Sumber daya dan operasi Amazon ElastiCache Memahami kepemilikan sumber daya Mengelola akses ke sumber daya

Gambaran umum pengelolaan izin akses untuk sumber daya ElastiCache Anda

Setiap sumber daya AWS dimiliki oleh akun AWS, dan izin untuk membuat atau mengakses sumber daya diatur oleh kebijakan izin. Administrator akun dapat melampirkan kebijakan izin pada identitas IAM (yaitu pengguna, grup, dan peran). Selain itu, Amazon ElastiCache juga mendukung pelampiran kebijakan izin pada sumber daya.

catatan

Administrator akun (atau pengguna administrator) adalah pengguna dengan hak akses administrator. Untuk informasi selengkapnya tentang administrator, lihat Praktik Terbaik IAM dalam Panduan Pengguna IAM.

Untuk memberikan akses, tambahkan izin ke pengguna, grup, atau peran Anda:

Pengguna dan grup di AWS IAM Identity Center:

Buat rangkaian izin. Ikuti petunjuk dalam Buat set izin dalam Panduan Pengguna AWS IAM Identity Center.
Pengguna yang dikelola di IAM melalui penyedia identitas:

Buat peran untuk federasi identitas. Ikuti petunjuk dalam Membuat peran untuk penyedia identitas pihak ketiga (federasi) dalam Panduan Pengguna IAM.
Pengguna IAM:
- Buat peran yang dapat diambil pengguna Anda. Ikuti petunjuk dalam Membuat peran untuk pengguna IAM dalam Panduan Pengguna IAM.
- (Tidak disarankan) Pasang kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk dalam Menambahkan izin ke pengguna (konsol) dalam Panduan Pengguna IAM.

Topik

Sumber daya dan operasi Amazon ElastiCache

Untuk melihat daftar jenis sumber daya ElastiCache dan ARN-nya, lihat Sumber Daya yang Ditentukan oleh Amazon ElastiCache dalam Referensi Otorisasi Layanan. Untuk mempelajari jenis tindakan yang dapat Anda gunakan untuk menentukan ARN dari setiap sumber daya, lihat Tindakan yang Ditentukan oleh Amazon ElastiCache.

Memahami kepemilikan sumber daya

Pemilik sumber daya adalah akun AWS yang membuat sumber daya. Artinya, pemilik sumber daya adalah akun AWS dari entitas prinsipal yang melakukan autentikasi permintaan yang membuat sumber daya. Entitas prinsipal dapat berupa akun root, pengguna IAM, atau peran IAM). Contoh berikut menggambarkan cara kerjanya:

Misalkan Anda menggunakan kredensial akun root dari akun AWS Anda untuk membuat sebuah klaster cache. Dalam hal ini, akun AWS Anda adalah pemilik sumber daya. Di ElastiCache, sumber dayanya adalah klaster cache.
Misalkan Anda membuat pengguna IAM dalam akun AWS Anda dan memberikan izin untuk membuat klaster cache kepada pengguna tersebut. Dalam hal ini, pengguna tersebut dapat membuat klaster cache. Namun, akun AWS Anda, yang berisi pengguna tersebut, adalah pemilik sumber daya klaster cache.
Misalkan Anda membuat pengguna IAM dalam akun AWS Anda dengan izin untuk membuat klaster cache. Dalam hal ini, siapa pun yang dapat mengambil peran tersebut akan dapat membuat klaster cache. Akun AWS Anda, yang berisi peran tersebut, adalah pemilik sumber daya klaster cache.

Mengelola akses ke sumber daya

Kebijakan izin menjelaskan siapa yang memiliki akses ke suatu objek. Bagian berikut menjelaskan opsi yang tersedia untuk membuat kebijakan izin.

catatan

Bagian ini membahas penggunaan IAM dalam konteks Amazon ElastiCache. Bagian ini tidak memberikan informasi yang mendetail tentang layanan IAM. Untuk dokumentasi IAM lengkap, lihat Apa yang Dimaksud dengan IAM? dalam Panduan Pengguna IAM. Untuk informasi tentang sintaksis dan deskripsi kebijakan IAM, lihat Referensi Kebijakan IAM AWS dalam Panduan Pengguna IAM.

Kebijakan yang terlampir pada identitas IAM disebut sebagai kebijakan berbasis identitas (kebijakan IAM). Kebijakan yang dilampirkan pada sumber daya disebut sebagai kebijakan berbasis-sumber daya.

Topik

Kebijakan berbasis identitas (kebijakan IAM)
Menentukan elemen kebijakan: Tindakan, efek, sumber daya, dan prinsipal
Menentukan kondisi dalam kebijakan

Kebijakan berbasis identitas (kebijakan IAM)

Anda dapat melampirkan kebijakan ke identitas IAM Anda. Misalnya, Anda dapat melakukan hal berikut:

