Información general sobre la administración de los permisos de acceso a los recursos de ElastiCache - Amazon ElastiCache
Operaciones y recursos de Amazon ElastiCacheTitularidad de los recursosAdministrar el acceso a los recursos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Información general sobre la administración de los permisos de acceso a los recursos de ElastiCache

Cada recurso de AWS es propiedad de una cuenta de AWS y los permisos para crear o tener acceso a un recurso se rigen por las políticas de permisos. Un administrador de cuentas puede asociar políticas de permisos a identidades de IAM (es decir, usuarios, grupos y funciones). Además, Amazon ElastiCache también permite adjuntar políticas de permisos a los recursos.

nota

Un administrador de cuentas (o usuario administrador) es un usuario que tiene privilegios de administrador. Para obtener más información, consulte Prácticas recomendadas de IAM en la Guía del usuario de IAM.

Para dar acceso, añada permisos a los usuarios, grupos o roles:

Temas

Operaciones y recursos de Amazon ElastiCache

Para ver una lista de tipos de recursos y ARN de ElastiCache, consulte Tipos de recurso definidos por Amazon ElastiCache, en la Referencia de autorizaciones de servicio. Para obtener información sobre las acciones con las que puede especificar el ARN de cada recurso, consulte Acciones definidas por Amazon ElastiCache.

Titularidad de los recursos

El propietario de los recursos es la cuenta de AWS que crea el recurso. Es decir, el propietario del recurso es la cuenta de AWS de la entidad principal que autentica la solicitud que creó el recurso. Una entidad principal puede ser la cuenta raíz, un usuario de IAM o un rol de IAM. Los siguientes ejemplos ilustran cómo funciona:

  • Supongamos que utiliza las credenciales de la cuenta raíz de la cuenta de AWS para crear un clúster de caché. En este caso, la cuenta de AWS es la propietaria del recurso. En ElastiCache, el recurso es el clúster de caché.

  • Supongamos que crea un usuario de IAM en la cuenta de AWS y concede permisos a fin de crear un clúster de caché para dicho usuario. En este caso, el usuario puede crear un clúster de la caché. Sin embargo, la cuenta de AWS, a la que pertenece el usuario, es la propietaria del recurso de clúster de caché.

  • Supongamos que crea un rol de IAM en la cuenta de AWS con permisos para crear un clúster de caché. En este caso, cualquiera que pueda asumir el rol puede crear un clúster de la caché. La cuenta de AWS, a la que pertenece el rol, es la propietaria del recurso de clúster de caché.

Administrar el acceso a los recursos

Una política de permisos describe quién tiene acceso a qué. En la siguiente sección se explican las opciones disponibles para crear políticas de permisos.

nota

En esta sección, también se explica el uso de IAM en el contexto de Amazon ElastiCache. No se proporciona información detallada sobre el servicio de IAM. Para ver la documentación completa de IAM, consulte ¿Qué es IAM? en la Guía del usuario de IAM. Para obtener más información acerca de la sintaxis y las descripciones de las políticas del IAM, consulte Referencia de políticas de IAM de AWS en la Guía del usuario de IAM.

Las políticas que se asocian a una identidad de IAM se denominan políticas basadas en identidades (o políticas de IAM). Las políticas que se adjuntan a un recurso se denominan políticas basadas en recursos.

Políticas basadas en identidades (políticas de IAM)

Puede asociar políticas a identidades de IAM. Por ejemplo, puede hacer lo siguiente:

  • Asociar una política de permisos a un usuario o grupo de la cuenta: un administrador de la cuenta puede utilizar una política de permisos asociada a un usuario determinado para concederle permisos. En este caso, los permisos son para que ese usuario cree un recurso de ElastiCache, como un clúster de caché, un grupo de parámetros o un grupo de seguridad.

  • Asociar una política de permisos a un rol (conceder permisos entre cuentas): puede asociar una política de permisos basada en identidad a un rol de &IAM; para conceder permisos entre cuentas. Por ejemplo, el administrador de la Cuenta A puede crear un rol para conceder permisos entre cuentas a otra cuenta de AWS (por ejemplo, a la Cuenta B) o a un servicio de AWS, tal y como se indica a continuación:

    1. El administrador de la AccountA crea un rol de IAM y asocia una política de permisos a dicho rol, que concede permisos sobre los recursos de la AccountA.

