Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre ElastiCache Ressourcen

Jede AWS Ressource gehört einem AWS Konto, und die Berechtigungen zum Erstellen oder Zugreifen auf eine Ressource werden durch Berechtigungsrichtlinien geregelt. Ein Kontoadministrator kann Berechtigungsrichtlinien an IAM-Identitäten (Benutzer, Gruppen und Rollen) anfügen. Darüber hinaus unterstützt Amazon ElastiCache auch das Anhängen von Berechtigungsrichtlinien an Ressourcen.

Anmerkung

Ein Kontoadministrator (oder Administratorbenutzer) ist ein Benutzer mit Administratorrechten. Weitere Informationen finden Sie unter Bewährte Methoden für IAM im IAM-Benutzerhandbuch.

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

• Benutzer und Gruppen in AWS IAM Identity Center:

  Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center -Benutzerhandbuch.

• Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:

  Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen im IAM-Benutzerhandbuch.

• IAM-Benutzer:

  • Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter Eine Rolle für einen IAM-Benutzer erstellen im IAM-Benutzerhandbuch.

  • (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter Hinzufügen von Berechtigungen zu einem Benutzer (Konsole) im IAM-Benutzerhandbuch.

Themen

• ElastiCache Ressourcen und Abläufe von Amazon

• Grundlegendes zum Eigentum an Ressourcen

• Verwaltung des Zugriffs auf -Ressourcen

• AWS verwaltete Richtlinien für Amazon ElastiCache

• Verwendung identitätsbasierter Richtlinien (IAM-Richtlinien) für Amazon ElastiCache

• Berechtigungen auf Ressourcenebene

• Verwenden von Bedingungsschlüssel

• Verwenden von serviceverknüpften Rollen für Amazon ElastiCache

• ElastiCache API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen

ElastiCache Ressourcen und Abläufe von Amazon

Eine Liste der ElastiCache Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter Von Amazon definierte Ressourcen ElastiCache in der Service Authorization Reference. Informationen darüber, mit welchen Aktionen Sie den ARN jeder Ressource angeben können, finden Sie unter Von Amazon definierte Aktionen ElastiCache.

Grundlegendes zum Eigentum an Ressourcen

Ein Ressourcenbesitzer ist das AWS Konto, das die Ressource erstellt hat. Das heißt, der Ressourcenbesitzer ist das AWS Konto der Prinzipalentität, die die Anforderung authentifiziert, mit der die Ressource erstellt wird. Eine Haupt-Entität kann das Stammkonto, ein IAM-Benutzer oder eine IAM-Rolle sein. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:

• Angenommen, Sie verwenden die Root-Kontoanmeldeinformationen Ihres AWS Kontos, um einen Cache-Cluster zu erstellen. In diesem Fall ist Ihr AWS Konto der Eigentümer der Ressource. In ElastiCache ist die Ressource der Cache-Cluster.

• Nehmen wir an, Sie erstellen einen IAM-Benutzer in Ihrem AWS Konto und gewähren diesem Benutzer Berechtigungen zum Erstellen eines Cache-Clusters. In diesem Fall kann der Benutzer einen Cache-Cluster erstellen. Ihr AWS Konto, zu dem der Benutzer gehört, besitzt jedoch die Cache-Cluster-Ressource.

• Angenommen, Sie erstellen in Ihrem AWS Konto eine IAM-Rolle mit Berechtigungen zum Erstellen eines Cache-Clusters. In diesem Fall kann jeder, der die Rolle übernehmen kann, einen Cache-Cluster erstellen. Ihr AWS Konto, zu dem die Rolle gehört, besitzt die Cache-Cluster-Ressource.

Verwaltung des Zugriffs auf -Ressourcen

Eine Berechtigungsrichtlinie beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werden die verfügbaren Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.

Anmerkung

In diesem Abschnitt wird die Verwendung von IAM im Kontext von Amazon ElastiCache beschrieben. Er enthält keine detaillierten Informationen über den IAM-Service. Eine umfassende IAM-Dokumentation finden Sie unter Was ist IAM? im IAM-Benutzerhandbuch. Für Informationen über die Syntax und Beschreibungen von AWS -IAM-Richtlinien lesen Sie die IAM-Richtlinienreferenz im IAM-Benutzerhandbuch.

An eine IAM-Identität angefügte Richtlinien werden als identitätsbasierte Richtlinien (oder IAM-Richtlinien) bezeichnet. An Ressourcen angehängte Richtlinien werden als ressourcenbasierte Richtlinien bezeichnet.

Identitätsbasierte Richtlinien (IAM-Richtlinien)

Richtlinien können IAM-Identitäten angefügt werden. Sie können z. B. Folgendes tun:

• Anfügen einer Berechtigungsrichtlinie zu einem Benutzer oder einer Gruppe in Ihrem Konto – Ein Kontoadministrator kann eine Berechtigungsrichtlinie verwenden, die einem bestimmten Benutzer zugeordnet ist, um Berechtigungen zu erteilen. In diesem Fall verfügt der Benutzer über die erforderlichen Berechtigungen zum Erstellen einer ElastiCache Ressource, z. B. eines Cache-Clusters, einer Parametergruppe oder einer Sicherheitsgruppe.

