Présentation de la gestion des autorisations d'accès à vos ressources ElastiCache - Amazon ElastiCache for Redis

Présentation de la gestion des autorisations d'accès à vos ressources ElastiCache

Chaque ressource AWS appartient à un compte AWS et les autorisations de créer des ressources et d'y accéder sont régies par des politiques d'autorisation. Un compte administrateur peut attacher des politiques d'autorisations à des identités IAM (c'est-à-dire des utilisateurs, des groupes et des rôles). En outre, Amazon ElastiCache prend également en charge l'attachement de politiques d'autorisations aux ressources.

Note

Un administrateur de compte (ou utilisateur administrateur) est un utilisateur doté des privilèges d'administrateur. Pour plus d'informations, consultez Bonnes pratiques IAM dans le Guide de l'utilisateur IAM.

Lorsque vous accordez des autorisations, vous décidez qui les reçoit. Vous décidez également à quelles ressources ces autorisations s'appliquent et les actions spécifiques que vous souhaitez autoriser sur ces ressources.

Ressources et opérations Amazon ElastiCache

Dans Amazon ElastiCache, la principale ressource est un cluster de cache.

Ces ressources ont des noms Amazon Resource Name (ARN) uniques qui leur sont associés, comme cela est illustré ci-dessous.

Note

Pour que les autorisations au niveau des ressources soient efficaces, le nom de la ressource sur la chaîne ARN doit être en minuscules.

Type de ressource Format ARN

(Pour Redis versions 6.0 et ultérieures) Utilisateur

arn:aws:elasticache:us-east-2:123456789012:user:user1

(Pour Redis versions 6.0 et ultérieures) Groupe d’utilisateurs

arn:aws:elasticache:us-east-2:123456789012:usergroup:myusergroup

Cluster

arn:aws:elasticache:us-east-2:123456789012:cluster:my-cluster

Instantané

arn:aws:elasticache:us-east-2:123456789012:snapshot:my-snapshot

Groupe de paramètres

arn:aws:elasticache:us-east-2:123456789012:parametergroup:my-parameter-group

Groupe de réplication

arn:aws:elasticache:us-east-2:123456789012:replicationgroup:my-replication-group

Groupe de sécurité

arn:aws:elasticache:us-east-2:123456789012:securitygroup:my-security-group

Groupe de sous-réseaux

arn:aws:elasticache:us-east-2:123456789012:subnetgroup:my-subnet-group

Instance réservée

arn:aws:elasticache:us-east-2:123456789012:reserved-instance:my-reserved-instance

Groupe de réplication global

arn:aws:elasticache:123456789012:globalreplicationgroup:my-global-replication-group

User

arn:aws:elasticache:us-east-2:123456789012:user:my-user

Groupe d'utilisateurs

arn:aws:elasticache:us-east-2:123456789012:user:my-user-group

ElastiCache fournit un ensemble d'opérations pour utiliser les ressources ElastiCache. Pour obtenir la liste des opérations disponibles, consultez Actions Amazon ElastiCache.

Présentation de la propriété des ressources

Le propriétaire de la ressource est le compte AWS qui l'a créée. Ainsi, le propriétaire de la ressource est le compte AWS de l'entité principale qui authentifie la demande ayant créé la ressource. Une entité principale peut être le compte racine, un utilisateur IAM ou un rôle IAM. Les exemples suivants illustrent comment cela fonctionne :

  • Supposons que vous utilisez les informations d'identification de compte racine de votre compte AWS pour créer un cluster de cache. Dans ce cas, votre compte AWS est le propriétaire de la ressource. Dans ElastiCache, la ressource est le cluster de cache.

  • Supposons que vous créez un utilisateur IAM dans votre compte AWS et que vous accordez à cet utilisateur les autorisations permettant de créer un cluster de cache. Dans ce cas, l'utilisateur peut créer un cluster de cache. Toutefois, votre compte AWS, auquel l'utilisateur appartient, détient la ressource du cluster de cache.

  • Supposons que vous créez un rôle IAM dans votre compte AWS avec les autorisations pour créer un cluster de cache. Dans ce cas, toute personne pouvant endosser le rôle peut créer un cluster de cache. Votre compte AWS, auquel le rôle appartient, détient la ressource du cluster de cache.

Gestion de l'accès aux ressources

Une politique d'autorisation décrit qui a accès à quoi. La section suivante explique les options disponibles pour créer des politiques d'autorisation.

Note

Cette section traite de l'utilisation d'IAM dans le contexte d'Amazon ElastiCache. Elle ne fournit pas d'informations détaillées sur le service IAM. Pour une documentation complète sur IAM, consultez Qu'est-ce que IAM ? dans le Guide de l'utilisateur IAM. Pour plus d'informations sur la syntaxe et les descriptions des stratégies IAM, consultez Référence de stratégie AWS IAM dans le Guide de l'utilisateur IAM.

Les politiques attachées à une identité IAM sont appelées des politiques basées sur l'identité (politiques IAM). Les stratégies attachées à une ressource sont appelées stratégies basées sur une ressource.

Politiques basées sur une identité (politiques IAM)

Vous pouvez attacher des politiques à des identités IAM. Par exemple, vous pouvez effectuer les opérations suivantes :

  • Attacher une politique d'autorisations à un utilisateur ou à un groupe dans votre compte – un administrateur de compte peut utiliser une politique d'autorisations associée à un utilisateur particulier pour accorder des autorisations. Dans ce cas, les autorisations permettent à cet utilisateur de créer une ressource ElastiCache, telle qu'un cluster de cache, un groupe de paramètres ou un groupe de sécurité.

