AWS IAM 策略
Overview
当Cloud Manager MongoDB在 基础架构上部署和管理Amazon Web Services 实例时,Cloud Manager Amazon Web Services通过用户的访问权限密钥来访问 。与密钥关联的用户必须附加具有以下权限的 IAM 策略。 有关附加策略的信息,请参阅配置服务器。
有关Amazon Web Services IAM 策略的概述,请参阅Amazon 的 IAM 策略文档 。
策略示例
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["iam:*AccessKey*", "iam:GetUser"], "Resource": ["*"] }, { "Effect": "Allow", "Action": [ "ec2:AttachVolume", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateKeyPair", "ec2:CreateSecurityGroup", "ec2:CreateTags", "ec2:CreateVolume", "ec2:DeleteKeyPair", "ec2:DeleteSecurityGroup", "ec2:DeleteTags", "ec2:DeleteVolume", "ec2:DescribeAccountAttributes", "ec2:DescribeAvailabilityZones", "ec2:DescribeInstanceAttribute", "ec2:DescribeInstanceStatus", "ec2:DescribeInstances", "ec2:DescribeKeyPairs", "ec2:DescribeRegions", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeTags", "ec2:DescribeVpcs", "ec2:DescribeVpcAttribute", "ec2:DescribeVolumeStatus", "ec2:DescribeVolumes", "ec2:DescribeVolumeAttribute", "ec2:ImportKeyPair", "ec2:RunInstances", "ec2:StartInstances", "ec2:StopInstances", "ec2:RebootInstances", "ec2:TerminateInstances" ], "Resource": [ "*" ] } ] }
策略设置
下表解释了为什么需要每项设置。 Cloud Manager 仅使用客户提供的权限对 Cloud Manager 为客户创建的资源执行 CRUD 操作。此外,Cloud Manager 仅对客户选择的资源(VPC、子网等)和连接的资源(网络 ACL、路由表等)执行 Read操作。
设置 | 支持 Cloud Manager: |
|---|---|
ec2:AttachVolume | 将 EBS 卷添加到预配的服务器。 |
ec2:AuthorizeSecurityGroupIngress | 管理 Cloud Manager 确保有效网络状态所需的安全组规则。 |
ec2:CreateKeyPair | 通过 SSH 连接到计算机以进行预配。 |
ec2:CreateSecurityGroup | 在预配向导中自动生成安全群组。 |
ec2:CreateTags | 标记 EC2 实例。 |
ec2:CreateVolume | 创建 EBS 卷。 |
ec2:DeleteKeyPair | 删除 Cloud Manager 创建的密钥对。 |
ec2:DeleteSecurityGroup | 删除 Cloud Manager 创建的安全群组。 |
ec2:DeleteTags | 删除 Cloud Manager 创建的标签。 |
ec2:DeleteVolume | 删除 Cloud Manager 创建的资源。 |
ec2:DescribeAccountAttributes | 确定 Amazon Web Services 账户是否有权访问 EC2-Classic。 |
ec2:DescribeAvailabilityZones | 显示用户在预配新服务器时可以选择的可用区。 |
ec2:DescribeInstanceAttribute | EC2 实例的访问属性。 |
ec2:DescribeInstanceStatus | 访问 EC2 实例的状态。 |
ec2:DescribeInstances | 访问可用的 EC2 实例。 |
ec2:DescribeKeyPairs | 验证 Cloud Manager 创建的密钥对。 |
ec2:DescribeRegions | 显示用户在预配新服务器时可以选择的地区。 |
ec2:DescribeSecurityGroups | 显示用户在预配新服务器时可以选择的安全群组。 |
ec2:DescribeSubnets | 显示用户在预配新服务器时可以选择的子网。 |
ec2:DescribeTags | 列出与 Cloud Manager 关联的实例的标签。 |
ec2:DescribeVpcs | 显示用户在预配新服务器时可以选择的 VPC。 |
ec2:DescribeVpcAttribute | 访问 VPC 属性。 |
ec2:DescribeVolumeStatus | 验证附加或分离的卷的准备情况。 |
ec2:DescribeVolumes | 确保 MongoDB 服务器连接了正确的卷。 |
ec2:DescribeVolumeAttribute | 访问有关 EBS 卷的信息。 |
ec2:ImportKeyPair | 将密钥对与 EC2 实例关联。 |
ec2:RunInstances | 运行 EC2 实例。 |
ec2:StartInstances | 启动 EC2 实例。 |
ec2:StopInstances | 停止 EC2 实例。 |
ec2:RebootInstances | 重新启动 EC2 实例。 |
ec2:TerminateInstances | 终止 EC2 实例。 |