• Einer Rolle eine Berechtigungsrichtlinie zuweisen (kontoübergreifende Berechtigungen gewähren) – Sie können einer IAM-Rolle eine identitätsbasierte Berechtigungsrichtlinie zuweisen, um kontoübergreifende Berechtigungen zu erteilen. Der Administrator in Konto A kann beispielsweise wie folgt eine Rolle erstellen, um einem anderen Konto (z. B. AWS Konto B) oder einem AWS Dienst kontoübergreifende Berechtigungen zu gewähren:

  1. Der Administrator von Konto A erstellt eine IAM-Rolle und fügt ihr eine Berechtigungsrichtlinie an, die Berechtigungen für Ressourcen in Konto A erteilt.

  2. Der Administrator von Konto A weist der Rolle eine Vertrauensrichtlinie zu, die Konto B als den Prinzipal identifiziert, der die Rolle übernehmen kann.

  3. Der Administrator von Konto B kann dann die Berechtigungen zur Übernahme der Rolle an alle Benutzer in Konto B delegieren. Auf diese Weise können Benutzer in Konto B Ressourcen in Konto A erstellen oder darauf zugreifen. In einigen Fällen möchten Sie einem AWS Dienst möglicherweise Berechtigungen zur Übernahme der Rolle erteilen. Zum Support dieses Ansatzes kann es sich beim Prinzipal in der Vertrauensrichtlinie auch um einen AWS -Service-Prinzipal handeln.

  Weitere Informationen zum Delegieren von Berechtigungen mithilfe von IAM finden Sie unter Zugriffsverwaltung im IAM-Benutzerhandbuch.

Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die es einem Benutzer ermöglicht, die DescribeCacheClusters Aktion für Ihr AWS Konto durchzuführen. ElastiCache unterstützt auch die Identifizierung bestimmter Ressourcen, die die Ressource ARNs für API-Aktionen verwenden. (Dieser Ansatz heißt auch Ressourcenebenen-Berechtigungen.)

{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "DescribeCacheClusters",
      "Effect": "Allow",
      "Action": [
         "elasticache:DescribeCacheClusters"],
      "Resource": resource-arn
      }
   ]
}

Weitere Informationen zur Verwendung identitätsbasierter Richtlinien mit finden Sie ElastiCache unter. Verwendung identitätsbasierter Richtlinien (IAM-Richtlinien) für Amazon ElastiCache Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sie unter Identitäten (Benutzer, Gruppen und Rollen) im IAM-Benutzerhandbuch.

Angeben der Richtlinienelemente: Aktionen, Effekte, Ressourcen und Prinzipale

Für jede ElastiCache Amazon-Ressource (siehe ElastiCache Ressourcen und Abläufe von Amazon) definiert der Service eine Reihe von API-Vorgängen (siehe Aktionen). ElastiCache Definiert eine Reihe von Aktionen, die Sie in einer Richtlinie angeben können, um Berechtigungen für diese API-Operationen zu erteilen. Für die ElastiCache Clusterressource sind beispielsweise die folgenden Aktionen definiert: CreateCacheClusterDeleteCacheCluster, undDescribeCacheCluster. Für das Durchführen einer API-Operation können Berechtigungen für mehrere Aktionen erforderlich sein.

Grundlegende Richtlinienelemente:

• Ressource – In einer Richtlinie wird der Amazon-Ressourcenname (ARN) zur Identifizierung der Ressource verwendet, für die die Richtlinie gilt. Weitere Informationen finden Sie unter ElastiCache Ressourcen und Abläufe von Amazon.

• Aktion – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten. Je nach Angabe Effect gewährt oder verweigert die elasticache:CreateCacheCluster Berechtigung dem Benutzer beispielsweise die Berechtigungen zur Durchführung des ElastiCache CreateCacheCluster Amazon-Vorgangs.

• Auswirkung – Die von Ihnen festgelegte Auswirkung, wenn der Benutzer die jeweilige Aktion anfordert – entweder „allow“ (Zugriffserlaubnis) oder „deny“ (Zugriffsverweigerung). Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten ("Allow"), wird er automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie zum Beispiel sicherstellen, dass ein Benutzer nicht auf die Ressource zugreifen kann, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.

• Prinzipal – In identitätsbasierten Richtlinien (IAM-Richtlinien) ist der Benutzer, dem die Richtlinie zugewiesen ist, automatisch der Prinzipal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer, das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll (gilt nur für ressourcenbasierte Richtlinien).

Weitere Informationen zur Syntax und zu Beschreibungen von IAM-Richtlinien finden Sie in der AWS -IAM-Richtlinienreferenz im IAM-Benutzerhandbuch.

Eine Tabelle mit allen ElastiCache Amazon-API-Aktionen finden Sie unterElastiCache API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen.

Angeben von Bedingungen in einer Richtlinie

Beim Erteilen von Berechtigungen können Sie mithilfe der IAM-Richtliniensyntax die Bedingungen angeben, unter denen die Richtlinie wirksam werden soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zum Angeben von Bedingungen in einer Richtliniensyntax finden Sie im Thema Bedingung im IAM Benutzerhandbuch.

Bedingungen werden mithilfe vordefinierter Bedingungsschlüssel formuliert. Informationen zur Verwendung von ElastiCache -spezifischen Bedingungsschlüsseln finden Sie unterVerwenden von Bedingungsschlüssel. Es gibt Bedingungsschlüssel AWS für alle Bereiche, die Sie je nach Bedarf verwenden können. Eine vollständige Liste der AWS-weiten Schlüssel finden Sie unter Verfügbare Schlüssel für Bedingungen im IAM-Benutzerhandbuch.