Vue d'ensemble de la gestion des autorisations d'accès à vos ElastiCache ressources - Amazon ElastiCache
ElastiCache Ressources et opérations d'AmazonPrésentation de la propriété des ressourcesGestion de l’accès aux ressources

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Vue d'ensemble de la gestion des autorisations d'accès à vos ElastiCache ressources

Chaque AWS ressource appartient à un AWS compte, et les autorisations de création ou d'accès à une ressource sont régies par des politiques d'autorisation. Un compte administrateur peut attacher des politiques d'autorisations à des identités IAM (c'est-à-dire des utilisateurs, des groupes et des rôles). En outre, Amazon prend ElastiCache également en charge l'ajout de politiques d'autorisation aux ressources.

Note

Un administrateur de compte (ou utilisateur administrateur) est un utilisateur doté des privilèges d’administrateur. Pour plus d'informations, consultez Bonnes pratiques IAM dans le Guide de l'utilisateur IAM.

Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :

Rubriques

ElastiCache Ressources et opérations d'Amazon

Pour consulter la liste des types de ElastiCache ressources et leurs caractéristiques ARNs, consultez la section Ressources définies par Amazon ElastiCache dans le Service Authorization Reference. Pour savoir avec quelles actions vous pouvez spécifier l'ARN de chaque ressource, consultez Actions définies par Amazon ElastiCache.

Présentation de la propriété des ressources

Le propriétaire d'une ressource est le AWS compte qui a créé la ressource. En d'autres termes, le propriétaire de la ressource est le AWS compte de l'entité principale qui authentifie la demande qui crée la ressource. Une entité principale peut être le compte racine, un utilisateur IAM ou un rôle IAM. Les exemples suivants illustrent comment cela fonctionne :

  • Supposons que vous utilisiez les informations d'identification du compte root de votre AWS compte pour créer un cluster de cache. Dans ce cas, votre AWS compte est le propriétaire de la ressource. Dans ElastiCache, la ressource est le cluster de cache.

  • Supposons que vous créiez un utilisateur IAM dans votre AWS compte et que vous accordiez des autorisations pour créer un cluster de cache à cet utilisateur. Dans ce cas, l'utilisateur peut créer un cluster de cache. Toutefois, votre AWS compte, auquel appartient l'utilisateur, est propriétaire de la ressource du cluster de cache.

  • Supposons que vous créiez un rôle IAM dans votre AWS compte avec les autorisations nécessaires pour créer un cluster de cache. Dans ce cas, toute personne pouvant endosser le rôle peut créer un cluster de cache. Votre AWS compte, auquel appartient le rôle, possède la ressource du cluster de cache.

Gestion de l’accès aux ressources

Une politique d'autorisation décrit qui a accès à quoi. La section suivante explique les options disponibles pour créer des politiques d'autorisations.

Note

Cette section décrit l'utilisation d'IAM dans le contexte d'Amazon ElastiCache. Elle ne fournit pas d’informations détaillées sur le service IAM. Pour une documentation complète sur IAM, consultez Qu'est-ce que IAM ? dans le Guide de l'utilisateur IAM. Pour plus d'informations sur la syntaxe et les descriptions des stratégies IAM, consultez Référence de stratégie AWS IAM dans le Guide de l'utilisateur IAM.

Les politiques attachées à une identité IAM sont appelées des politiques basées sur l'identité (politiques IAM). Les stratégies attachées à une ressource sont appelées stratégies basées sur une ressource.

Politiques basées sur une identité (politiques IAM)

Vous pouvez attacher des politiques à des identités IAM. Par exemple, vous pouvez effectuer les opérations suivantes :

  • Attacher une politique d'autorisations à un utilisateur ou à un groupe dans votre compte : un administrateur de compte peut utiliser une politique d'autorisations associée à un utilisateur particulier pour accorder des autorisations. Dans ce cas, les autorisations permettent à cet utilisateur de créer une ElastiCache ressource, telle qu'un cluster de cache, un groupe de paramètres ou un groupe de sécurité.

  • Attacher une politique d'autorisations à un rôle (accorder des autorisations entre comptes) : vous pouvez attacher une politique d'autorisation basée sur une identité à un rôle IAM afin d'accorder des autorisations entre comptes. Par exemple, l'administrateur du compte A peut créer un rôle pour accorder des autorisations entre comptes à un autre AWS compte (par exemple, le compte B) ou à un AWS service comme suit :

    1. L'administrateur du Compte A crée un rôle IAM et attache une politique d'autorisation à ce rôle qui accorde des autorisations sur les ressources dans le Compte A.