  • Attacher une politique d'autorisations à un rôle (accorder des autorisations entre comptes) – vous pouvez attacher une politique d'autorisation basée sur une identité à un rôle IAM afin d'accorder des autorisations entre comptes. Par exemple, l'administrateur du Compte A peut créer un rôle afin d'accorder des autorisations inter-comptes à un autre compte AWS (par exemple, le Compte B) ou à un service AWS comme suit :

    1. L'administrateur du Compte A crée un rôle IAM et attache une politique d'autorisation à ce rôle qui accorde des autorisations sur les ressources dans le Compte A.

    2. L'administrateur du Compte A attache une politique d'approbation au rôle identifiant le Compte B comme mandataire pouvant assumer ce rôle.

    3. L'administrateur du compte B peut alors déléguer des autorisations pour assumer ce rôle auprès de tous les utilisateurs figurant dans le compte B. Les utilisateurs du compte B sont ainsi autorisés à créer des ressources ou à y accéder dans le compte A. Dans certains cas, vous pourrez vouloir accorder à un service AWS des autorisations pour assumer ce rôle. Pour soutenir cette approche, le mandataire dans la politique d'approbation peut également être un mandataire du service AWS.

    Pour en savoir plus sur l'utilisation d'IAM pour déléguer des autorisations, consultez Gestion des accès dans le Guide de l'utilisateur IAM.

Voici un exemple de politique autorisant un utilisateur à effectuer l'action DescribeCacheClusters pour votre compte AWS. ElastiCache prend également en charge l'identification de ressources spécifiques à l'aide des ARN de ressource pour les actions d'API. (Cette approche est également appelée autorisations au niveau des ressources.)

{ "Version": "2012-10-17", "Statement": [{ "Sid": "DescribeCacheClusters", "Effect": "Allow", "Action": [ "elasticache:DescribeCacheClusters"], "Resource": resource-arn } ] }

Pour plus d'informations sur l'utilisation des politiques basées sur l'identité avec ElastiCache, veuillez consulter Utilisation des politiques basées sur l'identité (politiques IAM) pour Amazon ElastiCache. Pour de plus amples informations sur les utilisateurs, les groupes, les rôles et les autorisations, veuillez consulter Identités (utilisateurs, groupes et rôles) dans le Guide de l'utilisateur IAM.

Spécification des éléments d'une politique : actions, effets, ressources et mandataires

Pour chaque ressource Amazon ElastiCache (voir Ressources et opérations Amazon ElastiCache), le service définit un ensemble d'opérations d'API (voir Actions). Pour accorder des autorisations pour ces opérations d'API, ElastiCache définit un ensemble d'actions que vous pouvez spécifier dans une politique. Par exemple, pour la ressource d'instantané ElastiCache, les actions suivantes sont définies : CreateCacheCluster, DeleteCacheCluster et DescribeCacheCluster. Une opération d'API peut exiger des autorisations pour plusieurs actions.

Voici les éléments les plus élémentaires d'une politique :

  • Ressource – dans une politique, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la politique s'applique. Pour plus d’informations, consultez Ressources et opérations Amazon ElastiCache.

  • Action : vous utilisez des mots clés d'action pour identifier les opérations de ressource que vous voulez accorder ou refuser. Par exemple, en fonction de l'Effect spécifié, l'autorisation elasticache:CreateCacheCluster accorde ou refuse à l'utilisateur les autorisations pour effectuer l'opération CreateCacheCluster Amazon ElastiCache.

  • Effet – Vous spécifiez l'effet produit lorsque l'utilisateur demande l'action spécifique, qui peut être une autorisation ou un refus. Si vous n'accordez pas explicitement l'accès pour (autoriser) une ressource, l'accès est implicitement refusé. Vous pouvez également explicitement refuser l'accès à une ressource. Par exemple,vous pouvez le faire afin de vous assurer qu'un utilisateur n'y a pas accès, même si une politique différente accorde cet accès.

  • Mandataire – dans les politiques basées sur une identité (politiques IAM), l'utilisateur auquel la politique est attachée est le mandataire implicite. Pour les politiques basées sur une ressource, vous spécifiez l'utilisateur, le compte, le service ou une autre entité qui doit recevoir les autorisations (s'applique uniquement aux politiques basées sur une ressource).

Pour en savoir plus sur la syntaxe des stratégies IAM et pour obtenir des descriptions, consultez Référence de stratégie IAM AWS dans le Guide de l'utilisateur IAM.

Pour accéder à un tableau répertoriant toutes les actions d'API Amazon ElastiCache, veuillez consulter Autorisations d'API ElastiCache : référence des actions, ressources et conditions.

Spécification de conditions dans une politique

Lorsque vous accordez des autorisations, vous pouvez utiliser le langage des politiques IAM afin de spécifier les conditions définissant à quel moment une politique doit prendre effet. Par exemple, il est possible d'appliquer une politique après seulement une date spécifique. Pour de plus amples informations sur la spécification de conditions dans un langage de politique, veuillez consulter Condition dans le Guide de l'utilisateur IAM.

Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. Pour utiliser les clés de condition spécifiques à ElastiCache, veuillez consulter Utilisation de clés de condition. Il existe des clés de condition à l'échelle d'AWS que vous pouvez utiliser selon vos besoins. Pour obtenir la liste complète des clés à l'échelle d'AWS, consultez Clés disponibles pour les conditions dans le Guide de l'utilisateur IAM.