Verwenden identitätsbasierter Richtlinien (IAM-Richtlinien) für Amazon ElastiCache - Amazon ElastiCache
Beispiele für vom Kunden verwaltete Richtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden identitätsbasierter Richtlinien (IAM-Richtlinien) für Amazon ElastiCache

In diesem Thema finden Sie Beispiele für identitätsbasierte Richtlinien, in denen ein Kontoadministrator den IAM-Identitäten (Benutzer, Gruppen und Rollen) Berechtigungsrichtlinien anfügen kann.

Wichtig

Wir empfehlen Ihnen, zuerst die Themen zu lesen, in denen die grundlegenden Konzepte und Optionen zum Verwalten des Zugriffs auf Amazon ElastiCache-Ressourcen erläutert werden. Weitere Informationen finden Sie unter Übersicht über die Verwaltung von Zugriffsberechtigungen auf Ihre ElastiCache-Ressourcen.

Dieses Thema besteht aus folgenden Abschnitten:

Dies ist ein Beispiel für eine Berechtigungsrichtlinie.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "AllowClusterPermissions",
        "Effect": "Allow",
        "Action": [
            "elasticache:CreateServerlessCache",
            "elasticache:CreateCacheCluster",
            "elasticache:DescribeServerlessCaches",
            "elasticache:DescribeCacheClusters",
            "elasticache:ModifyServerlessCache",
            "elasticache:ModifyCacheCluster"
        ],
        "Resource": "*"
    },
    {
        "Sid": "AllowUserToPassRole",
        "Effect": "Allow",
        "Action": [ "iam:PassRole" ],
        "Resource": "arn:aws:iam::123456789012:role/EC2-roles-for-cluster"
    }
    ]
}

Die Richtlinie enthält zwei Anweisungen:

  • Die erste Anweisung gewährt Berechtigungen für die Aktionen von Amazon ElastiCache (elasticache:Create*, elasticache:Describe*, elasticache:Modify*)

  • Die zweite Anweisung erteilt Berechtigungen für die IAM-Aktion (iam:PassRole) für den IAM-Rollennamen am Ende des Resource-Wertes.

Das Element Principal ist in der Richtlinie nicht angegeben, da in identitätsbasierten Richtlinien die Angabe des Prinzipals als Empfänger der Berechtigung nicht erforderlich ist. Wenn Sie einem Benutzer eine Richtlinie zuweisen, ist der Benutzer automatisch der Prinzipal. Wird die Berechtigungsrichtlinie einer IAM-Rolle angefügt, erhält der in der Vertrauensrichtlinie der Rolle angegebene Prinzipal die Berechtigungen.

Eine Tabelle mit allen Amazon ElastiCache-API-Aktionen und den Ressourcen, für die sie gelten, finden Sie unter ElastiCache API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen.

Beispiele für vom Kunden verwaltete Richtlinien

Wenn Sie keine Standardrichtlinie verwenden und eine benutzerdefinierte verwaltete Richtlinie verwenden möchten, stellen Sie eines sicher. Sie sollten entweder die Genehmigung zum Aufrufen von iam:createServiceLinkedRole haben (weitere Informationen finden Sie unter Beispiel 4: einem Benutzer erlauben, die IAM-API CreateServiceLinkedRole aufzurufen). Oder Sie sollten eine serviceverknüpfte ElastiCache-Rolle erstellt haben.

In Kombination mit den Mindestberechtigungen, die für die Verwendung der Amazon ElastiCache-Konsole erforderlich sind, gewähren die Beispiel-Richtlinien in diesem Abschnitt zusätzliche Berechtigungen. Die Beispiele sind auch für die AWS-SDKs und AWS CLI relevant.

Anweisungen zum Einrichten von IAM-Benutzern und -Gruppen finden Sie unter Erstellen Ihrer ersten IAM-Benutzer- und -Administratorengruppe im IAM-Benutzerhandbuch.

Wichtig

Testen Sie Ihre IAM-Richtlinien immer gründlich, bevor Sie sie in der Produktion verwenden. Einige ElastiCache-Aktionen, die einfach erscheinen, benötigen möglicherweise andere unterstützende Aktionen, wenn Sie die ElastiCache-Konsole verwenden. elasticache:CreateCacheCluster gewährt beispielsweise Berechtigungen zum Erstellen von ElastiCache-Cache-Clustern. Um diesen Vorgang auszuführen, verwendet die ElastiCache-Konsole jedoch eine Reihe von Describe- und List-Aktionen zum Auffüllen von Konsolenlisten.

Beispiel 1: einem Benutzer schreibgeschützten Zugriff auf ElastiCache-Ressourcen erlauben

Die folgende Richtlinie erteilt Berechtigungen für ElastiCache-Aktionen, die es einem Benutzer erlauben, Ressourcen aufzulisten. Gewöhnlich ordnen Sie diese Art von Berechtigungsrichtlinie einer Gruppe von Managern zu.

{
   "Version": "2012-10-17",
   "Statement":[{
      "Sid": "ECReadOnly",
      "Effect":"Allow",
      "Action": [
          "elasticache:Describe*",
          "elasticache:List*"],
      "Resource":"*"
      }
   ]
}

Beispiel 2: einem Benutzer erlauben, allgemeine Aufgaben des ElastiCache-Systemadministrators auszuführen

Zu den allgemeinen Aufgaben des Systemadministrators gehört das Ändern von Ressourcen. Ein Systemadministrator möchte möglicherweise auch Informationen zu den ElastiCache-Ereignissen erhalten. Die folgende Richtlinie gewährt einem Benutzer Berechtigungen zum Ausführen von ElastiCache-Aktionen für diese allgemeinen Systemadministratoraufgaben. Normalerweise ordnen Sie diese Art Berechtigungsrichtlinie der Systemadministratorengrupe zu.

{
   "Version": "2012-10-17",
   "Statement":[{
      "Sid": "ECAllowMutations",
      "Effect":"Allow",
      "Action":[
          "elasticache:Modify*",
          "elasticache:Describe*",
          "elasticache:ResetCacheParameterGroup"
      ],
      "Resource":"*"
      }
   ]
}

Beispiel 3: einem Benutzer erlauben, auf alle ElastiCache-API-Aktionen zuzugreifen

Die folgende Richtlinie erlaubt einem Benutzer den Zugriff auf alle ElastiCache-Aktionen. Es wird empfohlen, diese Art von Berechtigungsrichtlinie nur einem Administratorbenutzer zu gewähren. 

{
   "Version": "2012-10-17",
   "Statement":[{
      "Sid": "ECAllowAll",
      "Effect":"Allow",
      "Action":[
          "elasticache:*" 
      ],
      "Resource":"*"
      }
   ]
}

Beispiel 4: einem Benutzer erlauben, die IAM-API CreateServiceLinkedRole aufzurufen

Die folgende Richtlinie ermöglicht dem Benutzer den Aufruf der IAM-CreateServiceLinkedRole-API. Es wird empfohlen, diese Art von Berechtigungsrichtlinie dem Benutzer zu erteilen, der veränderliche ElastiCache-Vorgänge aufruft.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"CreateSLRAllows",
      "Effect":"Allow",
      "Action":[
        "iam:CreateServiceLinkedRole"
      ],
      "Resource":"*",
      "Condition":{
        "StringLike":{
          "iam:AWSServiceName":"elasticache.amazonaws.com"
        }
      }
    }
  ]
}