Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Panoramica della gestione delle autorizzazioni di accesso alle risorse di ElastiCache
Ogni risorsa AWS è di proprietà di un account AWS e le autorizzazioni necessarie per creare o accedere a una risorsa sono regolate dalle policy di autorizzazione. Un amministratore dell'account è in grado di collegare le policy relative alle autorizzazioni alle identità IAM (ovvero utenti, gruppi e ruoli). Inoltre, Amazon ElastiCache supporta anche il collegamento di policy di autorizzazione alle risorse.
Nota
Un amministratore account (o un utente amministratore) è un utente con privilegi di amministratore. Per ulteriori informazioni, consulta Best practice IAM nella Guida per l'utente di IAM.
Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:
-
Utenti e gruppi in AWS IAM Identity Center:
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center.
-
Utenti gestiti in IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Creating a role for a third-party identity provider (federation) (Creazione di un ruolo per un provider di identità di terze parti [federazione]) nella Guida per l'utente di IAM.
-
Utenti IAM:
-
Crea un ruolo che l'utente possa assumere. Per istruzioni, consulta la pagina Creating a role for an IAM user (Creazione di un ruolo per un utente IAM) nella Guida per l'utente di IAM.
-
(Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina Aggiunta di autorizzazioni a un utente (console) nella Guida per l'utente di IAM.
-
Argomenti
- Risorse e operazioni di Amazon ElastiCache
- Informazioni sulla proprietà delle risorse
- Gestione dell'accesso alle risorse
- Policy gestite da AWS per Amazon ElastiCache
- Utilizzo di policy basate su identità (policy IAM) per Amazon ElastiCache
- Autorizzazioni a livello di risorsa
- Utilizzo delle chiavi di condizione
- Utilizzo di ruoli collegati ai servizi per Amazon ElastiCache
- ElastiCache Autorizzazioni API: riferimento ad azioni, risorse e condizioni
Risorse e operazioni di Amazon ElastiCache
Per visualizzare un elenco di tipi di risorse ElastiCache e i relativi ARN, consulta Tipi di risorsa definiti da Amazon ElastiCache nella Guida di riferimento per l'autorizzazione del servizio. Per informazioni sulle operazioni con cui è possibile specificare l'ARN di ogni risorsa, consulta Operazioni definite da Amazon ElastiCache.
Informazioni sulla proprietà delle risorse
Il proprietario di una risorsa è l'account AWS che crea la risorsa. Ovvero, il proprietario di una risorsa è l'account AWS dell'entità principale che esegue l'autenticazione della richiesta che ha creato la risorsa. Un'entità principale può essere l'account root, un utente IAM o un ruolo IAM. Negli esempi seguenti viene illustrato il funzionamento:
-
Supponi di utilizzare le credenziali dell'account root del tuo account AWS per creare un cluster di cache. In questo caso, il tuo account AWS è il proprietario della risorsa. In ElastiCache, la risorsa è il cluster di cache
-
Supponi di creare un utente IAM nel tuo account AWS e di concedere a tale utente le autorizzazioni necessarie per creare un cluster di cache. In questo caso, l'utente può creare un cluster di cache. Tieni presente, tuttavia, che l'account AWS a cui appartiene l'utente è il proprietario della risorsa cluster di cache.
-
Supponi di creare un ruolo IAM nel tuo account AWS con le autorizzazioni necessarie per creare un cluster di cache. In questo caso, chiunque sia in grado di assumere il ruolo può creare un cluster di cache. L'account AWS a cui appartiene il ruolo è il proprietario della risorsa cluster di cache.
Gestione dell'accesso alle risorse
La policy delle autorizzazioni descrive chi ha accesso a cosa. Nella sezione seguente vengono descritte le opzioni disponibili per la creazione di policy relative alle autorizzazioni.
Nota
In questa sezione viene descritto l’utilizzo di IAM nel contesto di Amazon ElastiCache. Non vengono fornite informazioni dettagliate sul servizio IAM. Per la documentazione di IAM completa, consulta Che cos'è IAM? nella Guida per l'utente di IAM. Per informazioni sulla sintassi delle policy IAM e le rispettive descrizioni, consulta Riferimento alle policy IAM di AWS nella Guida per l'utente di IAM.
