Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwendung identitätsbasierter Richtlinien (IAM-Richtlinien) für Amazon ElastiCache
In diesem Thema finden Sie Beispiele für identitätsbasierte Richtlinien, in denen ein Kontoadministrator den IAM-Identitäten (Benutzer, Gruppen und Rollen) Berechtigungsrichtlinien anfügen kann.
Wichtig
Wir empfehlen Ihnen, zunächst die Themen zu lesen, in denen die grundlegenden Konzepte und Optionen zur Verwaltung des Zugriffs auf ElastiCache Amazon-Ressourcen erläutert werden. Weitere Informationen finden Sie unter Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre ElastiCache Ressourcen.
Dieses Thema besteht aus folgenden Abschnitten:
Im Folgenden finden Sie ein Beispiel für eine Berechtigungsrichtlinie bei der Verwendung von Redis OSS.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowClusterPermissions", "Effect": "Allow", "Action": [ "elasticache:CreateServerlessCache", "elasticache:CreateCacheCluster", "elasticache:DescribeServerlessCaches", "elasticache:DescribeReplicationGroups", "elasticache:DescribeCacheClusters", "elasticache:ModifyServerlessCache", "elasticache:ModifyReplicationGroup", "elasticache:ModifyCacheCluster" ], "Resource": "*" }, { "Sid": "AllowUserToPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::123456789012:role/EC2-roles-for-cluster" } ] }
Im Folgenden wird ein Beispiel für eine Berechtigungsrichtlinie bei der Verwendung von Memcached gezeigt.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowClusterPermissions", "Effect": "Allow", "Action": [ "elasticache:CreateServerlessCache", "elasticache:CreateCacheCluster", "elasticache:DescribeServerlessCaches", "elasticache:DescribeCacheClusters", "elasticache:ModifyServerlessCache", "elasticache:ModifyCacheCluster" ], "Resource": "*" }, { "Sid": "AllowUserToPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::123456789012:role/EC2-roles-for-cluster" } ] }
Die Richtlinie enthält zwei Anweisungen:
-
Die erste Anweisung erteilt Berechtigungen für die ElastiCache Amazon-Aktionen (
elasticache:Create*,elasticache:Describe*,elasticache:Modify*) -
Die zweite Anweisung erteilt Berechtigungen für die IAM-Aktion (
iam:PassRole) für den IAM-Rollennamen am Ende desResource-Wertes.
Das Element Principal ist in der Richtlinie nicht angegeben, da in identitätsbasierten Richtlinien die Angabe des Prinzipals als Empfänger der Berechtigung nicht erforderlich ist. Wenn Sie einem Benutzer eine Richtlinie zuweisen, ist der Benutzer automatisch der Prinzipal. Wird die Berechtigungsrichtlinie einer IAM-Rolle angefügt, erhält der in der Vertrauensrichtlinie der Rolle angegebene Prinzipal die Berechtigungen.
Eine Tabelle mit allen ElastiCache Amazon-API-Aktionen und den Ressourcen, für die sie gelten, finden Sie unterElastiCache API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen.
Beispiele für vom Kunden verwaltete Richtlinien
Wenn Sie keine Standardrichtlinie verwenden und eine benutzerdefinierte verwaltete Richtlinie verwenden möchten, stellen Sie eines sicher. Sie sollten entweder die Genehmigung zum Aufrufen von iam:createServiceLinkedRole haben (weitere Informationen finden Sie unter Beispiel 4: Erlauben Sie einem Benutzer, die IAM-API CreateServiceLinkedRole aufzurufen). Oder Sie hätten eine ElastiCache dienstbezogene Rolle erstellen sollen.
In Kombination mit den Mindestberechtigungen, die für die Nutzung der ElastiCache Amazon-Konsole erforderlich sind, gewähren die Beispielrichtlinien in diesem Abschnitt zusätzliche Berechtigungen. Die Beispiele sind auch relevant für die AWS SDKs und die AWS CLI.
Anweisungen zum Einrichten von IAM-Benutzern und -Gruppen finden Sie unter Erstellen Ihrer ersten IAM-Benutzer- und -Administratorengruppe im IAM-Benutzerhandbuch.
