Gerenciar permissões de acesso aos recursos do Amazon DocumentDB - Amazon DocumentDB
Recursos e operações do Amazon DocumentDBInformações sobre propriedade de recursosGerenciamento de acesso aos recursosEspecificar elementos da política: ações, efeitos, recursos e entidades principaisEspecificar condições em uma política

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciar permissões de acesso aos recursos do Amazon DocumentDB

Cada AWS recurso é de propriedade de um Conta da AWS, e as permissões para criar ou acessar os recursos são regidas por políticas de permissões. Um administrador da conta pode anexar políticas de permissões às identidades do IAM (ou seja, usuários, grupos e funções), e alguns serviços (como AWS Lambda) também oferecem suporte para anexar políticas de permissões aos recursos.

nota

O administrador de uma conta (ou o usuário administrador) é um usuário com permissões de administrador. Para obter mais informações, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.

Recursos e operações do Amazon DocumentDB

No Amazon DocumentDB, o principal recurso é um cluster. O Amazon DocumentDB oferece suporte a outros recursos que podem ser usados com o recurso principal, como instâncias, grupos de parâmetros, e assinaturas de eventos. Esses recursos são chamados de sub-recursos.

Esses recursos e sub-recursos têm nomes de recursos da Amazon (ARNs) exclusivos associados a eles, conforme mostrado na tabela a seguir.

Tipo de recurso Formato de Nome de região da Amazon (ARN)

Cluster

arn:aws:rds:region:account-id:cluster:db-cluster-name

Grupo de parâmetros do cluster

arn:aws:rds:region:account-id:cluster-pg:cluster-parameter-group-name

Snapshot de cluster

arn:aws:rds:region:account-id:cluster-snapshot:cluster-snapshot-name

Instância

arn:aws:rds:region:account-id:db:db-instance-name

Grupo de segurança

arn:aws:rds:region:account-id:secgrp:security-group-name

Grupo de sub-redes

arn:aws:rds:region:account-id:subgrp:subnet-group-name

O Amazon DocumentDB fornece um conjunto de operações para trabalhar com recursos do Amazon DocumentDB. Para obter uma lista das operações disponíveis, consulte Ações.

Informações sobre propriedade de recursos

O proprietário de um recurso é Conta da AWS aquele que criou um recurso. Ou seja, o proprietário Conta da AWS do recurso é a entidade principal (a conta raiz, um usuário do IAM ou uma função do IAM) que autentica a solicitação que cria o recurso. Os seguintes exemplos mostram como isso funciona:

  • Se você usar as credenciais da sua conta raiz Conta da AWS para criar um recurso do Amazon DocumentDB, como uma instância, você é Conta da AWS o proprietário do recurso Amazon DocumentDB.

  • Se você criar um usuário do IAM em seu Conta da AWS e conceder permissões para criar recursos do Amazon DocumentDB para esse usuário, o usuário poderá criar recursos do Amazon DocumentDB. No entanto, você Conta da AWS, ao qual o usuário pertence, possui os recursos do Amazon DocumentDB.

  • Se você criar uma função do IAM Conta da AWS com permissões para criar recursos do Amazon DocumentDB, qualquer pessoa que possa assumir a função poderá criar recursos do Amazon DocumentDB. Você Conta da AWS, ao qual a função pertence, possui os recursos do Amazon DocumentDB.

Gerenciamento de acesso aos recursos

Uma política de permissões descreve quem tem acesso a quê. A seção a seguir explica as opções disponíveis para a criação das políticas de permissões.

nota

Esta seção discute o uso do IAM no contexto do Amazon DocumentDB. Não são fornecidas informações detalhadas sobre o serviço IAM. Para obter a documentação completa do IAM, consulte O que é o IAM? no Guia do usuário do IAM. Para obter mais informações sobre a sintaxe e as descrições da política do IAM, consulte a AWSIAM Referência de política do Guia do usuário do IAM.

As políticas anexadas a uma identidade do IAM são chamadas de políticas baseadas em identidade (políticas do IAM). As políticas anexadas a um recurso são chamadas de políticas baseadas em recursos. O Amazon DocumentDB oferece suporte apenas a políticas baseadas em identidade (políticas do IAM).

Políticas baseadas em identidade (políticas do IAM)

Você pode anexar políticas a identidades do IAM. Por exemplo, você pode fazer o seguinte:

  • Anexar uma política de permissões a um usuário ou a um grupo em sua conta – um administrador da conta pode usar uma política de permissões associada a um determinado usuário a fim de conceder permissões para que o usuário crie um recurso do Amazon DocumentDB, como uma instância.

