Unterstützte Berechtigungen auf Ressourcenebene Berechtigungen auf Ressourcenebene werden nicht unterstützt

Amazon DocumentDB DocumentDB-API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen

Verwenden Sie die folgenden Abschnitte als Referenz, wenn Sie Berechtigungsrichtlinien einrichten Verwendung identitätsbasierter Richtlinien (IAM-Richtlinien) für Amazon DocumentDB und schreiben, die Sie einer IAM-Identität zuordnen können (identitätsbasierte Richtlinien).

Im Folgenden werden alle Amazon DocumentDB DocumentDB-API-Operationen aufgeführt. In der Liste sind die entsprechenden Aktionen enthalten, für die Sie Berechtigungen zur Ausführung der Aktion erteilen können, die AWS Ressource, für die Sie die Berechtigungen erteilen können, und Bedingungsschlüssel, die Sie für eine detaillierte Zugriffskontrolle angeben können. Sie geben die Aktionen im Feld Action der Richtlinie, den Ressourcenwert im Feld Resource der Richtlinie und die Bedingungen im Feld Condition der Richtlinie an. Weitere Informationen über Bedingungen finden Sie unter Angeben von Bedingungen in einer Richtlinie.

Sie können in Ihren Amazon DocumentDB DocumentDB-Richtlinien AWS-weite Bedingungsschlüssel verwenden, um Bedingungen auszudrücken. Eine vollständige Liste der AWS-weiten Schlüssel finden Sie unter Verfügbare Schlüssel im IAM-Benutzerhandbuch.

Sie können IAM-Richtlinien mit dem IAM-Richtliniensimulator testen. Es stellt automatisch eine Liste der Ressourcen und Parameter bereit, die für jede AWS Aktion erforderlich sind, einschließlich Amazon DocumentDB DocumentDB-Aktionen. Der IAM-Richtliniensimulator bestimmt die Berechtigungen, die für jede der von Ihnen angegebenen Aktionen erforderlich sind. Informationen zum IAM-Richtliniensimulator finden Sie unter Testen von IAM-Richtlinien mit dem IAM-Richtliniensimulator im IAM-Benutzerhandbuch.

Anmerkung

Um eine Aktion anzugeben, verwenden Sie das Präfix rds: gefolgt vom Namen der API-Operation (z. B. rds:CreateDBInstance).

Im Folgenden werden Amazon RDS-API-Operationen und die zugehörigen Aktionen, Ressourcen und Bedingungsschlüssel aufgeführt.

Themen

Amazon DocumentDB DocumentDB-Aktionen, die Berechtigungen auf Ressourcenebene unterstützen
Amazon DocumentDB DocumentDB-Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen

Amazon DocumentDB DocumentDB-Aktionen, die Berechtigungen auf Ressourcenebene unterstützen

Berechtigungen auf Ressourcenebene bieten die Möglichkeit, die Ressourcen festzulegen, auf denen Benutzer Aktionen ausführen dürfen. Amazon DocumentDB unterstützt teilweise Berechtigungen auf Ressourcenebene. Das bedeutet, dass Sie für bestimmte Amazon DocumentDB DocumentDB-Aktionen steuern können, wann Benutzer diese Aktionen verwenden dürfen, basierend auf Bedingungen, die erfüllt sein müssen, oder auf bestimmten Ressourcen, die Benutzer verwenden dürfen. Beispielsweise können Sie Benutzern die Berechtigung erteilen, nur bestimmte Instances zu ändern.

Im Folgenden werden Amazon DocumentDB DocumentDB-API-Operationen und die zugehörigen Aktionen, Ressourcen und Bedingungsschlüssel aufgeführt.

Anmerkung

Für bestimmte Verwaltungsfunktionen verwendet Amazon DocumentDB Betriebstechnologie, die mit Amazon RDS gemeinsam genutzt wird. Weitere Amazon DocumentDB DocumentDB-Aktionen und -Berechtigungen finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon RDS in der Service Authorization Reference.