    2. El administrador de la AccountA asocia una política de confianza al rol que identifica la AccountB como la entidad principal que puede asumir el rol.

    3. El administrador de la Cuenta B puede delegar permisos para asumir el rol a cualquier usuario de la Cuenta B. Hacer esto permite a los usuarios de la Cuenta B crear o acceder a los recursos de la Cuenta A. En algunos casos, es posible que desee conceder a un servicio de AWS permisos para asumir el rol. Para respaldar este enfoque, la entidad principal de la política de confianza también puede ser la entidad principal de un servicio de AWS.

    Para obtener más información sobre el uso de IAM para delegar permisos, consulte Administración de accesos en la Guía del usuario de IAM.

A continuación se ofrece un ejemplo de una política que permite a un usuario realizar la acción DescribeCacheClusters para la cuenta de AWS. ElastiCache también permite identificar recursos específicos mediante los ARN de recurso para realizar acciones de la API. Este enfoque también se conoce como "permisos a nivel de recursos". 

{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "DescribeCacheClusters",
      "Effect": "Allow",
      "Action": [
         "elasticache:DescribeCacheClusters"],
      "Resource": resource-arn
      }
   ]
}

Para obtener más información sobre el uso de políticas basadas en identidades con ElastiCache, consulte Uso de políticas basadas en identidad (políticas de IAM) para Amazon ElastiCache. Para obtener más información sobre usuarios, grupos, roles y permisos, consulte Identidades (usuarios, grupos y roles) en la Guía del usuario de IAM.

Especificación de elementos de política: acciones, efectos, recursos y entidades principales

En cada recurso de Amazon ElastiCache (consulte Operaciones y recursos de Amazon ElastiCache), el servicio define un conjunto de operaciones de la API (consulte Acciones). A fin de conceder permisos para estas operaciones de API, ElastiCache define un conjunto de acciones que puede especificar en una política. Por ejemplo, para el recurso del clúster de ElastiCache, se definen las siguientes acciones: CreateCacheCluster, DeleteCacheCluster y DescribeCacheCluster. Para realizar una operación API pueden ser necesarios permisos para más de una acción.

A continuación se indican los elementos más básicos de la política:

  • Recurso: en una política, se usa un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política. Para obtener más información, consulte Operaciones y recursos de Amazon ElastiCache.

  • Acción: utilice palabras clave de acción para identificar las operaciones del recurso que desea permitir o denegar. Por ejemplo, en función del elemento Effect especificado, el permiso elasticache:CreateCacheCluster permite o deniega al usuario los permisos para realizar la operación CreateCacheCluster de Amazon ElastiCache.

  • Efecto: especifique el efecto que se producirá cuando el usuario solicite la acción específica; puede ser permitir o denegar. Si no concede acceso de forma explícita (permitir) a un recurso, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso. Por ejemplo, esto puede servir para asegurarse de que un usuario no pueda tener acceso al recurso, aunque otra política le conceda acceso.

  • Entidad principal: en las políticas basadas en identidades (políticas de IAM), el usuario al que se asocia esta política es la entidad principal implícita. Para las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad que desee que reciba permisos (se aplica solo a las políticas basadas en recursos).

Para obtener más información sobre la sintaxis y descripciones de las políticas de IAM, consulte Referencia de la política de IAM de AWS en la Guía del usuario de IAM.

Para ver una tabla con todas las acciones de API de Amazon ElastiCache, consulte ElastiCache Permisos de API: referencia de acciones, recursos y condiciones.

Especificar las condiciones de una política

Al conceder permisos, puede utilizar el lenguaje de la política de IAM para especificar las condiciones en la que se debe aplicar una política. Por ejemplo, es posible que desee que solo se aplique una política después de una fecha específica. Para obtener más información sobre cómo especificar condiciones en un lenguaje de política, consulte Condition en la Guía del usuario de IAM.

Para expresar condiciones, se usan claves de condición predefinidas. Para utilizar las claves de condición específicas de ElastiCache, consulte Uso de claves de condición. Existen claves de condición que se aplican a todo AWS que puede utilizar cuando corresponda. Para ver una lista completa de las claves que se aplican a todo AWS, consulte Claves disponibles para las condiciones en la Guía del usuario de IAM.