Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre MemoryDB-Ressourcen - Amazon MemoryDB

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre MemoryDB-Ressourcen

Jede AWS Ressource gehört einem AWS Konto, und die Berechtigungen zum Erstellen oder Zugreifen auf eine Ressource werden durch Berechtigungsrichtlinien geregelt. Ein Kontoadministrator kann Berechtigungsrichtlinien an IAM-Identitäten (Benutzer, Gruppen und Rollen) anfügen. Darüber hinaus unterstützt MemoryDB auch das Anhängen von Berechtigungsrichtlinien an Ressourcen.

Anmerkung

Ein Kontoadministrator (oder Administratorbenutzer) ist ein Benutzer mit Administratorrechten. Weitere Informationen finden Sie unter Bewährte Methoden für IAM im IAM-Benutzerhandbuch.

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

MemoryDB-Ressourcen und -Operationen

In MemoryDB ist die primäre Ressource ein Cluster.

Diesen Ressourcen sind eindeutige Amazon-Ressourcennamen (ARN) zugeordnet, wie im Folgenden gezeigt.

Anmerkung

Damit Berechtigungen auf Ressourcenebene wirksam sind, sollte der Ressourcenname in der ARN-Zeichenfolge in Kleinbuchstaben geschrieben werden.

Ressourcentyp ARN-Format

Benutzer

arn:aws:memorydb: us-east- 1:123456789012:user/user1

Zugriffskontrollliste (ACL)

arn:aws:memorydb: us-east-1:123456789012:acl/myacl

Cluster

arn:aws:memorydb: us-east- 1:123456789012:cluster/mein-Cluster

Snapshot

arn:aws:memorydb: us-east- 1:123456789012:snapshot/mein-snapshot

Parametergruppe

arn:aws:memorydb: us-east- 1:123456789012:parametergruppe/ my-parameter-group

Subnetzgruppe

arn:aws:memorydb: us-east- 1:123456789012:subnetzgruppe/ my-subnet-group

MemoryDB bietet eine Reihe von Operationen für die Arbeit mit MemoryDB-Ressourcen. Eine Liste der verfügbaren Operationen finden Sie unter MemoryDB-Aktionen.

Grundlegendes zum Eigentum an Ressourcen

Ein Ressourcenbesitzer ist das AWS Konto, das die Ressource erstellt hat. Das heißt, der Ressourcenbesitzer ist das AWS Konto der Prinzipalentität, die die Anforderung authentifiziert, mit der die Ressource erstellt wird. Eine Prinzipalentität kann das Root-Konto, ein IAM-Benutzer oder eine IAM-Rolle sein. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:

  • Angenommen, Sie verwenden die Root-Kontoanmeldeinformationen Ihres AWS Kontos, um einen Cluster zu erstellen. In diesem Fall ist Ihr AWS Konto der Eigentümer der Ressource. In MemoryDB ist die Ressource der Cluster.

  • Angenommen, Sie erstellen in Ihrem AWS Konto einen IAM-Benutzer und gewähren diesem Benutzer die Erlaubnis, einen Cluster zu erstellen. In diesem Fall kann der Benutzer einen Cluster erstellen. Ihr AWS Konto, zu dem der Benutzer gehört, besitzt jedoch die Clusterressource.

  • Angenommen, Sie erstellen in Ihrem AWS Konto eine IAM-Rolle mit Berechtigungen zum Erstellen eines Clusters. In diesem Fall kann jeder, der die Rolle übernehmen kann, einen Cluster erstellen. Ihr AWS Konto, zu dem die Rolle gehört, besitzt die Clusterressource.

Verwalten des Zugriffs auf Ressourcen

Eine Berechtigungsrichtlinie beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werden die verfügbaren Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.

Anmerkung

In diesem Abschnitt wird die Verwendung von IAM im Kontext von MemoryDB beschrieben. Er enthält keine detaillierten Informationen über den IAM-Service. Eine umfassende IAM-Dokumentation finden Sie unter Was ist IAM? im IAM-Benutzerhandbuch. Für Informationen über die Syntax und Beschreibungen von AWS -IAM-Richtlinien lesen Sie die IAM-Richtlinienreferenz im IAM-Benutzerhandbuch.

An eine IAM-Identität angefügte Richtlinien werden als identitätsbasierte Richtlinien (oder IAM-Richtlinien) bezeichnet. An Ressourcen angehängte Richtlinien werden als ressourcenbasierte Richtlinien bezeichnet.

Identitätsbasierte Richtlinien (IAM-Richtlinien)

Richtlinien können IAM-Identitäten angefügt werden. Sie können z. B. Folgendes tun:

  • Anfügen einer Berechtigungsrichtlinie zu einem Benutzer oder einer Gruppe in Ihrem Konto – Ein Kontoadministrator kann eine Berechtigungsrichtlinie verwenden, die einem bestimmten Benutzer zugeordnet ist, um Berechtigungen zu erteilen. In diesem Fall sind die Berechtigungen für diesen Benutzer vorgesehen, um eine MemoryDB-Ressource zu erstellen, z. B. einen Cluster, eine Parametergruppe oder eine Sicherheitsgruppe.

