Übersicht über die Verwaltung von Zugriffsberechtigungen auf Ihre ElastiCache-Ressourcen - Amazon ElastiCache
Amazon-ElastiCache-Ressourcen und -OperationenGrundlegendes zum Eigentum an RessourcenVerwalten des Zugriffs auf Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Übersicht über die Verwaltung von Zugriffsberechtigungen auf Ihre ElastiCache-Ressourcen

Jede AWS-Ressource ist Eigentum eines AWS-Kontos und die Berechtigungen für die Erstellung einer Ressource oder den Zugriff darauf werden durch Berechtigungsrichtlinien geregelt. Ein Kontoadministrator kann Berechtigungsrichtlinien an IAM-Identitäten (Benutzer, Gruppen und Rollen) anfügen. Darüber hinaus unterstützt Amazon ElastiCache auch das Anfügen von Berechtigungsrichtlinien an Ressourcen.

Anmerkung

Ein Kontoadministrator (oder Administratorbenutzer) ist ein Benutzer mit Administratorrechten. Weitere Informationen finden Sie unter Bewährte Methoden für IAM im IAM-Benutzerhandbuch.

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

Themen

Amazon-ElastiCache-Ressourcen und -Operationen

Eine Liste von ElastiCache-Ressourcentypen und deren ARNs finden Sie unter Von Amazon ElastiCache definierte Ressourcen in der Referenz zur Serviceautorisierung. Informationen zu den Aktionen, mit denen Sie den ARN einzelner Ressourcen angeben können, finden Sie unter Von Amazon ElastiCache definierte Aktionen.

Grundlegendes zum Eigentum an Ressourcen

Ein Ressourcenbesitzer ist das AWS-Konto, das die Ressource erstellt hat. Das bedeutet, dass der Ressourcenbesitzer das AWS-Konto der Haupt-Entität ist, die die Anforderung authentifiziert, über die die Ressource erstellt wurde. Eine Haupt-Entität kann das Stammkonto, ein IAM-Benutzer oder eine IAM-Rolle sein. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:

  • Angenommen, Sie verwenden die Stammkonto-Anmeldeinformationen Ihres AWS-Kontos, um einen Cache-Cluster zu erstellen. In diesem Fall ist ihr AWS-Konto Besitzer der Ressource. In ElastiCache ist die Ressource der Cache-Cluster.

  • Angenommen, Sie erstellen einen IAM-Benutzer in Ihrem AWS-Konto und erteilen ihm die Berechtigung, einen Cache-Cluster zu erstellen. In diesem Fall kann der Benutzer einen Cache-Cluster erstellen. Besitzer der Cache-Cluster-Ressource ist jedoch das AWS-Konto, zu dem der Benutzer gehört.

  • Angenommen, Sie erstellen eine IAM-Rolle in Ihrem AWS-Konto mit den Berechtigungen, einen Cache-Cluster zu erstellen. In diesem Fall kann jeder, der die Rolle übernehmen kann, einen Cache-Cluster erstellen. Besitzer der Cache-Cluster-Ressource ist das AWS-Konto, zu dem die Rolle gehört.

Verwalten des Zugriffs auf Ressourcen

Eine Berechtigungsrichtlinie beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werden die verfügbaren Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.

Anmerkung

Dieser Abschnitt behandelt die Verwendung von IAM im Zusammenhang mit Amazon ElastiCache. Er enthält keine detaillierten Informationen über den IAM-Service. Eine umfassende IAM-Dokumentation finden Sie unter Was ist IAM? im IAM-Benutzerhandbuch. Für Informationen über die Syntax und Beschreibungen von AWS-IAM-Richtlinien lesen Sie die IAM-Richtlinienreferenz im IAM-Benutzerhandbuch.

An eine IAM-Identität angefügte Richtlinien werden als identitätsbasierte Richtlinien (oder IAM-Richtlinien) bezeichnet. An Ressourcen angehängte Richtlinien werden als ressourcenbasierte Richtlinien bezeichnet.

Identitätsbasierte Richtlinien (IAM-Richtlinien)

Richtlinien können IAM-Identitäten angefügt werden. Sie können z. B. Folgendes tun:

  • Anfügen einer Berechtigungsrichtlinie zu einem Benutzer oder einer Gruppe in Ihrem Konto – Ein Kontoadministrator kann eine Berechtigungsrichtlinie verwenden, die einem bestimmten Benutzer zugeordnet ist, um Berechtigungen zu erteilen. In diesem Fall sind die Berechtigungen für diesen Benutzer zum Erstellen einer ElastiCache-Ressource bestimmt, z. B. eines Cache-Clusters, einer Parametergruppe oder einer Sicherheitsgruppe.

  • Einer Rolle eine Berechtigungsrichtlinie zuweisen (kontoübergreifende Berechtigungen gewähren) – Sie können einer IAM-Rolle eine identitätsbasierte Berechtigungsrichtlinie zuweisen, um kontoübergreifende Berechtigungen zu erteilen. Beispielsweise kann der Administrator in Konto A eine Rolle erstellen, um einem anderen AWS-Konto (z. B. Konto B) oder einem AWS-Service kontoübergreifende Berechtigungen zu erteilen. Dazu geht er folgendermaßen vor:

    1. Der Administrator von Konto A erstellt eine IAM-Rolle und fügt ihr eine Berechtigungsrichtlinie an, die Berechtigungen für Ressourcen in Konto A erteilt.