  • Anexar uma política de permissões a uma função: você pode anexar uma política de permissões baseada em identidade a um perfil do IAM para conceder permissões entre contas. Por exemplo, um administrador pode criar uma função para conceder permissões entre contas a outra pessoa Conta da AWS ou a um AWS serviço da seguinte forma:

    1. Um administrador da Conta A cria uma função do IAM e anexa uma política de permissões à função que concede permissões em recursos da Conta A.

    2. Um administrador da Conta A anexa uma política de confiança à função identificando a Conta B como a entidade principal, que pode assumir a função.

    3. O administrador da Conta B pode então delegar permissões para assumir a função a qualquer usuário na Conta B. Isso permite que os usuários da Conta B criem ou acessem recursos na Conta A. O principal na política de confiança também pode ser um diretor de AWS serviço se você quiser conceder permissões a um AWS serviço para assumir a função.

    Para obter mais informações sobre o uso do IAM para delegar permissões, consulte Gerenciamento de acesso no Guia do usuário do IAM.

Veja a seguir um exemplo de política que permite ao usuário com o ID 123456789012 para criar instâncias para o seu Conta da AWS. A nova instância deve usar um grupo de opções e um parameter group que começa com default e deve usar o grupo de sub-redes default.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCreateDBInstanceOnly",
            "Effect": "Allow",
            "Action": [
                "rds:CreateDBInstance"
            ],
            "Resource": [
                "arn:aws:rds:*:123456789012:db:test*",
                "arn:aws:rds:*:123456789012:pg:cluster-pg:default*",
                "arn:aws:rds:*:123456789012:subgrp:default"
            ]
        }
    ]
}

Para obter mais informações sobre o uso de políticas baseadas em identidade com o Amazon DocumentDB, consulte Usar políticas baseadas em identidade (políticas do IAM) para o Amazon DocumentDB. Para obter mais informações sobre usuários, grupos, funções e permissões, consulte Identidades (usuários, grupos e funções) no Guia do usuário do IAM.

Políticas baseadas em recursos

Outros serviços, como o Amazon Simple Storage Service (Amazon S3), são compatíveis com políticas de permissões baseadas em recursos. Por exemplo, você pode anexar uma política a um bucket do Amazon S3 para gerenciar permissões de acesso a esse bucket. O Amazon DocumentDB não oferece suporte a políticas baseadas em recursos.

Especificar elementos da política: ações, efeitos, recursos e entidades principais

Para cada recurso do Amazon DocumentDB, (consulte Recursos e operações do Amazon DocumentDB), o serviço define um conjunto de operações da API. Para obter mais informações, consulte Ações. Para conceder permissões para essas operações de API, o Amazon DocumentDB define um conjunto de ações que você pode especificar em uma política. A execução de uma operação de API pode exigir permissões para mais de uma ação.

Estes são os elementos de política básicos:

  • Recurso: em uma política, você usa um Amazon Resource Name (ARN – Nome de recurso da Amazon) para identificar o recurso a que a política se aplica.

  • Ação: você usa palavras-chave de ação para identificar operações de recursos que deseja permitir ou negar. Por exemplo, a permissão rds:DescribeDBInstances permite que o usuário execute a operação DescribeDBInstances.

  • Efeito: você especifica o efeito quando o usuário solicita a ação específica, que pode ser permitir ou negar. Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar explicitamente o acesso a um recurso, para ter certeza de que um usuário não consiga acessá-lo, mesmo que uma política diferente conceda acesso.

  • Entidade principal: em políticas baseadas em identidade (políticas do IAM), o usuário ao qual a política é anexada é a entidade principal implícita. Para as políticas baseadas em recursos, você especifica quais usuários, contas, serviços ou outras entidades deseja que recebam permissões (isso se aplica somente a políticas baseadas em recursos). O Amazon DocumentDB não oferece suporte a políticas baseadas em recursos.

Para saber mais sobre a sintaxe e as descrições da política do IAM, consulte a Referência de política do AWS IAM no Guia do usuário do IAM.

Para obter uma tabela que mostra todas as ações da API do Amazon DocumentDB e os recursos aos quais se aplicam, consulte Permissões da API do Amazon DocumentDB: referência de ações, recursos e condições.

Especificar condições em uma política

Ao conceder permissões, você pode usar a linguagem da política do IAM para especificar as condições de quando uma política deverá entrar em vigor. Por exemplo, é recomendável aplicar uma política somente após uma data específica. Para obter mais informações sobre como especificar condições em uma linguagem de política, consulte Condition no Guia do usuário do IAM.

Para expressar condições, você usa chaves de condição predefinidas. O Amazon DocumentDB não tem chaves de contexto de serviço específicas que possam ser usadas em uma política do IAM;. Para obter uma lista das chaves de contexto de condição global que estão disponíveis para todos os serviços, consulte Chaves disponíveis para condições no Guia do usuário do IAM.