  • Einer Rolle eine Berechtigungsrichtlinie zuweisen (kontoübergreifende Berechtigungen gewähren) – Sie können einer IAM-Rolle eine identitätsbasierte Berechtigungsrichtlinie zuweisen, um kontoübergreifende Berechtigungen zu erteilen. Der Administrator in Konto A kann beispielsweise wie folgt eine Rolle erstellen, um einem anderen Konto (z. B. AWS Konto B) oder einem AWS Dienst kontoübergreifende Berechtigungen zu gewähren:

    1. Der Administrator von Konto A erstellt eine IAM-Rolle und fügt ihr eine Berechtigungsrichtlinie an, die Berechtigungen für Ressourcen in Konto A erteilt.

    2. Der Administrator von Konto A weist der Rolle eine Vertrauensrichtlinie zu, die Konto B als den Prinzipal identifiziert, der die Rolle übernehmen kann.

    3. Der Administrator von Konto B kann dann die Berechtigungen zur Übernahme der Rolle an alle Benutzer in Konto B delegieren. Auf diese Weise können Benutzer in Konto B Ressourcen in Konto A erstellen oder darauf zugreifen. In einigen Fällen möchten Sie einem AWS Dienst möglicherweise Berechtigungen zur Übernahme der Rolle erteilen. Zum Support dieses Ansatzes kann es sich beim Prinzipal in der Vertrauensrichtlinie auch um einen AWS -Service-Prinzipal handeln.

    Weitere Informationen zum Delegieren von Berechtigungen mithilfe von IAM finden Sie unter Zugriffsverwaltung im IAM-Benutzerhandbuch.

Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die es einem Benutzer ermöglicht, die DescribeClusters Aktion für Ihr AWS Konto durchzuführen. MemoryDB unterstützt auch die Identifizierung bestimmter Ressourcen mithilfe der Ressourcen-ARNs für API-Aktionen. (Dieser Ansatz heißt auch Ressourcenebenen-Berechtigungen.)

{ "Version": "2012-10-17", "Statement": [{ "Sid": "DescribeClusters", "Effect": "Allow", "Action": [ "memorydb:DescribeClusters"], "Resource": resource-arn } ] }

Weitere Informationen zur Verwendung identitätsbasierter Richtlinien mit MemoryDB finden Sie unter. Verwenden von identitätsbasierten Richtlinien (IAM-Richtlinien) für MemoryDB Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sie unter Identitäten (Benutzer, Gruppen und Rollen) im IAM-Benutzerhandbuch.

Angeben der Richtlinienelemente: Aktionen, Effekte, Ressourcen und Prinzipale

Für jede MemoryDB-Ressource (sieheMemoryDB-Ressourcen und -Operationen) definiert der Dienst eine Reihe von API-Vorgängen (siehe Aktionen). Um Berechtigungen für diese API-Operationen zu gewähren, definiert MemoryDB eine Reihe von Aktionen, die Sie in einer Richtlinie angeben können. Für die MemoryDB-Clusterressource sind beispielsweise die folgenden Aktionen definiert:CreateCluster, und. DeleteCluster DescribeClusters Für das Durchführen einer API-Operation können Berechtigungen für mehrere Aktionen erforderlich sein.

Grundlegende Richtlinienelemente:

  • Ressource – In einer Richtlinie wird der Amazon-Ressourcenname (ARN) zur Identifizierung der Ressource verwendet, für die die Richtlinie gilt. Weitere Informationen finden Sie unter MemoryDB-Ressourcen und -Operationen.

  • Aktion – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten. Je nach Angabe gewährt oder verweigert die memorydb:CreateCluster Berechtigung dem Benutzer beispielsweise die BerechtigungEffect, den MemoryDB-Vorgang auszuführen. CreateCluster

  • Auswirkung – Die von Ihnen festgelegte Auswirkung, wenn der Benutzer die jeweilige Aktion anfordert – entweder „allow“ (Zugriffserlaubnis) oder „deny“ (Zugriffsverweigerung). Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten ("Allow"), wird er automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie zum Beispiel sicherstellen, dass ein Benutzer nicht auf die Ressource zugreifen kann, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.

  • Prinzipal – In identitätsbasierten Richtlinien (IAM-Richtlinien) ist der Benutzer, dem die Richtlinie zugewiesen ist, automatisch der Prinzipal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer, das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll (gilt nur für ressourcenbasierte Richtlinien).

Weitere Informationen zur Syntax und zu Beschreibungen von IAM-Richtlinien finden Sie in der AWS -IAM-Richtlinienreferenz im IAM-Benutzerhandbuch.

Eine Tabelle mit allen MemoryDB-API-Aktionen finden Sie unter. MemoryDB-API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen

Angeben von Bedingungen in einer Richtlinie

Beim Erteilen von Berechtigungen können Sie mithilfe der IAM-Richtliniensyntax die Bedingungen angeben, unter denen die Richtlinie wirksam werden soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zum Angeben von Bedingungen in einer Richtliniensyntax finden Sie im Thema Bedingung im IAM Benutzerhandbuch.