Autorisations requises pour utiliser la console MemoryDB Exemples de politiques gérées par le client

Utilisation de politiques basées sur l'identité (politiques IAM) pour MemoryDB

Cette rubrique fournit des exemples de politiques basées sur une identité dans lesquelles un administrateur de compte peut attacher des politiques d'autorisation aux identités IAM (c'est-à-dire aux utilisateurs, groupes et rôles).

Important

Nous vous recommandons de lire d'abord les rubriques qui expliquent les concepts de base et les options de gestion de l'accès aux ressources MemoryDB. Pour plus d’informations, consultez Vue d'ensemble de la gestion des autorisations d'accès à vos ressources MemoryDB.

Les sections de cette rubrique couvrent les sujets suivants :

Autorisations requises pour utiliser la console MemoryDB
AWS-politiques gérées (prédéfinies) pour MemoryDB
Exemples de politiques gérées par le client

Un exemple de politique d'autorisation est exposé ci-dessous.


{
   "Version": "2012-10-17",
   "Statement": [{
       "Sid": "AllowClusterPermissions",
       "Effect": "Allow",
       "Action": [
          "memorydb:CreateCluster",          
          "memorydb:DescribeClusters",
          "memorydb:UpdateCluster"],
       "Resource": "*"
       },
       {
         "Sid": "AllowUserToPassRole",
         "Effect": "Allow",
         "Action": [ "iam:PassRole" ],
         "Resource": "arn:aws:iam::123456789012:role/EC2-roles-for-cluster"
       }
   ]
}

La politique possède deux énoncés:

La première instruction accorde des autorisations pour les actions MemoryDB (memorydb:CreateCluster,memorydb:DescribeClusters, etmemorydb:UpdateCluster) sur tout cluster appartenant au compte.
La deuxième instruction accorde des autorisations pour l'action IAM (iam:PassRole) sur le nom du rôle IAM spécifié à la fin de la valeur Resource.

La politique ne spécifie pas l'élément Principal car, dans une politique basée sur une identité, vous ne spécifiez pas le principal qui obtient l'autorisation. Quand vous attachez une politique à un utilisateur, l'utilisateur est le principal implicite. Lorsque vous attachez une politique d'autorisation à un rôle IAM, le principal identifié dans la politique d'approbation de ce rôle obtient les autorisations.

Pour un tableau présentant toutes les actions de l'API MemoryDB et les ressources auxquelles elles s'appliquent, consultez. Autorisations de l'API MemoryDB : référence aux actions, aux ressources et aux conditions

Autorisations requises pour utiliser la console MemoryDB

Le tableau de référence des autorisations répertorie les opérations de l'API MemoryDB et indique les autorisations requises pour chaque opération. Pour plus d'informations sur les opérations de l'API MemoryDB, consultez. Autorisations de l'API MemoryDB : référence aux actions, aux ressources et aux conditions

Pour utiliser la console MemoryDB, accordez d'abord des autorisations pour des actions supplémentaires, comme indiqué dans la politique d'autorisation suivante.


{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "MinPermsForMemDBConsole",
        "Effect": "Allow",
        "Action": [
            "memorydb:Describe*",
            "memorydb:List*",
            "ec2:DescribeAvailabilityZones",
            "ec2:DescribeVpcs",
            "ec2:DescribeAccountAttributes",
            "ec2:DescribeSecurityGroups",
            "cloudwatch:GetMetricStatistics",
            "cloudwatch:DescribeAlarms",
            "s3:ListAllMyBuckets",
            "sns:ListTopics",
            "sns:ListSubscriptions" ],
        "Resource": "*"
        }
    ]
}

La console MemoryDB a besoin de ces autorisations supplémentaires pour les raisons suivantes :

Les autorisations pour les actions MemoryDB permettent à la console d'afficher les ressources MemoryDB dans le compte.
La console a besoin d'autorisations pour les actions ec2 pour interroger Amazon EC2 afin qu'elle puisse afficher les zones de disponibilité, les VPC, les groupes de sécurité et les attributs de compte.
Les autorisations relatives aux cloudwatch actions permettent à la console de récupérer CloudWatch les métriques et les alarmes Amazon et de les afficher dans la console.
Les autorisations pour les actions sns permettent à la console de récupérer les abonnements et les rubriques Amazon Simple Notification Service (Amazon SNS), et de les afficher dans la console.

Exemples de politiques gérées par le client

Si vous n'utilisez pas de politique par défaut et que vous choisissez d'utiliser une politique gérée personnalisée, vous devez assurer l'un des deux points suivants. Vous devez soit avoir les autorisations d'appeler iam:createServiceLinkedRole (pour plus d'informations, veuillez consulter Exemple 4 : Autoriser un utilisateur à appeler l'API IAM CreateServiceLinkedRole ). Ou vous auriez dû créer un rôle lié au service MemoryDB.

