Amazon DocumentDB API 权限:操作、资源和条件参考 - Amazon DocumentDB
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon DocumentDB API 权限:操作、资源和条件参考

在设置为亚马逊 DocumentDB 使用基于身份的IAM策略(策略)和编写您可附加到 IAM 身份的权限策略(基于身份的策略)时,可以使用以下内容作为参考。

以下列出了亚马逊文档数据库API的每项操作。列表中包括您可以授予执行操作权限的相应操作、可以授予权限的 Amazon 资源以及可以包含的用于精细访问控制的条件密钥。您需要在策略的 Action 字段中指定操作、在策略的 Resource 字段中指定资源值、在策略的 Condition 字段中指定条件。有关条件的更多信息,请参阅“在策略中指定条件”。

您可以在 Amazon DocumentDB 政策中使用 Amazon全局条件键来表达条件。有关 Amazon-wide 密钥的完整列表,请参阅《IAM用户指南》中的可用密钥

您可以使用 IAM 策略模拟器测试 IAM 策略。它会自动提供每项操作所需的资源和参数列表,包括 Amazon DocumentDB Amazon 操作。IAM 策略模拟器确定您指定的每个操作所需的权限。有关IAM策略模拟器的信息,请参阅《IAM用户指南》中的 “使用IAMIAM策略模拟器测试策略”。

注意

要指定操作,请使用rds:前缀和API操作名称(例如rds:CreateDBInstance)。

以下列出了 Amazon RDS API 运营及其相关操作、资源和条件键。

支持资源级权限的 Amazon DocumentDB 操作

资源级权限提供以下能力:指定允许用户对其执行操作的资源。Amazon DocumentDB 部分支持资源级权限。这意味着对于某些 Amazon DocumentDB 操作,您可以基于须满足的条件或允许用户使用的具体资源,控制何时允许用户使用这些操作。例如,您可以向用户授予仅修改特定实例的权限。

以下列出了 Amazon DocumentDB API 操作及其相关操作、资源和条件键。

注意

对于某些管理功能,Amazon DocumentDB 使用与亚马逊共享的操作技术。RDS有关 Amazon DocumentDB 的更多操作和权限,请参阅服务授权参考RDS中的亚马逊操作、资源和条件密钥

不支持资源级权限的 Amazon DocumentDB 操作

您可以使用IAM策略中的所有 Amazon DocumentDB 操作来授予或拒绝用户使用该操作的权限。但是,并非所有 Amazon DocumentDB 操作都支持资源级权限,这使您能够指定可对其执行操作的资源。以下 Amazon DocumentDB API 操作目前不支持资源级权限。因此,要在 IAM 策略中使用这些操作,您必须通过对语句中的 Resource 元素使用 * 通配符,来向用户授予对操作使用所有资源的权限。

  • rds:DescribeDBClusterSnapshots

  • rds:DescribeDBInstances