Verwendung identitätsbasierter Richtlinien (IAMRichtlinien) für Amazon ElastiCache - Amazon ElastiCache

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung identitätsbasierter Richtlinien (IAMRichtlinien) für Amazon ElastiCache

Dieses Thema enthält Beispiele für identitätsbasierte Richtlinien, mit denen ein Kontoadministrator Berechtigungsrichtlinien an IAM Identitäten (d. h. Benutzern, Gruppen und Rollen) anhängen kann.

Wichtig

Wir empfehlen Ihnen, zunächst die Themen zu lesen, in denen die grundlegenden Konzepte und Optionen zur Verwaltung des Zugriffs auf ElastiCache Amazon-Ressourcen erläutert werden. Weitere Informationen finden Sie unter Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre ElastiCache Ressourcen.

Dieses Thema besteht aus folgenden Abschnitten:

Im Folgenden finden Sie ein Beispiel für eine Berechtigungsrichtlinie bei der Verwendung von RedisOSS.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowClusterPermissions", "Effect": "Allow", "Action": [ "elasticache:CreateServerlessCache", "elasticache:CreateCacheCluster", "elasticache:DescribeServerlessCaches", "elasticache:DescribeReplicationGroups", "elasticache:DescribeCacheClusters", "elasticache:ModifyServerlessCache", "elasticache:ModifyReplicationGroup", "elasticache:ModifyCacheCluster" ], "Resource": "*" }, { "Sid": "AllowUserToPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::123456789012:role/EC2-roles-for-cluster" } ] }

Im Folgenden wird ein Beispiel für eine Berechtigungsrichtlinie bei der Verwendung von Memcached gezeigt.

{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowClusterPermissions", "Effect": "Allow", "Action": [ "elasticache:CreateServerlessCache", "elasticache:CreateCacheCluster", "elasticache:DescribeServerlessCaches", "elasticache:DescribeCacheClusters", "elasticache:ModifyServerlessCache", "elasticache:ModifyCacheCluster" ], "Resource": "*" }, { "Sid": "AllowUserToPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::123456789012:role/EC2-roles-for-cluster" } ] }

Die Richtlinie enthält zwei Anweisungen:

  • Die erste Anweisung erteilt Berechtigungen für die ElastiCache Amazon-Aktionen (elasticache:Create*,elasticache:Describe*,elasticache:Modify*)

  • Die zweite Anweisung erteilt Berechtigungen für die IAM Aktion (iam:PassRole) für den IAM Rollennamen, der am Ende des Resource Werts angegeben ist.

Das Element Principal ist in der Richtlinie nicht angegeben, da in identitätsbasierten Richtlinien die Angabe des Prinzipals als Empfänger der Berechtigung nicht erforderlich ist. Wenn Sie einem Benutzer eine Richtlinie zuweisen, ist der Benutzer automatisch der Prinzipal. Wenn Sie einer IAM Rolle eine Berechtigungsrichtlinie zuordnen, erhält der in der Vertrauensrichtlinie der Rolle angegebene Prinzipal die Berechtigungen.

Eine Tabelle mit allen ElastiCache API Amazon-Aktionen und den Ressourcen, für die sie gelten, finden Sie unterElastiCache APIBerechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen.

Beispiele für vom Kunden verwaltete Richtlinien

Wenn Sie keine Standardrichtlinie verwenden und eine benutzerdefinierte verwaltete Richtlinie verwenden möchten, stellen Sie eines sicher. Sie sollten entweder die Genehmigung zum Aufrufen von iam:createServiceLinkedRole haben (weitere Informationen finden Sie unter Beispiel 4: Erlauben Sie einem Benutzer, anzurufen IAM CreateServiceLinkedRole API). Oder Sie hätten eine ElastiCache servicebezogene Rolle erstellen sollen.

In Kombination mit den Mindestberechtigungen, die für die Nutzung der ElastiCache Amazon-Konsole erforderlich sind, gewähren die Beispielrichtlinien in diesem Abschnitt zusätzliche Berechtigungen. Die Beispiele sind auch relevant für die AWS SDKs und die AWS CLI.

