Ikhtisar mengelola izin akses ke sumber daya MemoryDB Anda

Setiap AWS sumber daya dimiliki oleh AWS akun, dan izin untuk membuat atau mengakses sumber daya diatur oleh kebijakan izin. Administrator akun dapat melampirkan kebijakan izin pada identitas IAM (yaitu pengguna, grup, dan peran). Selain itu, MemoryDB juga mendukung melampirkan kebijakan izin ke sumber daya.

catatan

Administrator akun (atau pengguna administrator) adalah pengguna dengan hak akses administrator. Untuk informasi selengkapnya, lihat Praktik Terbaik IAM dalam Panduan Pengguna IAM.

Untuk memberikan akses, tambahkan izin ke pengguna, grup, atau peran Anda:

• Pengguna dan grup di AWS IAM Identity Center:

  Buat rangkaian izin. Ikuti instruksi di Buat rangkaian izin di Panduan Pengguna AWS IAM Identity Center .

• Pengguna yang dikelola di IAM melalui penyedia identitas:

  Buat peran untuk federasi identitas. Ikuti instruksi dalam Membuat peran untuk penyedia identitas pihak ketiga (federasi) di Panduan Pengguna IAM.

• Pengguna IAM:

  • Buat peran yang dapat diambil pengguna Anda. Ikuti instruksi dalam Membuat peran untuk pengguna IAM dalam Panduan Pengguna IAM.

  • (Tidak disarankan) Pasang kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti instruksi dalam Menambahkan izin ke pengguna (konsol) dalam Panduan Pengguna IAM.

Topik

• Sumber daya dan operasi MemoryDB
• Memahami kepemilikan sumber daya
• Mengelola akses ke sumber daya
• Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk MemoryDB
• Izin tingkat sumber daya
• Menggunakan Peran Tertaut Layanan untuk MemoryDB
• AWS kebijakan terkelola untuk MemoryDB
• Izin API MemoryDB: Referensi tindakan, sumber daya, dan kondisi

Sumber daya dan operasi MemoryDB

Di MemoryDB, sumber daya utama adalah cluster.

Sumber daya ini memiliki Amazon Resource Name (ARN) yang unik dan terkait dengannya, seperti ditunjukkan berikut ini.

catatan

Agar izin di tingkat sumber daya menjadi efektif, nama sumber daya pada string ARN harus huruf kecil.

Jenis sumber daya	Format ARN
Pengguna	arn:aws:memorydb: us-timur- 1:123456789012: pengguna/pengguna1
Daftar Kontrol Akses (ACL)	arn:aws:memorydb: us-timur- 1:123456789012: acl/myacl
Klaster	arn:aws:memorydb: us-timur- 1:123456789012: cluster/my-cluster
Snapshot	arn:aws:memorydb: us-timur- 1:123456789012: snapshot/snapshot saya
Grup parameter	arn:aws:memorydb: us-timur- 1:123456789012: parametergroup/ my-parameter-group
Grup subnet	arn:aws:memorydb: us-timur- 1:123456789012: subnetgroup/my-subnet-group

MemoryDB menyediakan satu set operasi untuk bekerja dengan sumber daya MemoryDB. Untuk daftar operasi yang tersedia, lihat Tindakan MemoryDB.

Memahami kepemilikan sumber daya

Pemilik sumber daya adalah AWS akun yang membuat sumber daya. Artinya, pemilik sumber daya adalah AWS akun entitas utama yang mengotentikasi permintaan yang membuat sumber daya. Entitas utama dapat berupa akun root, pengguna IAM, atau peran IAM. Contoh berikut menggambarkan cara kerjanya:

• Misalkan Anda menggunakan kredensyal akun root AWS akun Anda untuk membuat cluster. Dalam hal ini, AWS akun Anda adalah pemilik sumber daya. Di MemoryDB, sumber daya adalah cluster.

• Misalkan Anda membuat pengguna IAM di AWS akun Anda dan memberikan izin untuk membuat klaster ke pengguna tersebut. Dalam hal ini, pengguna dapat membuat cluster. Namun, AWS akun Anda, tempat pengguna berada, memiliki sumber daya cluster.

• Misalkan Anda membuat peran IAM di AWS akun Anda dengan izin untuk membuat klaster. Dalam hal ini, siapa pun yang dapat mengambil peran dapat membuat cluster. AWS Akun Anda, tempat peran tersebut berada, memiliki sumber daya cluster.

Mengelola akses ke sumber daya

Kebijakan izin menjelaskan siapa yang memiliki akses ke suatu objek. Bagian berikut menjelaskan opsi yang tersedia untuk membuat kebijakan izin.

catatan

Bagian ini membahas penggunaan IAM dalam konteks MemoryDB. Bagian ini tidak memberikan informasi yang mendetail tentang layanan IAM. Untuk dokumentasi IAM lengkap, lihat Apa yang Dimaksud dengan IAM? dalam Panduan Pengguna IAM. Untuk informasi tentang sintaksis dan deskripsi kebijakan IAM, lihat Referensi Kebijakan IAM AWS dalam Panduan Pengguna IAM.

Kebijakan yang terlampir pada identitas IAM disebut sebagai kebijakan berbasis identitas (kebijakan IAM). Kebijakan yang dilampirkan pada sumber daya disebut sebagai kebijakan berbasis-sumber daya.