Amazon DocumentDB DocumentDB-API-Operationen und -Aktionen Ressourcen Bedingungsschlüssel

Amazon DocumentDB DocumentDB-API-Operationen und -Aktionen	Ressourcen	Bedingungsschlüssel
AddTagsToResource `rds:AddTagsToResource`	Instance `arn:aws:rds:region:account-id:db:db-instance-name`	`rds:db-tag`
Subnetzgruppe `arn:aws:rds:region:account-id:subgrp:subnet-group-name`	`rds:subgrp-tag`
ApplyPendingMaintenanceAction `rds:ApplyPendingMaintenanceAction`	Instance `arn:aws:rds:region:account-id:db:db-instance-name`	`rds:db-tag`
Snapshot kopieren DBCluster `rds:CopyDBClusterSnapshot`	Cluster-Snapshot `arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name`	`rds:cluster-snapshot-tag`
CreateDBCluster `rds:CreateDBCluster`	Cluster `arn:aws:rds:region:account-id:cluster:db-cluster-name`	`rds:cluster-tag`
Cluster-Parametergruppe `arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name`	`rds:cluster-pg-tag`
Subnetzgruppe `arn:aws:rds:region:account-id:subgrp:subnet-group-name`	`rds:subgrp-tag`
CreateDBClusterParameterGroup `rds:CreateDBClusterParameterGroup`	Cluster-Parametergruppe `arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name`	`rds:cluster-pg-tag`
DBClusterSchnappschuss erstellen `rds:CreateDBClusterSnapshot`	Cluster `arn:aws:rds:region:account-id:cluster:db-cluster-name`	`rds:cluster-tag`
Cluster-Snapshot `arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name`	`rds:cluster-snapshot-tag`
CreateDBInstance `rds:CreateDBInstance`	Instance `arn:aws:rds:region:account-id:db:db-instance-name`	`rds:DatabaseClass` `rds:db-tag`
Cluster `arn:aws:rds:region:account-id:cluster:db-cluster-name`	`rds:cluster-tag`
DBSubnetGruppe erstellen `rds:CreateDBSubnetGroup`	Subnetzgruppe `arn:aws:rds:region:account-id:subgrp:subnet-group-name`	`rds:subgrp-tag`
LöschenDBInstance `rds:DeleteDBInstance`	Instance `arn:aws:rds:region:account-id:db:db-instance-name`	`rds:db-tag`
DBSubnetGruppe löschen `rds:DeleteDBSubnetGroup`	Subnetzgruppe `arn:aws:rds:region:account-id:subgrp:subnet-group-name`	`rds:subgrp-tag`
Beschreiben DBCluster ParameterGroups `rds:DescribeDBClusterParameterGroups`	Cluster-Parametergruppe `arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name`	`rds:cluster-pg-tag`
Beschreiben Sie die DBCluster Parameter `rds:DescribeDBClusterParameters`	Cluster-Parametergruppe `arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name`	`rds:cluster-pg-tag`
Beschreiben DBClusters `rds:DescribeDBClusters`	Cluster `arn:aws:rds:region:account-id:cluster:db-cluster-instance-name`	`rds:cluster-tag`
Beschreiben DBCluster SnapshotAttributes `rds:DescribeDBClusterSnapshotAttributes`	Cluster-Snapshot `arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name`	`rds:cluster-snapshot-tag`
Beschreiben Sie DBSubnet Gruppen `rds:DescribeDBSubnetGroups`	Subnetzgruppe `arn:aws:rds:region:account-id:subgrp:subnet-group-name`	`rds:subgrp-tag`
DescribePendingMaintenanceActions `rds:DescribePendingMaintenanceActions`	Instance `arn:aws:rds:region:account-id:db:db-instance-name`	`rds:DatabaseClass` `rds:db-tag`
Failover DBCluster `rds:FailoverDBCluster`	Cluster `arn:aws:rds:region:account-id:cluster:db-cluster-instance-name`	`rds:cluster-tag`
ListTagsForResource `rds:ListTagsForResource`	Instance `arn:aws:rds:region:account-id:db:db-instance-name`	`rds:db-tag`
Subnetzgruppe `arn:aws:rds:region:account-id:subgrp:subnet-group-name`	`rds:subgrp-tag`
Modifizieren SieDBCluster `rds:ModifyDBCluster`	Cluster `arn:aws:rds:region:account-id:cluster:db-cluster-name`	`rds:cluster-tag`
Cluster-Parametergruppe `arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name`	`rds:cluster-pg-tag`
Modifizieren SieDBClusterParameterGroup `rds:ModifyDBClusterParameterGroup`	Cluster-Parametergruppe `arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name`	`rds:cluster-pg-tag`
Modifizieren SieDBClusterSnapshotAttribute `rds:ModifyDBClusterSnapshotAttribute`	Cluster-Snapshot `arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name`	`rds:cluster-snapshot-tag`
Modifizieren SieDBInstance `rds:ModifyDBInstance`	Instance `arn:aws:rds:region:account-id:db:db-instance-name`	`rds:DatabaseClass` `rds:db-tag`
Starten Sie neu DBInstance `rds:RebootDBInstance`	Instance `arn:aws:rds:region:account-id:db:db-instance-name`	`rds:db-tag`
RemoveTagsFromResource `rds:RemoveTagsFromResource`	Instance `arn:aws:rds:region:account-id:db:db-instance-name`	`rds:db-tag`
Subnetzgruppe `arn:aws:rds:region:account-id:subgrp:subnet-group-name`	`rds:subgrp-tag`
ZurücksetzenDBClusterParameterGroup `rds:ResetDBClusterParameterGroup`	Cluster-Parametergruppe `arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name`	`rds:cluster-pg-tag`
WiederherstellungDBClusterFromSnapshot `rds:RestoreDBClusterFromSnapshot`	Cluster `arn:aws:rds:region:account-id:cluster:db-cluster-instance-name`	`rds:cluster-tag`
Cluster-Snapshot `arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name`	`rds:cluster-snapshot-tag`
WiederherstellungDBClusterToPointInTime `rds:RestoreDBClusterToPointInTime`	Cluster `arn:aws:rds:region:account-id:cluster:db-cluster-instance-name`	`rds:cluster-tag`
Subnetzgruppe `arn:aws:rds:region:account-id:subgrp:subnet-group-name`	`rds:subgrp-tag`

