Autorisations de niveau ressource - Amazon ElastiCache for Redis

Autorisations de niveau ressource

Vous pouvez restreindre la portée des autorisations en spécifiant des ressources dans une politique IAM. De nombreuses actions d'API Elasticache prennent en charge un type de ressource qui varie en fonction du comportement de l'action. Chaque déclaration de politique IAM accorde une autorisation pour une action effectuée sur une ressource. Lorsque l'action n'agit pas sur une ressource nommée, ou lorsque vous accordez l'autorisation d'effectuer l'action sur toutes les ressources, la valeur de la ressource de la politique est un caractère générique (*). Pour la plupart des actions d'API, vous pouvez limiter les ressources qu'un utilisateur peut modifier en spécifiant l'ARN (Amazon Resource Name) d'une ressource ou un modèle ARN qui correspond à plusieurs ressources. Pour limiter les autorisations par ressource, spécifiez la ressource par son ARN.

Format ARN des ressources ElastiCache

Note

Pour que les autorisations au niveau des ressources soient efficaces, le nom de la ressource sur la chaîne ARN doit être en minuscules.

  • (Pour Redis versions 6.0 et ultérieures) Utilisateur – arn:aws:elasticache:us-east-2:123456789012:user:user1

  • (Pour Redis versions 6.0 et ultérieures) Groupe d’utilisateurs – arn:aws:elasticache:us-east-2:123456789012:usergroup:my-usergroup

  • Cluster – arn:aws:elasticache:us-east-2:123456789012:cluster:my-cluster

  • Instantané – arn:aws:elasticache:us-east-2:123456789012:snapshot:my-snapshot

  • Groupe de paramètres – arn:aws:elasticache:us-east-2:123456789012:parametergroup:my-parameter-group

  • Groupe de réplication – arn:aws:elasticache:us-east-2:123456789012:replicationgroup:my-replication-group

  • Groupe de sécurité – arn:aws:elasticache:us-east-2:123456789012:securitygroup:my-security-group

  • Groupe de sous-réseau – arn:aws:elasticache:us-east-2:123456789012:subnetgroup:my-subnet-group

  • Instance réservée – arn:aws:elasticache:us-east-2:123456789012:reservedinstance:my-reserved-instance

  • Groupe de réplication global – arn:aws:elasticache:123456789012:globalreplicationgroup:my-global-replication-group

Exemple 1 : accorder à un utilisateur un accès complet aux ressources ElastiCache spécifiques

La politique suivante autorise explicitement toutes les ressources de type groupe de sous-réseau, groupe de sécurité et groupe de réplication.

{ "Sid": "Example1", "Effect": "Allow", "Action": "elasticache:*", "Resource": [ "arn:aws:elasticache:us-east-1:account-id:subnetgroup:*", "arn:aws:elasticache:us-east-1:account-id:securitygroup:*", "arn:aws:elasticache:us-east-1:account-id:replicationgroup:*" ] }

Exemple 2 : Refuser à un utilisateur l'accès à un groupe de réplication.

L'exemple suivant refuse explicitement l'accès à un groupe de réplication particulier.

{ "Sid": "Example2", "Effect": "Deny", "Action": "elasticache:*", "Resource": [ "arn:aws:elasticache:us-east-1:account-id:replicationgroup:name" ] }