Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von identitätsbasierten Richtlinien (IAM-Richtlinien) für MemoryDB
In diesem Thema finden Sie Beispiele für identitätsbasierte Richtlinien, in denen ein Kontoadministrator den IAM-Identitäten (Benutzer, Gruppen und Rollen) Berechtigungsrichtlinien anfügen kann.
Wichtig
Wir empfehlen Ihnen, zunächst die Themen zu lesen, in denen die grundlegenden Konzepte und Optionen zur Verwaltung des Zugriffs auf MemoryDB-Ressourcen erläutert werden. Weitere Informationen finden Sie unter Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre MemoryDB-Ressourcen.
Dieses Thema besteht aus folgenden Abschnitten:
Dies ist ein Beispiel für eine Berechtigungsrichtlinie.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowClusterPermissions", "Effect": "Allow", "Action": [ "memorydb:CreateCluster", "memorydb:DescribeClusters", "memorydb:UpdateCluster"], "Resource": "*" }, { "Sid": "AllowUserToPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::123456789012:role/EC2-roles-for-cluster" } ] }
Die Richtlinie enthält zwei Anweisungen:
-
Die erste Anweisung gewährt Berechtigungen für die MemoryDB-Aktionen (
memorydb:CreateCluster, undmemorydb:UpdateCluster) auf jedem Clustermemorydb:DescribeClusters, der dem Konto gehört. -
Die zweite Anweisung erteilt Berechtigungen für die IAM-Aktion (
iam:PassRole) für den IAM-Rollennamen am Ende desResource-Wertes.
Das Element Principal ist in der Richtlinie nicht angegeben, da in identitätsbasierten Richtlinien die Angabe des Prinzipals als Empfänger der Berechtigung nicht erforderlich ist. Wenn Sie einem Benutzer eine Richtlinie zuweisen, ist der Benutzer automatisch der Prinzipal. Wird die Berechtigungsrichtlinie einer IAM-Rolle angefügt, erhält der in der Vertrauensrichtlinie der Rolle angegebene Prinzipal die Berechtigungen.
Eine Tabelle mit allen MemoryDB-API-Aktionen und den Ressourcen, für die sie gelten, finden Sie unter. MemoryDB-API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen
Für die Verwendung der MemoryDB-Konsole sind Berechtigungen erforderlich
In der Referenztabelle für Berechtigungen sind die MemoryDB-API-Operationen aufgeführt und die erforderlichen Berechtigungen für jeden Vorgang aufgeführt. Weitere Hinweise zu MemoryDB-API-Vorgängen finden Sie unter. MemoryDB-API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen
Um die MemoryDB-Konsole zu verwenden, gewähren Sie zunächst Berechtigungen für zusätzliche Aktionen, wie in der folgenden Berechtigungsrichtlinie beschrieben.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "MinPermsForMemDBConsole", "Effect": "Allow", "Action": [ "memorydb:Describe*", "memorydb:List*", "ec2:DescribeAvailabilityZones", "ec2:DescribeVpcs", "ec2:DescribeAccountAttributes", "ec2:DescribeSecurityGroups", "cloudwatch:GetMetricStatistics", "cloudwatch:DescribeAlarms", "s3:ListAllMyBuckets", "sns:ListTopics", "sns:ListSubscriptions" ], "Resource": "*" } ] }
Die MemoryDB-Konsole benötigt diese zusätzlichen Berechtigungen aus den folgenden Gründen:
-
Berechtigungen für die MemoryDB-Aktionen ermöglichen es der Konsole, MemoryDB-Ressourcen im Konto anzuzeigen.
-
Die Konsole benötigt Berechtigungen für die
ec2-Aktionen zur Abfrage von Amazon EC2, damit sie Availability Zones, VPCs, Sicherheitsgruppen und Kontoattribute anzeigen kann. -
Die Berechtigungen für
cloudwatchAktionen ermöglichen es der Konsole, CloudWatch Amazon-Metriken und -Alarme abzurufen und sie in der Konsole anzuzeigen. -
Die Berechtigungen für
sns-Aktionen ermöglichen es der Konsole, Themen und Abonnements von Amazon Simple Notification Service (Amazon SNS) abzurufen und in der Konsole anzuzeigen.
Beispiele für vom Kunden verwaltete Richtlinien
Wenn Sie keine Standardrichtlinie verwenden und eine benutzerdefinierte verwaltete Richtlinie verwenden möchten, stellen Sie eines sicher. Sie sollten entweder die Genehmigung zum Aufrufen von iam:createServiceLinkedRole haben (weitere Informationen finden Sie unter Beispiel 4: Erlauben Sie einem Benutzer, die IAM-API aufzurufen CreateServiceLinkedRole ). Oder Sie hätten eine mit dem Service verknüpfte MemoryDB-Rolle erstellen sollen.