    2. Der Administrator von Konto A weist der Rolle eine Vertrauensrichtlinie zu, die Konto B als den Prinzipal identifiziert, der die Rolle übernehmen kann.

    3. Der Administrator von Konto B kann nun Berechtigungen zur Übernahme der Rolle an alle Benutzer in Konto B delegieren. Dadurch können die Benutzer in Konto B Ressourcen in Konto A erstellen oder auf diese zugreifen. In manchen Fällen möchten Sie möglicherweise einem AWS-Service die Berechtigungen zur Übernahme der Rolle erteilen. Zum Support dieses Ansatzes kann es sich beim Prinzipal in der Vertrauensrichtlinie auch um einen AWS-Service-Prinzipal handeln.

    Weitere Informationen zum Delegieren von Berechtigungen mithilfe von IAM finden Sie unter Zugriffsverwaltung im IAM-Benutzerhandbuch.

Im Folgenden finden Sie eine Beispielrichtlinie, die es einem Benutzer ermöglicht, die DescribeCacheClusters-Aktion für Ihr AWS-Konto auszuführen. ElastiCache unterstützt auch die Identifizierung bestimmter Ressourcen mithilfe der Ressourcen-ARNs für API-Aktionen. (Dieser Ansatz heißt auch Ressourcenebenen-Berechtigungen.) 

{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "DescribeCacheClusters",
      "Effect": "Allow",
      "Action": [
         "elasticache:DescribeCacheClusters"],
      "Resource": resource-arn
      }
   ]
}

Weitere Informationen zur Verwendung identitätsbasierter Richtlinien mit ElastiCache finden Sie unter Verwenden identitätsbasierter Richtlinien (IAM-Richtlinien) für Amazon ElastiCache. Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sie unter Identitäten (Benutzer, Gruppen und Rollen) im IAM-Benutzerhandbuch.

Angeben der Richtlinienelemente: Aktionen, Effekte, Ressourcen und Prinzipale

Für jede Amazon-ElastiCache-Ressource (siehe Amazon-ElastiCache-Ressourcen und -Operationen) definiert der Service eine Reihe von API-Vorgängen (siehe Aktionen). Zur Erteilung von Berechtigungen für diese API-Operationen definiert ElastiCache eine Reihe von Aktionen, die Sie in einer Richtlinie angeben können. Für die ElastiCache-Cluster-Ressource sind beispielsweise die folgenden Aktionen definiert: CreateCacheCluster, DeleteCacheCluster und DescribeCacheCluster. Für das Durchführen einer API-Operation können Berechtigungen für mehrere Aktionen erforderlich sein.

Grundlegende Richtlinienelemente:

  • Ressource – In einer Richtlinie wird der Amazon-Ressourcenname (ARN) zur Identifizierung der Ressource verwendet, für die die Richtlinie gilt. Weitere Informationen finden Sie unter Amazon-ElastiCache-Ressourcen und -Operationen.

  • Aktion – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten. Abhängig von der angegebenen Effect erlaubt oder verweigert die elasticache:CreateCacheCluster-Berechtigung beispielsweise die Benutzerberechtigungen zum Ausführen des Amazon-ElastiCache-Vorgangs CreateCacheCluster.

  • Auswirkung – Die von Ihnen festgelegte Auswirkung, wenn der Benutzer die jeweilige Aktion anfordert – entweder „allow“ (Zugriffserlaubnis) oder „deny“ (Zugriffsverweigerung). Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten ("Allow"), wird er automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie zum Beispiel sicherstellen, dass ein Benutzer nicht auf die Ressource zugreifen kann, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.

  • Prinzipal – In identitätsbasierten Richtlinien (IAM-Richtlinien) ist der Benutzer, dem die Richtlinie zugewiesen ist, automatisch der Prinzipal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer, das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll (gilt nur für ressourcenbasierte Richtlinien).

Weitere Informationen zur Syntax und zu Beschreibungen von IAM-Richtlinien finden Sie in der AWS-IAM-Richtlinienreferenz im IAM-Benutzerhandbuch.

Eine Tabelle mit allen Amazon-ElastiCache-API-Aktionen finden Sie unter ElastiCache API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen.

Angeben von Bedingungen in einer Richtlinie

Beim Erteilen von Berechtigungen können Sie mithilfe der IAM-Richtliniensyntax die Bedingungen angeben, unter denen die Richtlinie wirksam werden soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zum Angeben von Bedingungen in einer Richtliniensyntax finden Sie im Thema Bedingung im IAM Benutzerhandbuch.

Bedingungen werden mithilfe vordefinierter Bedingungsschlüssel formuliert. Informationen zur Verwendung von ElastiCache-spezifischen Bedingungsschlüsseln finden Sie unter Verwenden von Bedingungsschlüssel. Es gibt AWS-weite Bedingungsschlüssel, die Sie nach Bedarf verwenden können. Sie finden eine vollständige Liste der AWS-weiten Schlüssel unter Verfügbare Schlüssel für Bedingungen im IAM-Benutzerhandbuch.