Melampirkan kebijakan izin pada pengguna atau grup dalam akun Anda – Akun administrator dapat menggunakan kebijakan izin yang terkait dengan pengguna tertentu untuk memberikan izin. Dalam hal ini, izin diberikan agar pengguna tersebut dapat membuat sumber daya ElastiCache, seperti klaster cache, grup parameter, atau grup keamanan.
Melampirkan kebijakan izin pada peran (memberikan izin lintas akun) – Anda dapat melampirkan kebijakan izin berbasis identitas ke peran IAM untuk memberikan izin lintas akun. Misalnya, administrator di Akun A dapat membuat peran untuk memberikan izin lintas akun ke akun AWS lain (misalnya, Akun B) atau layanan AWS sebagai berikut:
1. Administrator akun A membuat peran IAM dan melampirkan kebijakan izin ke peran ini yang memberikan izin pada sumber daya di akun A.
2. Administrator akun A melampirkan kebijakan kepercayaan ke peran yang mengidentifikasi Akun B sebagai prinsipal yang dapat mengambil peran tersebut.
3. Administrator Akun B kemudian dapat mendelegasikan izin untuk mengambil peran bagi semua pengguna di Akun B. Dengan demikian, pengguna di akun B dapat membuat atau mengakses sumber daya di akun A. Dalam beberapa kasus, Anda mungkin ingin memberi layanan AWS izin untuk mengambil peran tersebut. Untuk mendukung pendekatan ini, prinsipal dalam kebijakan kepercayaan juga dapat merupakan prinsipal layanan AWS.
Untuk informasi selengkapnya tentang penggunaan IAM untuk mendelegasikan izin, lihat Manajemen Akses dalam Panduan Pengguna IAM.

Berikut adalah contoh kebijakan yang mengizinkan pengguna melakukan tindakan DescribeCacheClusters untuk akun AWS Anda. ElastiCache juga mendukung identifikasi sumber daya tertentu menggunakan ARN sumber daya untuk tindakan API. (Pendekatan ini juga disebut sebagai izin tingkat sumber daya).


{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "DescribeCacheClusters",
      "Effect": "Allow",
      "Action": [
         "elasticache:DescribeCacheClusters"],
      "Resource": resource-arn
      }
   ]
}

Untuk informasi selengkapnya tentang penggunaan kebijakan berbasis identitas dengan ElastiCache, lihat Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk Amazon ElastiCache. Untuk informasi selengkapnya tentang pengguna, grup, peran, dan izin, lihat Identitas (Pengguna, Grup, dan Peran) dalam Panduan Pengguna IAM.

Menentukan elemen kebijakan: Tindakan, efek, sumber daya, dan prinsipal

Untuk setiap sumber daya Amazon ElastiCache (lihat Sumber daya dan operasi Amazon ElastiCache), layanan menentukan kumpulan operasi API (lihat Tindakan). Untuk memberikan izin bagi operasi API ini, ElastiCache menentukan kumpulan tindakan yang dapat Anda tetapkan dalam kebijakan. Misalnya, untuk sumber daya klaster ElastiCache, tindakan berikut ditentukan: CreateCacheCluster, DeleteCacheCluster, and DescribeCacheCluster. Operasi API dapat memerlukan izin untuk lebih dari satu tindakan.

Berikut adalah elemen-elemen kebijakan yang paling dasar:

Sumber daya – Dalam kebijakan, Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang diatur kebijakan. Untuk informasi selengkapnya, lihat Sumber daya dan operasi Amazon ElastiCache.
Tindakan – Anda menggunakan kata kunci tindakan untuk mengidentifikasi operasi sumber daya yang ingin Anda izinkan atau tolak. Misalnya, tergantung pada Effect yang ditentukan, izin elasticache:CreateCacheCluster mengizinkan atau menolak pengguna untuk melakukan operasi CreateCacheCluster Amazon ElastiCache.
Efek – Anda menentukan efek ketika pengguna meminta tindakan tertentu—baik mengizinkan maupun menolak. Jika Anda tidak secara eksplisit memberikan akses ke (mengizinkan) sumber daya, akses akan ditolak secara implisit. Anda juga dapat secara eksplisit menolak akses ke sumber daya. Misalnya, Anda mungkin melakukannya untuk memastikan agar pengguna tidak dapat mengakses sumber daya, meskipun jika ada kebijakan berbeda yang memberikan akses.
Prinsipal – Dalam kebijakan berbasis identitas (Kebijakan IAM), pengguna yang dilampiri kebijakan adalah prinsipal secara implisit. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang diinginkan untuk menerima izin (berlaku hanya untuk kebijakan berbasis sumber daya).

Untuk mempelajari selengkapnya tentang sintaksis dan deskripsi kebijakan IAM, lihat Referensi Kebijakan IAM AWS dalam Panduan Pengguna IAM.

Untuk tabel yang menunjukkan semua tindakan API Amazon ElastiCache, lihat ElastiCache Izin API: Referensi tindakan, sumber daya, dan kondisi.

Menentukan kondisi dalam kebijakan

Ketika Anda memberikan izin, Anda dapat menggunakan bahasa kebijakan IAM untuk menentukan kondisi ketika kebijakan harus berlaku. Misalnya, Anda mungkin ingin kebijakan diterapkan hanya setelah tanggal tertentu. Untuk informasi selengkapnya tentang menentukan kondisi dalam bahasa kebijakan, lihat Kondisi dalam Panduan Pengguna IAM.

Untuk menyatakan kondisi, Anda menggunakan kunci kondisi standar. Untuk menggunakan kunci kondisi khusus ElastiCache, lihat Menggunakan kunci syarat. Terdapat kunci kondisi yang berlaku di seluruh AWS yang dapat Anda gunakan sesuai kebutuhan. Untuk daftar lengkap kunci di seluruh AWS, lihat Kunci yang Tersedia untuk Syarat dalam Panduan Pengguna IAM.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Pemecahan Masalah

Kebijakan terkelola AWS