Anweisungen zum Einrichten von IAM Benutzern und Gruppen finden Sie im Benutzerhandbuch unter Erstellen Ihrer ersten IAM Benutzer- und Administratorgruppe. IAM

Wichtig

Testen Sie Ihre IAM Richtlinien immer gründlich, bevor Sie sie in der Produktion verwenden. Einige ElastiCache Aktionen, die einfach erscheinen, können andere Aktionen erfordern, um sie zu unterstützen, wenn Sie die ElastiCache Konsole verwenden. elasticache:CreateCacheClusterGewährt beispielsweise Berechtigungen zum Erstellen von ElastiCache Cache-Clustern. Um diesen Vorgang auszuführen, verwendet die ElastiCache Konsole jedoch eine Reihe von Describe List AND-Aktionen, um Konsolenlisten aufzufüllen.

Beispiel 1: Erlauben Sie einem Benutzer nur Lesezugriff auf Ressourcen ElastiCache

Die folgende Richtlinie gewährt ElastiCache Zugriffsaktionen, die es einem Benutzer ermöglichen, Ressourcen aufzulisten. Gewöhnlich ordnen Sie diese Art von Berechtigungsrichtlinie einer Gruppe von Managern zu.

{ "Version": "2012-10-17", "Statement":[{ "Sid": "ECReadOnly", "Effect":"Allow", "Action": [ "elasticache:Describe*", "elasticache:List*"], "Resource":"*" } ] }

Beispiel 2: Erlauben Sie einem Benutzer, allgemeine ElastiCache Systemadministratoraufgaben auszuführen

Zu den allgemeinen Aufgaben des Systemadministrators gehört das Ändern von Ressourcen. Ein Systemadministrator möchte möglicherweise auch Informationen über die ElastiCache Ereignisse erhalten. Die folgende Richtlinie gewährt einem Benutzer die Berechtigung, ElastiCache Aktionen für diese allgemeinen Systemadministratoraufgaben auszuführen. Normalerweise ordnen Sie diese Art Berechtigungsrichtlinie der Systemadministratorengrupe zu.

{ "Version": "2012-10-17", "Statement":[{ "Sid": "ECAllowMutations", "Effect":"Allow", "Action":[ "elasticache:Modify*", "elasticache:Describe*", "elasticache:ResetCacheParameterGroup" ], "Resource":"*" } ] }

Beispiel 3: Erlauben Sie einem Benutzer den Zugriff auf alle ElastiCache API Aktionen

Die folgende Richtlinie ermöglicht einem Benutzer den Zugriff auf alle ElastiCache Aktionen. Es wird empfohlen, diese Art von Berechtigungsrichtlinie nur einem Administratorbenutzer zu gewähren.

{ "Version": "2012-10-17", "Statement":[{ "Sid": "ECAllowAll", "Effect":"Allow", "Action":[ "elasticache:*" ], "Resource":"*" } ] }

Beispiel 4: Erlauben Sie einem Benutzer, anzurufen IAM CreateServiceLinkedRole API

Die folgende Richtlinie ermöglicht es dem Benutzer, die anzurufen IAM CreateServiceLinkedRoleAPI. Wir empfehlen, dass Sie dem Benutzer, der mutative ElastiCache Operationen aufruft, diese Art von Berechtigungsrichtlinie gewähren.

{ "Version":"2012-10-17", "Statement":[ { "Sid":"CreateSLRAllows", "Effect":"Allow", "Action":[ "iam:CreateServiceLinkedRole" ], "Resource":"*", "Condition":{ "StringLike":{ "iam:AWS ServiceName":"elasticache.amazonaws.com" } } } ] }

Beispiel 5: Erlauben Sie einem Benutzer, mithilfe von Authentifizierung eine Verbindung zum serverlosen Cache herzustellen IAM

Die folgende Richtlinie ermöglicht es jedem Benutzer, zwischen 2023-04-01 und 2023-06-30 mithilfe der IAM Authentifizierung eine Verbindung zu einem beliebigen serverlosen Cache herzustellen.

{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" : ["elasticache:Connect"], "Resource" : [ "arn:aws:elasticache:us-east-1:123456789012:serverlesscache:*" ], "Condition": { "DateGreaterThan": {"aws:CurrentTime": "2023-04-01T00:00:00Z"}, "DateLessThan": {"aws:CurrentTime": "2023-06-30T23:59:59Z"} } }, { "Effect" : "Allow", "Action" : ["elasticache:Connect"], "Resource" : [ "arn:aws:elasticache:us-east-1:123456789012:user:*" ] } ] }