Combinés aux autorisations minimales nécessaires pour utiliser la console MemoryDB, les exemples de politiques présentés dans cette section accordent des autorisations supplémentaires. Les exemples sont également pertinents pour les AWS SDK et les AWS CLI. Pour plus d'informations sur les autorisations nécessaires pour utiliser la console MemoryDB, consultez. Autorisations requises pour utiliser la console MemoryDB

Pour plus d'informations sur la configuration des utilisateurs et des groupes IAM, veuillez consulter Création de votre premier groupe d'utilisateurs et d'administrateurs IAM dans le Guide de l'utilisateur IAM.

Important

Veillez à toujours tester vos politiques IAM de manière approfondie avant de les utiliser. Certaines actions MemoryDB qui semblent simples peuvent nécessiter d'autres actions pour les prendre en charge lorsque vous utilisez la console MemoryDB. Par exemple, memorydb:CreateCluster accorde des autorisations pour créer des clusters MemoryDB. Toutefois, pour effectuer cette opération, la console MemoryDB utilise un certain nombre d'Listactions Describe et pour remplir les listes de consoles.

Exemples

Exemple 1 : autoriser un utilisateur à accéder en lecture seule aux ressources MemoryDB
Exemple 2 : autoriser un utilisateur à effectuer des tâches courantes d'administrateur système MemoryDB
Exemple 3 : Autoriser un utilisateur à accéder à toutes les actions de l'API MemoryDB
Exemple 4 : Autoriser un utilisateur à appeler l'API IAM CreateServiceLinkedRole

Exemple 1 : autoriser un utilisateur à accéder en lecture seule aux ressources MemoryDB

La politique suivante accorde des autorisations pour les actions MemoryDB qui permettent à un utilisateur de répertorier des ressources. En général, vous attachez ce type de politique d'autorisations à un groupe de gestionnaires.


{
   "Version": "2012-10-17",
   "Statement":[{
      "Sid": "MemDBUnrestricted",
      "Effect":"Allow",
      "Action": [
          "memorydb:Describe*",
          "memorydb:List*"],
      "Resource":"*"
      }
   ]
}

Exemple 2 : autoriser un utilisateur à effectuer des tâches courantes d'administrateur système MemoryDB

Les tâches courantes des administrateurs système incluent la modification des clusters, des paramètres et des groupes de paramètres. Un administrateur système peut également souhaiter obtenir des informations sur les événements MemoryDB. La politique suivante accorde à un utilisateur l'autorisation d'effectuer des actions MemoryDB pour ces tâches courantes d'administrateur système. Généralement, vous attachez ce type de politique d'autorisations au groupe d'administrateurs système.


{
   "Version": "2012-10-17",
   "Statement":[{
      "Sid": "MDBAllowSpecific",
      "Effect":"Allow",
      "Action":[
          "memorydb:UpdateCluster",        
          "memorydb:DescribeClusters",
          "memorydb:DescribeEvents",
          "memorydb:UpdateParameterGroup",
          "memorydb:DescribeParameterGroups",
          "memorydb:DescribeParameters",
          "memorydb:ResetParameterGroup",],
      "Resource":"*"
      }
   ]
}

Exemple 3 : Autoriser un utilisateur à accéder à toutes les actions de l'API MemoryDB

La politique suivante permet à un utilisateur d'accéder à toutes les actions MemoryDB. Nous vous conseillons d'accorder ce type de politique d'autorisations uniquement à un utilisateur administrateur.


{
   "Version": "2012-10-17",
   "Statement":[{
      "Sid": "MDBAllowAll",
      "Effect":"Allow",
      "Action":[
          "memorydb:*" ],
      "Resource":"*"
      }
   ]
}

Exemple 4 : Autoriser un utilisateur à appeler l'API IAM CreateServiceLinkedRole

La politique suivante permet à un utilisateur d'appeler l'API CreateServiceLinkedRole IAM. Nous vous recommandons d'accorder ce type de politique d'autorisations à l'utilisateur qui invoque des opérations mutatives de MemoryDB.


{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"CreateSLRAllows",
      "Effect":"Allow",
      "Action":[
        "iam:CreateServiceLinkedRole"
      ],
      "Resource":"*",
      "Condition":{
        "StringLike":{
          "iam:AWS ServiceName":"memorydb.amazonaws.com"
        }
      }
    }
  ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Présentation de la gestion des accès

Autorisations de niveau ressource