Wichtig
Testen Sie Ihre IAM-Richtlinien immer gründlich, bevor Sie sie in der Produktion verwenden. Einige ElastiCache Aktionen, die einfach erscheinen, können andere Aktionen erfordern, um sie zu unterstützen, wenn Sie die ElastiCache Konsole verwenden. Beispiel: elasticache:CreateCacheCluster erteilt Berechtigungen zum Erstellen von ElastiCache -Cache-Clustern. Um diesen Vorgang auszuführen, verwendet die ElastiCache Konsole jedoch eine Reihe von Describe List AND-Aktionen, um Konsolenlisten aufzufüllen.
Beispiele
Beispiel 1: Erlauben Sie einem Benutzer nur Lesezugriff auf Ressourcen ElastiCache
Die folgende Richtlinie gewährt ElastiCache Zugriffsaktionen, die es einem Benutzer ermöglichen, Ressourcen aufzulisten. Gewöhnlich ordnen Sie diese Art von Berechtigungsrichtlinie einer Gruppe von Managern zu.
{ "Version": "2012-10-17", "Statement":[{ "Sid": "ECReadOnly", "Effect":"Allow", "Action": [ "elasticache:Describe*", "elasticache:List*"], "Resource":"*" } ] }
Beispiel 2: Erlauben Sie einem Benutzer, allgemeine ElastiCache Systemadministratoraufgaben auszuführen
Zu den allgemeinen Aufgaben des Systemadministrators gehört das Ändern von Ressourcen. Ein Systemadministrator möchte vielleicht auch Informationen zu den ElastiCache -Ereignissen anfordern. Die folgende Richtlinie gewährt einem Benutzer die Berechtigung, ElastiCache Aktionen für diese allgemeinen Systemadministratoraufgaben auszuführen. Normalerweise ordnen Sie diese Art Berechtigungsrichtlinie der Systemadministratorengrupe zu.
{ "Version": "2012-10-17", "Statement":[{ "Sid": "ECAllowMutations", "Effect":"Allow", "Action":[ "elasticache:Modify*", "elasticache:Describe*", "elasticache:ResetCacheParameterGroup" ], "Resource":"*" } ] }
Beispiel 3: Erlauben Sie einem Benutzer den Zugriff auf alle ElastiCache API-Aktionen
Die folgende Richtlinie ermöglicht einem Benutzer den Zugriff auf alle ElastiCache Aktionen. Es wird empfohlen, diese Art von Berechtigungsrichtlinie nur einem Administratorbenutzer zu gewähren.
{ "Version": "2012-10-17", "Statement":[{ "Sid": "ECAllowAll", "Effect":"Allow", "Action":[ "elasticache:*" ], "Resource":"*" } ] }
Beispiel 4: Erlauben Sie einem Benutzer, die IAM-API CreateServiceLinkedRole aufzurufen
Die folgende Richtlinie ermöglicht dem Benutzer den Aufruf der IAM-CreateServiceLinkedRole-API. Wir empfehlen, dass Sie dem Benutzer, der ElastiCache mutative Operationen aufruft, diese Art von Berechtigungsrichtlinie gewähren.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"CreateSLRAllows", "Effect":"Allow", "Action":[ "iam:CreateServiceLinkedRole" ], "Resource":"*", "Condition":{ "StringLike":{ "iam:AWS ServiceName":"elasticache.amazonaws.com" } } } ] }
Beispiel 5: einem Benutzer erlauben, mithilfe der IAM-Authentifizierung eine Verbindung mit dem Serverless-Cache herzustellen
Die folgende Richtlinie ermöglicht es jedem Benutzer, mithilfe der IAM-Authentifizierung zwischen 01-04-2023 und 30-06-2023 eine Verbindung mit jedem beliebigen Serverless-Cache herzustellen.
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" : ["elasticache:Connect"], "Resource" : [ "arn:aws:elasticache:us-east-1:123456789012:serverlesscache:*" ], "Condition": { "DateGreaterThan": {"aws:CurrentTime": "2023-04-01T00:00:00Z"}, "DateLessThan": {"aws:CurrentTime": "2023-06-30T23:59:59Z"} } }, { "Effect" : "Allow", "Action" : ["elasticache:Connect"], "Resource" : [ "arn:aws:elasticache:us-east-1:123456789012:user:*" ] } ] }