    2. L'administrateur du Compte A attache une politique d'approbation au rôle identifiant le Compte B comme principal pouvant assumer ce rôle.

    3. L'administrateur du compte B peut ensuite déléguer les autorisations nécessaires pour assumer le rôle à n'importe quel utilisateur du compte B. Cela permet aux utilisateurs du compte B de créer ou d'accéder aux ressources du compte A. Dans certains cas, vous souhaiterez peut-être accorder à un AWS service des autorisations lui permettant d'assumer le rôle. Pour soutenir cette approche, le principal dans la politique d'approbation peut également être un mandataire du service AWS .

    Pour en savoir plus sur l'utilisation d'IAM pour déléguer des autorisations, consultez Gestion des accès dans le Guide de l'utilisateur IAM.

Voici un exemple de politique qui permet à un utilisateur d'effectuer l'DescribeCacheClustersaction pour votre AWS compte. ElastiCache permet également d'identifier des ressources spécifiques à l'aide de la ressource ARNs pour les actions d'API. (Cette approche est également appelée autorisations au niveau des ressources.) 

{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "DescribeCacheClusters",
      "Effect": "Allow",
      "Action": [
         "elasticache:DescribeCacheClusters"],
      "Resource": resource-arn
      }
   ]
}

Pour plus d'informations sur l'utilisation de politiques basées sur l'identité avec ElastiCache, consultez. Utilisation de politiques basées sur l'identité (politiques IAM) pour Amazon ElastiCache Pour de plus amples informations sur les utilisateurs, les groupes, les rôles et les autorisations, veuillez consulter Identités (utilisateurs, groupes et rôles) dans le Guide de l'utilisateur IAM.

Spécification des éléments d'une politique : actions, effets, ressources et mandataires

Pour chaque ElastiCache ressource Amazon (voir ElastiCache Ressources et opérations d'Amazon), le service définit un ensemble d'opérations d'API (voir Actions). Pour accorder des autorisations pour ces opérations d'API ElastiCache , définissez un ensemble d'actions que vous pouvez spécifier dans une politique. Par exemple, pour la ressource de ElastiCache cluster, les actions suivantes sont définies : CreateCacheClusterDeleteCacheCluster, etDescribeCacheCluster. Une opération d’API peut exiger des autorisations pour plusieurs actions.

Voici les éléments les plus élémentaires d'une politique :

  • Ressource : dans une politique, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la politique s'applique. Pour de plus amples informations, veuillez consulter ElastiCache Ressources et opérations d'Amazon.

  • Action : vous utilisez des mots clés d’action pour identifier les opérations de ressource que vous voulez accorder ou refuser. Par exemple, en fonction de ce qui est spécifiéEffect, l'elasticache:CreateCacheClusterautorisation autorise ou refuse à l'utilisateur l'autorisation d'effectuer l' ElastiCacheCreateCacheClusteropération Amazon.

  • Effet – Vous spécifiez l’effet produit lorsque l’utilisateur demande l’action spécifique, qui peut être une autorisation ou un refus. Si vous n’accordez pas explicitement l’accès pour (autoriser) une ressource, l’accès est implicitement refusé. Vous pouvez également explicitement refuser l’accès à une ressource. Par exemple,vous pouvez le faire afin de vous assurer qu'un utilisateur n'y a pas accès, même si une politique différente accorde cet accès.

  • Principal : dans les politiques basées sur une identité (politiques IAM), l'utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur une ressource, vous spécifiez l'utilisateur, le compte, le service ou une autre entité qui doit recevoir les autorisations (s'applique uniquement aux politiques basées sur une ressource).

Pour en savoir plus sur la syntaxe des stratégies IAM et pour obtenir des descriptions, consultez Référence de stratégie IAM AWS dans le Guide de l'utilisateur IAM.

Pour consulter un tableau présentant toutes les actions de ElastiCache l'API Amazon, consultezElastiCache Autorisations d'API : référence aux actions, aux ressources et aux conditions.

Spécification de conditions dans une politique

Lorsque vous accordez des autorisations, vous pouvez utiliser le langage des politiques IAM afin de spécifier les conditions définissant à quel moment une politique doit prendre effet. Par exemple, il est possible d'appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification de conditions dans un langage de politique, consultez Condition dans le Guide de l'utilisateur IAM.

Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. Pour utiliser des clés de condition ElastiCache spécifiques, consultezUtilisation de clés de condition. Il existe des AWS clés de condition larges que vous pouvez utiliser le cas échéant. Pour obtenir la liste complète des clés AWS-wide, consultez la section Clés disponibles pour les conditions dans le guide de l'utilisateur IAM.