In Kombination mit den Mindestberechtigungen, die für die Verwendung der MemoryDB-Konsole erforderlich sind, gewähren die Beispielrichtlinien in diesem Abschnitt zusätzliche Berechtigungen. Die Beispiele sind auch relevant für die AWS SDKs und die. AWS CLI Weitere Informationen darüber, welche Berechtigungen für die Verwendung der MemoryDB-Konsole erforderlich sind, finden Sie unter. Für die Verwendung der MemoryDB-Konsole sind Berechtigungen erforderlich
Anweisungen zum Einrichten von IAM-Benutzern und -Gruppen finden Sie unter Erstellen Ihrer ersten IAM-Benutzer- und -Administratorengruppe im IAM-Benutzerhandbuch.
Wichtig
Testen Sie Ihre IAM-Richtlinien immer gründlich, bevor Sie sie in der Produktion verwenden. Einige MemoryDB-Aktionen, die einfach erscheinen, können andere Aktionen erfordern, um sie zu unterstützen, wenn Sie die MemoryDB-Konsole verwenden. memorydb:CreateClusterGewährt beispielsweise Berechtigungen zum Erstellen von MemoryDB-Clustern. Um diesen Vorgang auszuführen, verwendet die MemoryDB-Konsole jedoch eine Reihe von List AND-Aktionen, um Describe Konsolenlisten aufzufüllen.
Beispiele
- Beispiel 1: Erlauben Sie einem Benutzer nur Lesezugriff auf MemoryDB-Ressourcen
- Beispiel 2: Erlauben Sie einem Benutzer, allgemeine MemoryDB-Systemadministratoraufgaben auszuführen
- Beispiel 3: Erlauben Sie einem Benutzer den Zugriff auf alle MemoryDB-API-Aktionen
- Beispiel 4: Erlauben Sie einem Benutzer, die IAM-API aufzurufen CreateServiceLinkedRole
Beispiel 1: Erlauben Sie einem Benutzer nur Lesezugriff auf MemoryDB-Ressourcen
Die folgende Richtlinie gewährt Berechtigungen für MemoryDB-Aktionen, die es einem Benutzer ermöglichen, Ressourcen aufzulisten. Gewöhnlich ordnen Sie diese Art von Berechtigungsrichtlinie einer Gruppe von Managern zu.
{ "Version": "2012-10-17", "Statement":[{ "Sid": "MemDBUnrestricted", "Effect":"Allow", "Action": [ "memorydb:Describe*", "memorydb:List*"], "Resource":"*" } ] }
Beispiel 2: Erlauben Sie einem Benutzer, allgemeine MemoryDB-Systemadministratoraufgaben auszuführen
Zu den allgemeinen Systemadministratoraufgaben gehört das Ändern von Clustern, Parametern und Parametergruppen. Ein Systemadministrator möchte möglicherweise auch Informationen über die MemoryDB-Ereignisse abrufen. Die folgende Richtlinie gewährt einem Benutzer Berechtigungen zur Ausführung von MemoryDB-Aktionen für diese allgemeinen Systemadministratoraufgaben. Normalerweise ordnen Sie diese Art Berechtigungsrichtlinie der Systemadministratorengrupe zu.
{ "Version": "2012-10-17", "Statement":[{ "Sid": "MDBAllowSpecific", "Effect":"Allow", "Action":[ "memorydb:UpdateCluster", "memorydb:DescribeClusters", "memorydb:DescribeEvents", "memorydb:UpdateParameterGroup", "memorydb:DescribeParameterGroups", "memorydb:DescribeParameters", "memorydb:ResetParameterGroup",], "Resource":"*" } ] }
Beispiel 3: Erlauben Sie einem Benutzer den Zugriff auf alle MemoryDB-API-Aktionen
Die folgende Richtlinie ermöglicht einem Benutzer den Zugriff auf alle MemoryDB-Aktionen. Es wird empfohlen, diese Art von Berechtigungsrichtlinie nur einem Administratorbenutzer zu gewähren.
{ "Version": "2012-10-17", "Statement":[{ "Sid": "MDBAllowAll", "Effect":"Allow", "Action":[ "memorydb:*" ], "Resource":"*" } ] }
Beispiel 4: Erlauben Sie einem Benutzer, die IAM-API aufzurufen CreateServiceLinkedRole
Die folgende Richtlinie ermöglicht dem Benutzer den Aufruf der IAM-CreateServiceLinkedRole-API. Wir empfehlen, dass Sie dem Benutzer, der mutative MemoryDB-Operationen aufruft, diese Art von Berechtigungsrichtlinie gewähren.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"CreateSLRAllows", "Effect":"Allow", "Action":[ "iam:CreateServiceLinkedRole" ], "Resource":"*", "Condition":{ "StringLike":{ "iam:AWS ServiceName":"memorydb.amazonaws.com" } } } ] }
