Política AWS IAM
- A autenticação OAuth 2.0 para acesso programático ao Cloud Manager está disponível como um recurso de visualização.
- O recurso e a documentação correspondente podem mudar a qualquer momento durante o período de Pré-visualização. Para usar a 2.0 autenticação OAuth, crie uma conta de serviço para usar em suas solicitações para a API pública do Cloud Manager .
Visão geral
Quando o Cloud Manager implementa e gerencia instâncias do MongoDB na infraestrutura da AWS, o Cloud Manager acessa a AWS por meio das chaves de acesso de um usuário. O usuário associado às chaves deve ter uma política IAM anexada com as seguintes permissões. Para obter informações sobre como anexar a política, consulte Servidores de provisionamento.
Para obter uma visão geral das Amazon Web Services políticas do IAM,Amazon consulte a documentação de política do IAM da{ 3}.
Exemplo de política
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["iam:*AccessKey*", "iam:GetUser"], "Resource": ["*"] }, { "Effect": "Allow", "Action": [ "ec2:AttachVolume", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateKeyPair", "ec2:CreateSecurityGroup", "ec2:CreateTags", "ec2:CreateVolume", "ec2:DeleteKeyPair", "ec2:DeleteSecurityGroup", "ec2:DeleteTags", "ec2:DeleteVolume", "ec2:DescribeAccountAttributes", "ec2:DescribeAvailabilityZones", "ec2:DescribeInstanceAttribute", "ec2:DescribeInstanceStatus", "ec2:DescribeInstances", "ec2:DescribeKeyPairs", "ec2:DescribeRegions", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeTags", "ec2:DescribeVpcs", "ec2:DescribeVpcAttribute", "ec2:DescribeVolumeStatus", "ec2:DescribeVolumes", "ec2:DescribeVolumeAttribute", "ec2:ImportKeyPair", "ec2:RunInstances", "ec2:StartInstances", "ec2:StopInstances", "ec2:RebootInstances", "ec2:TerminateInstances" ], "Resource": [ "*" ] } ] }
Configurações da política
A tabela a seguir explica por que cada configuração é necessária. O Cloud Manager usa as permissões fornecidas pelo cliente apenas para ações CRUD nos recursos que o Cloud Manager cria para o cliente. Além disso, o Cloud Manager executa apenas ações Read
para os recursos selecionados pelo cliente (VPC, sub-rede etc.) e para os recursos conectados (ACL de rede, tabela de roteamento etc.).
Contexto | Permite que o Cloud Manager: |
---|---|
EC2:AttachVolume | Adicione um volume EBS a um servidor provisionado. |
EC2:AuthorizeSecurityGroupIngress | Gerencie as regras do grupo de segurança que o Cloud Manager precisa para garantir um estado de rede válido. |
EC2:CreateKeyPair | SSH em uma máquina para provisioná-la. |
EC2:CreateSecurityGroup | Gere grupos de segurança automaticamente no assistente de provisionamento. |
ec2:CreateTags | Marque as instâncias do EC2. |
EC2:CriarVolume | Crie os volumes do EBS. |
EC2:DeleteKeyPair | Remova o par de chaves criado pelo Cloud Manager. |
EC2:DeleteSecurityGroup | Remova o grupo de segurança criado pelo Cloud Manager. |
EC2:DeleteTags | Remova as tags criadas pelo Cloud Manager. |
EC2:DeleteVolume | Remove os recursos criados pelo Cloud Manager. |
EC2:DescreverAttributes de conta | Determine se a conta Amazon Web Services tem acesso ao EC2-Classic. |
EC2:Descreverzonas de disponibilidade | Exiba as zonas de disponibilidade que os usuários podem selecionar ao provisionar novos servidores. |
EC2:DescribeInstanceAttribute | Acesse os atributos de uma instância do EC2. |
EC2:DescribeInstanceStatus | Acesse o status de uma instância do EC2. |
EC2:Descreverinstâncias | Acesse as instâncias EC2 disponíveis. |
EC2:DescribeKeyPairs | Valide o par de chaves que o Cloud Manager criou. |
EC2:DescribeRegions | Exiba as regiões que os usuários podem selecionar ao provisionar novos servidores. |
EC2:DescribeSecurityGroups | Exiba os grupos de segurança que os usuários podem selecionar ao provisionar novos servidores. |
ec2:DescribeSubnets | Exiba as sub-redes que os usuários podem selecionar ao provisionar novos servidores. |
ec2:DescreverEtiquetas | Listar tags para instâncias associadas ao Cloud Manager. |
EC2:DescreverVpcs | Exiba os VPC que podem selecionar ao provisionar novo servidor. |
EC2:DescreverVpcAttribute | Acesse os atributos da VPC. |
ec2:DescribeVolumeStatus | Valide a disponibilidade de um volume anexado ou desanexado. |
ec2:DescribeVolumes | Certifique-se de que seu servidor MongoDB tenha os volumes corretos anexados. |
EC2:DescribeVolumeAttribute | Acesse informações sobre volumes do EBS. |
EC2:ImportKeyPair | Associe um par de chaves a uma instância do EC2. |
EC2:RunInstances | Execute a instância do EC2. |
ec2:StartInstances | Inicie a instância do EC2. |
ec2:StopInstances | Pare a instância do EC2. |
ec2:RebootInstances | Reinicie a instância do EC2. |
EC2:TerminateInstances | Encerre a instância do EC2. |