Amazon Web Services IAM ポリシー
- Cloud Managerへのプログラムによるアクセスのための OAuth 2.0認証はプレビュー機能として利用できます。
- 機能および関連するドキュメントは、プレビュー期間中にいつでも変更される可能性があります。 OAuth2.0 認証を使用するには、 Cloud Manager Public APIへのリクエストで使用する サービス アカウント を作成します。
Overview
Cloud ManagerMongoDBがAmazon Web Services インフラストラクチャに インスタンスを配置および管理する場合、Cloud Manager Amazon Web Servicesはユーザーのアクセスキーを使用して にアクセスします。キーに関連付けられたユーザーには、次の権限を持つ付属の IAM ポリシーが必要です。 ポリシーのアタッチの詳細については、「サーバーのプロビジョニング 」を参照してください。
Amazon Web ServicesIAM ポリシーの概要については、Amazon の IAM ポリシー ドキュメント を参照してください 。
サンプル ポリシー
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["iam:*AccessKey*", "iam:GetUser"], "Resource": ["*"] }, { "Effect": "Allow", "Action": [ "ec2:AttachVolume", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateKeyPair", "ec2:CreateSecurityGroup", "ec2:CreateTags", "ec2:CreateVolume", "ec2:DeleteKeyPair", "ec2:DeleteSecurityGroup", "ec2:DeleteTags", "ec2:DeleteVolume", "ec2:DescribeAccountAttributes", "ec2:DescribeAvailabilityZones", "ec2:DescribeInstanceAttribute", "ec2:DescribeInstanceStatus", "ec2:DescribeInstances", "ec2:DescribeKeyPairs", "ec2:DescribeRegions", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeTags", "ec2:DescribeVpcs", "ec2:DescribeVpcAttribute", "ec2:DescribeVolumeStatus", "ec2:DescribeVolumes", "ec2:DescribeVolumeAttribute", "ec2:ImportKeyPair", "ec2:RunInstances", "ec2:StartInstances", "ec2:StopInstances", "ec2:RebootInstances", "ec2:TerminateInstances" ], "Resource": [ "*" ] } ] }
ポリシー設定
次の表は、各設定が必要な理由を説明しています。 Cloud Manager は、Cloud Manager がカスタマー用に作成するリソースに対する CRUD アクションに対してのみカスタマーから提供された権限を使用します。 さらに、Cloud Manager は、カスタマーが選択したリソース(VPC、サブネットなど)と接続されたリソース(ネットワーク ACL、ルートテーブルなど)に対して Readアクションのみを実行します。
設定 | Cloud Manager で次のことが可能になります。 |
|---|---|
取得 | プロビジョニングされたサーバーに EBS ボリュームを追加します。 |
EC2:AuthorizeSecurityGroupIngress | 有効なネットワーク状態を確保するために Cloud Manager が必要とするセキュリティ グループ ルールを管理します。 |
EC2:CreateKeyPar | マシンに SSH をプロビジョニングします。 |
EC2:CreateSecurityGroup | プロビジョニング ウィザードでセキュリティ グループを自動生成する。 |
ec2:CreateTags | EC2 インスタンスにタグを付けます。 |
ec2:CreateVolume | EBS ボリュームを作成します。 |
ec2:DeleteKeyPair | Cloud Manager が作成したキー ペアを削除します。 |
EC2:DeleteSecurityGroup | Cloud Manager が作成したセキュリティ グループを削除します。 |
EC2:DeleteTags | Cloud Manager が作成したタグを削除します。 |
EC2:DeleteDouble | Cloud Manager が作成したリソースを削除します。 |
EC2:DescribeAccountAttributes | Amazon Web Servicesアカウントが EC2-Classic にアクセスできるかどうかを判断します。 |
EC2:DescribeAvalabilityZones | ユーザーが新しいサーバーをプロビジョニングするときに選択できるアベイラビリティーゾーンを表示。 |
EC2:DescribeInstanceAttribute | EC2 インスタンスのアクセス属性。 |
EC2:DescribeInstanceStatus | EC2 インスタンスのステータスにアクセスします。 |
EC2:DescribeInstances | 利用可能な EC2 インスタンスにアクセスします。 |
EC2:DescribeKeyParts | Cloud Manager が作成したキー ペアを検証します。 |
EC2:DescribeRegions | ユーザーが新しいサーバーをプロビジョニングするときに選択できるリージョンを表示します。 |
EC2:DescribeSecurityGroups | ユーザーが新しいサーバーをプロビジョニングするときに選択できるセキュリティ グループを表示します。 |
EC2:DescribeSubnets | ユーザーが新しいサーバーをプロビジョニングするときに選択できるサブネットを表示します。 |
EC2:DescribeTags | Cloud Manager に関連付けられているインスタンスのタグを一覧表示します。 |
EC2:DescribeVpc | ユーザーが新しいサーバーをプロビジョニングするときに選択できる VPC の表示。 |
EC2:DescribeVpcAttribute | VPC 属性にアクセスします。 |
EC2:Describe VolumeStatus | 接続されたボリュームまたはデタッチされたボリュームの準備状況を検証します。 |
EC2:Describe Volumes | MongoDB サーバーに正しいボリュームが接続されていることを確認します。 |
EC2:Describe VolumeAttribute | EBS ボリュームに関するアクセス情報。 |
EC2:ImportKeyPar | キーペアを EC2 インスタンスに関連付けます。 |
EC2:RunInstances | EC2 インスタンスを実行します。 |
EC2:StartInstances | EC2 インスタンスを起動します。 |
EC2:StopInstances | EC2 インスタンスを停止します。 |
EC2:RebootInstances | EC2 インスタンスを再起動します。 |
EC2:ExampleInstances | EC2 インスタンスを終了します。 |