 操作及其相关操作、资源和条件键。
注意
对于某些管理功能,Amazon DocumentDB 使用与亚马逊共享的操作技术。RDS有关 Amazon DocumentDB 的更多操作和权限,请参阅服务授权参考RDS中的亚马逊操作、资源和条件密钥。
亚马逊 DocumentDB API 操作和操作 | 资源 | 条件键 |
---|---|---|
|
实例
|
|
子网组
|
|
|
|
实例
|
|
|
集群快照
|
|
|
集群
|
|
集群参数组
|
|
|
子网组
|
|
|
|
集群参数组
|
|
|
集群
|
|
集群快照
|
|
|
|
实例
|
|
集群
|
|
|
|
子网组
|
|
|
实例
|
|
|
子网组
|
|
DescribeDBClusterParameterGroups
|
集群参数组
|
|
|
集群参数组
|
|
|
集群
|
|
DescribeDBClusterSnapshotAttributes
|
集群快照
|
|
|
子网组
|
|
DescribePendingMaintenanceActions
|
实例
|
|
|
集群
|
|
|
实例
|
|
子网组
|
|
|
|
集群
|
|
集群参数组
|
|
|
|
集群参数组
|
|
ModifyDBClusterSnapshotAttribute
|
集群快照
|
|
|
实例
|
|
|
实例
|
|
|
实例
|
|
子网组
|
|
|
|
集群参数组
|
|
|
集群
|
|
集群快照
|
|
|
|
集群
|
|
子网组
|
|
不支持资源级权限的 Amazon DocumentDB 操作
您可以使用IAM策略中的所有 Amazon DocumentDB 操作来授予或拒绝用户使用该操作的权限。但是,并非所有 Amazon DocumentDB 操作都支持资源级权限,这使您能够指定可对其执行操作的资源。以下 Amazon DocumentDB API 操作目前不支持资源级权限。因此,要在 IAM 策略中使用这些操作,您必须通过对语句中的 Resource
元素使用 *
通配符,来向用户授予对操作使用所有资源的权限。
-
rds:DescribeDBClusterSnapshots
-
rds:DescribeDBInstances