Kebijakan berbasis identitas (kebijakan IAM)

Anda dapat melampirkan kebijakan ke identitas IAM Anda. Misalnya, Anda dapat melakukan hal berikut:

• Melampirkan kebijakan izin pada pengguna atau grup dalam akun Anda – Akun administrator dapat menggunakan kebijakan izin yang terkait dengan pengguna tertentu untuk memberikan izin. Dalam hal ini, izin adalah untuk pengguna tersebut untuk membuat sumber daya MemoryDB, seperti cluster, grup parameter, atau grup keamanan.

• Melampirkan kebijakan izin pada peran (memberikan izin lintas akun) – Anda dapat melampirkan kebijakan izin berbasis identitas ke peran IAM untuk memberikan izin lintas akun. Misalnya, administrator di Akun A dapat membuat peran untuk memberikan izin lintas akun ke AWS akun lain (misalnya, Akun B) atau AWS layanan sebagai berikut:

  1. Administrator akun A membuat peran IAM dan melampirkan kebijakan izin ke peran ini yang memberikan izin pada sumber daya di akun A.

  2. Administrator akun A melampirkan kebijakan kepercayaan ke peran yang mengidentifikasi Akun B sebagai prinsipal yang dapat mengambil peran tersebut.

  3. Administrator Akun B kemudian dapat mendelegasikan izin untuk mengambil peran kepada setiap pengguna di Akun B. Melakukan hal ini memungkinkan pengguna di Akun B untuk membuat atau mengakses sumber daya di Akun A. Dalam beberapa kasus, Anda mungkin ingin memberikan izin AWS layanan untuk mengambil peran tersebut. Untuk mendukung pendekatan ini, prinsipal dalam kebijakan kepercayaan juga dapat merupakan prinsipal layanan AWS .

  Untuk informasi selengkapnya tentang penggunaan IAM untuk mendelegasikan izin, lihat Manajemen Akses dalam Panduan Pengguna IAM.

Berikut ini adalah contoh kebijakan yang memungkinkan pengguna untuk melakukan DescribeClusters tindakan untuk AWS akun Anda. MemoryDB juga mendukung identifikasi sumber daya tertentu menggunakan ARN sumber daya untuk tindakan API. (Pendekatan ini juga disebut sebagai izin tingkat sumber daya).

{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "DescribeClusters",
      "Effect": "Allow",
      "Action": [
         "memorydb:DescribeClusters"],
      "Resource": resource-arn
      }
   ]
}

Untuk informasi selengkapnya tentang penggunaan kebijakan berbasis identitas dengan MemoryDB, lihat. Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk MemoryDB Untuk informasi selengkapnya tentang pengguna, grup, peran, dan izin, lihat Identitas (Pengguna, Grup, dan Peran) dalam Panduan Pengguna IAM.

Menentukan elemen kebijakan: Tindakan, efek, sumber daya, dan prinsipal

Untuk setiap sumber daya MemoryDB (lihatSumber daya dan operasi MemoryDB), layanan mendefinisikan satu set operasi API (lihat Tindakan). Untuk memberikan izin untuk operasi API ini, MemoryDB mendefinisikan serangkaian tindakan yang dapat Anda tentukan dalam kebijakan. Misalnya, untuk sumber daya cluster MemoryDB, tindakan berikut didefinisikan:CreateCluster,DeleteCluster, dan. DescribeClusters Operasi API dapat memerlukan izin untuk lebih dari satu tindakan.

Berikut adalah elemen-elemen kebijakan yang paling dasar:

• Sumber daya – Dalam kebijakan, Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang diatur kebijakan. Untuk informasi selengkapnya, lihat Sumber daya dan operasi MemoryDB.

• Tindakan – Anda menggunakan kata kunci tindakan untuk mengidentifikasi operasi sumber daya yang ingin Anda izinkan atau tolak. Misalnya, tergantung pada yang ditentukanEffect, memorydb:CreateCluster izin memungkinkan atau menolak izin pengguna untuk melakukan operasi CreateCluster MemoryDB.

• Efek – Anda menentukan efek ketika pengguna meminta tindakan tertentu—efek ini dapat berupa pemberian izin atau penolakan. Jika Anda tidak secara eksplisit memberikan akses ke (mengizinkan) sumber daya, akses akan ditolak secara implisit. Anda juga dapat secara eksplisit menolak akses ke sumber daya. Misalnya, Anda mungkin melakukannya untuk memastikan agar pengguna tidak dapat mengakses sumber daya, meskipun jika ada kebijakan berbeda yang memberikan akses.

• Prinsipal – Dalam kebijakan berbasis identitas (Kebijakan IAM), pengguna yang dilampiri kebijakan adalah prinsipal secara implisit. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang diinginkan untuk menerima izin (berlaku hanya untuk kebijakan berbasis sumber daya).

Untuk mempelajari selengkapnya tentang sintaksis dan deskripsi kebijakan IAM, lihat Referensi Kebijakan IAM AWS dalam Panduan Pengguna IAM.

Untuk tabel yang menampilkan semua tindakan API MemoryDB, lihat. Izin API MemoryDB: Referensi tindakan, sumber daya, dan kondisi

Menentukan kondisi dalam kebijakan

Ketika Anda memberikan izin, Anda dapat menggunakan bahasa kebijakan IAM untuk menentukan kondisi ketika kebijakan harus berlaku. Misalnya, Anda mungkin ingin kebijakan diterapkan hanya setelah tanggal tertentu. Untuk informasi selengkapnya tentang menentukan kondisi dalam bahasa kebijakan, lihat Kondisi dalam Panduan Pengguna IAM.