AddTagsToResource

rds:AddTagsToResource

Instance

arn:aws:rds:region:account-id:db:db-instance-name

rds:db-tag

Subnetzgruppe

arn:aws:rds:region:account-id:subgrp:subnet-group-name

rds:subgrp-tag

ApplyPendingMaintenanceAction

rds:ApplyPendingMaintenanceAction

Instance

arn:aws:rds:region:account-id:db:db-instance-name

rds:db-tag

Snapshot kopieren DBCluster

rds:CopyDBClusterSnapshot

Cluster-Snapshot

arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name

rds:cluster-snapshot-tag

CreateDBCluster

rds:CreateDBCluster

Cluster

arn:aws:rds:region:account-id:cluster:db-cluster-name

rds:cluster-tag

Cluster-Parametergruppe

arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name

rds:cluster-pg-tag

Subnetzgruppe

arn:aws:rds:region:account-id:subgrp:subnet-group-name

rds:subgrp-tag

CreateDBClusterParameterGroup

rds:CreateDBClusterParameterGroup

Cluster-Parametergruppe

arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name

rds:cluster-pg-tag

DBClusterSchnappschuss erstellen

rds:CreateDBClusterSnapshot

Cluster

arn:aws:rds:region:account-id:cluster:db-cluster-name

rds:cluster-tag

Cluster-Snapshot

arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name

rds:cluster-snapshot-tag

CreateDBInstance

rds:CreateDBInstance

Instance

arn:aws:rds:region:account-id:db:db-instance-name

rds:DatabaseClass

rds:db-tag

Cluster

arn:aws:rds:region:account-id:cluster:db-cluster-name

rds:cluster-tag

DBSubnetGruppe erstellen

rds:CreateDBSubnetGroup

Subnetzgruppe

arn:aws:rds:region:account-id:subgrp:subnet-group-name

rds:subgrp-tag

LöschenDBInstance

rds:DeleteDBInstance

Instance

arn:aws:rds:region:account-id:db:db-instance-name

rds:db-tag

DBSubnetGruppe löschen

rds:DeleteDBSubnetGroup

Subnetzgruppe

arn:aws:rds:region:account-id:subgrp:subnet-group-name

rds:subgrp-tag

Beschreiben DBCluster ParameterGroups

rds:DescribeDBClusterParameterGroups

Cluster-Parametergruppe

arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name

rds:cluster-pg-tag

Beschreiben Sie die DBCluster Parameter

rds:DescribeDBClusterParameters

Cluster-Parametergruppe

arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name

rds:cluster-pg-tag

Beschreiben DBClusters

rds:DescribeDBClusters

Cluster

arn:aws:rds:region:account-id:cluster:db-cluster-instance-name

rds:cluster-tag

Beschreiben DBCluster SnapshotAttributes

rds:DescribeDBClusterSnapshotAttributes

Cluster-Snapshot

arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name

rds:cluster-snapshot-tag

Beschreiben Sie DBSubnet Gruppen

rds:DescribeDBSubnetGroups

Subnetzgruppe

arn:aws:rds:region:account-id:subgrp:subnet-group-name

rds:subgrp-tag

DescribePendingMaintenanceActions

rds:DescribePendingMaintenanceActions

Instance

arn:aws:rds:region:account-id:db:db-instance-name

rds:DatabaseClass

rds:db-tag

Failover DBCluster

rds:FailoverDBCluster

Cluster

arn:aws:rds:region:account-id:cluster:db-cluster-instance-name

rds:cluster-tag

ListTagsForResource

