本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
亚马逊 DocumentDB API 权限:操作、资源和条件参考
设置时,请使用以下部分作为参考为亚马逊 DocumentDB 使用基于身份的策略(IAM 策略)并编写可以附加到 IAM 身份的权限策略(基于身份的策略)。
以下列出了每项亚马逊 DocumentDB API 操作。列表中包括您可以为其授予执行该操作的权限的相应操作,Amazon您可以为其授予权限的资源,以及可以包含用于精细访问控制的条件密钥。您需要在策略的 Action 字段中指定操作、在策略的 Resource 字段中指定资源值、在策略的 Condition 字段中指定条件。有关条件的更多信息,请参阅“在策略中指定条件”。
你可以使用Amazon您的亚马逊 DocumentDB 政策中的宽条件密钥用于表达条件。有关 Amazon 范围内的键的完整列表,请参阅《IAM 用户指南》https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys中的可用键。
您可以使用 IAM 策略模拟器测试 IAM 策略。它会自动提供每种资源所需的资源和参数列表Amazon操作,包括亚马逊 DocumentDB 操作。IAM 策略模拟器确定了您指定的每项操作所需的权限。有关 IAM 策略模拟器的信息,请参阅使用 IAM 策略模拟器测试 IAM 策略在里面IAM 用户指南。
注意
要指定操作,请在 API 操作名称之前使用 rds: 前缀 (例如,rds:CreateDBInstance)。
以下列出了 Amazon RDS API 操作及其相关操作、资源和条件密钥。
支持资源级权限的亚马逊 DocumentDB 操作
资源级权限允许指定允许用户对哪些资源执行操作。亚马逊 DocumentDB 部分支持资源级权限。这意味着,对于某些 Amazon DocumentDB 操作,您可以根据必须满足的条件或允许用户使用的特定资源来控制何时允许用户使用这些操作。例如,您可以向用户授予仅修改特定实例的权限。
以下列出了 Amazon DocumentDB API 操作及其相关操作、资源和条件密钥。
注意
对于某些管理功能,亚马逊 DocumentDB 使用与 Amazon RDS 共享的操作技术。
| 亚马逊 DocumentDB API 操作和 | 资源 | 条件键 |
|---|---|---|
|
|
实例
|
|
子网组
|
|
|
|
|
实例
|
|
|
|
集群快照
|
|
|
|
集群
|
|
集群参数组
|
|
|
子网组
|
|
|
|
|
集群参数组
|
|
|
|
集群
|
|
集群快照
|
|
|
|
|
实例
|
|
集群
|
|
|
|
|
子网组
|
|
|
|
实例
|
|
|
|
子网组
|
|
|
|
集群参数组
|
|
|
|
集群参数组
|
|
|
|
集群
|
|
|
|
集群快照
|
|
|
|
子网组
|
|
|
DescribePendingMaintenanceActions
|
实例
|
|
|
|
集群
|
|
|
|
实例
|
|
子网组
|
|
|
|
|
集群
|
|
集群参数组
|
|
|
|
|
集群参数组
|
|
|
|
集群快照
|
|
|
|
实例
|
|
|
|
实例
|
|
|
|
实例
|
|
子网组
|
|
|
|
|
集群参数组
|
|
|
|
集群
|
|
集群快照
|
|
|
|
|
集群
|
|
子网组
|
|
不支持资源级权限的亚马逊 DocumentDB 操作
您可以使用 IAM 策略中的所有 Amazon DocumentDB 操作来授予或拒绝用户使用该操作的权限。但是,并非所有 Amazon DocumentDB 操作都支持资源级权限,这使您能够指定可以对其执行操作的资源。以下 Amazon DocumentDB API 操作目前不支持资源级权限。因此,要在 IAM 策略中使用这些操作,您必须使用以下方法授予用户使用所有资源进行操作的权限*的通配符Resource你陈述中的元素。
-
rds:DescribeDBClusterSnapshots -
rds:DescribeDBInstances