rds:ListTagsForResource

Instance

arn:aws:rds:region:account-id:db:db-instance-name

rds:db-tag

Subnetzgruppe

arn:aws:rds:region:account-id:subgrp:subnet-group-name

rds:subgrp-tag

Modifizieren SieDBCluster

rds:ModifyDBCluster

Cluster

arn:aws:rds:region:account-id:cluster:db-cluster-name

rds:cluster-tag

Cluster-Parametergruppe

arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name

rds:cluster-pg-tag

Modifizieren SieDBClusterParameterGroup

rds:ModifyDBClusterParameterGroup

Cluster-Parametergruppe

arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name

rds:cluster-pg-tag

Modifizieren SieDBClusterSnapshotAttribute

rds:ModifyDBClusterSnapshotAttribute

Cluster-Snapshot

arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name

rds:cluster-snapshot-tag

Modifizieren SieDBInstance

rds:ModifyDBInstance

Instance

arn:aws:rds:region:account-id:db:db-instance-name

rds:DatabaseClass

rds:db-tag

Starten Sie neu DBInstance

rds:RebootDBInstance

Instance

arn:aws:rds:region:account-id:db:db-instance-name

rds:db-tag

RemoveTagsFromResource

rds:RemoveTagsFromResource

Instance

arn:aws:rds:region:account-id:db:db-instance-name

rds:db-tag

Subnetzgruppe

arn:aws:rds:region:account-id:subgrp:subnet-group-name

rds:subgrp-tag

ZurücksetzenDBClusterParameterGroup

rds:ResetDBClusterParameterGroup

Cluster-Parametergruppe

arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name

rds:cluster-pg-tag

WiederherstellungDBClusterFromSnapshot

rds:RestoreDBClusterFromSnapshot

Cluster

arn:aws:rds:region:account-id:cluster:db-cluster-instance-name

rds:cluster-tag

Cluster-Snapshot

arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name

rds:cluster-snapshot-tag

WiederherstellungDBClusterToPointInTime

rds:RestoreDBClusterToPointInTime

Cluster

arn:aws:rds:region:account-id:cluster:db-cluster-instance-name

rds:cluster-tag

Subnetzgruppe

arn:aws:rds:region:account-id:subgrp:subnet-group-name

rds:subgrp-tag

Amazon DocumentDB DocumentDB-Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen

Sie können alle Amazon DocumentDB DocumentDB-Aktionen in einer IAM-Richtlinie verwenden, um Benutzern entweder die Erlaubnis zu erteilen oder zu verweigern, diese Aktion zu verwenden. Allerdings unterstützen nicht alle Amazon DocumentDB DocumentDB-Aktionen Berechtigungen auf Ressourcenebene, mit denen Sie angeben können, für welche Ressourcen eine Aktion ausgeführt werden kann. Die folgenden Amazon DocumentDB DocumentDB-API-Aktionen unterstützen derzeit keine Berechtigungen auf Ressourcenebene. Um diese Aktionen in einer IAM-Richtlinie verwenden zu können, müssen Sie den Benutzern daher die Erlaubnis erteilen, alle Ressourcen für die Aktion zu verwenden, indem Sie einen * Platzhalter für das Element in Ihrer Anweisung verwenden. Resource

rds:DescribeDBClusterSnapshots
rds:DescribeDBInstances

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

AWS verwaltete Richtlinien für Amazon DocumentDB

Authentifizierung mit IAM-Identität