Le policy collegate a un'identità IAM vengono definite policy basate su identità (policy IAM). Le policy collegate a una risorsa vengono definite policy basate sulle risorse.
Argomenti
Policy basate su identità (policy IAM)
Puoi collegare le policy alle identità IAM. Ad esempio, puoi eseguire le operazioni seguenti:
-
Collegare una policy di autorizzazione a un utente o a un gruppo nell'account – Per assegnare le autorizzazioni un amministratore di account può utilizzare una policy di autorizzazione associata a un utente specifico. In questo caso, le autorizzazioni permettono a tale utente di creare una risorsa ElastiCache, come un cluster di cache, un gruppo di parametri o un gruppo di sicurezza.
-
Collega una policy di autorizzazione a un ruolo (assegnazione di autorizzazioni tra account): per concedere autorizzazioni multi-account, è possibile collegare una policy di autorizzazione basata su identità a un ruolo IAM. Ad esempio, l'amministratore dell'account A può creare un ruolo per concedere autorizzazioni multi-account a un altro account AWS (ad esempio l'account B) oppure a un servizio AWS nel modo seguente:
-
L'amministratore dell'account A crea un ruolo IAM e attribuisce una policy di autorizzazione al ruolo che concede le autorizzazioni sulle risorse per l'account A.
-
L'amministratore dell'account A attribuisce una policy di attendibilità al ruolo, identificando l'account B come il principale per tale ruolo.
-
L'amministratore dell'account B può quindi delegare le autorizzazioni ad assumere tale ruolo a qualsiasi utente dell'account B. In questo modo, gli utenti nell'account B possono creare o accedere alle risorse nell'account A. In alcuni casi potrebbe essere opportuno concedere le autorizzazioni per assumere tale ruolo a un servizio AWS. Per supportare tale approccio, l'entità principale nella policy di trust può anche essere un'entità principale di un servizio AWS.
Per ulteriori informazioni sull'uso di IAM per delegare le autorizzazioni, consulta Access Management nella IAM User Guide (Guida per l'utente di IAM).
-
Di seguito è riportato un esempio di policy che consente a un utente di eseguire l'operazione DescribeCacheClusters per il tuo account AWS. ElastiCache supporta anche l'identificazione di risorse specifiche utilizzando gli ARN delle risorse per le operazioni API. (questo approccio è anche noto come autorizzazioni a livello di risorsa).
{ "Version": "2012-10-17", "Statement": [{ "Sid": "DescribeCacheClusters", "Effect": "Allow", "Action": [ "elasticache:DescribeCacheClusters"], "Resource":resource-arn} ] }
Per ulteriori informazioni sull'uso di policy basate su identità con ElastiCache, consulta Utilizzo di policy basate su identità (policy IAM) per Amazon ElastiCache. Per ulteriori informazioni su utenti, gruppi, ruoli e autorizzazioni, consulta Identità (utenti, gruppi e ruoli) nella Guida per l'utente di IAM.
Specifica degli elementi delle policy: operazioni, effetti, risorse ed entità
Per ogni risorsa di Amazon ElastiCache (consulta Risorse e operazioni di Amazon ElastiCache), il servizio definisce un insieme di operazioni API (consulta Operazioni). Per concedere le autorizzazioni per queste operazioni API, ElastiCache definisce un set di operazioni che possono essere specificate in una policy. Ad esempio, per la risorsa cluster di ElastiCache, vengono definite le operazioni CreateCacheCluster, DeleteCacheCluster, e DescribeCacheCluster. L'esecuzione di un'operazione API può richiedere le autorizzazioni per più di un'operazione.
Di seguito sono elencati gli elementi di base di una policy:
-
Risorsa: in una policy si utilizza il nome della risorsa Amazon (ARN) per identificare la risorsa a cui si applica la policy stessa. Per ulteriori informazioni, consulta Risorse e operazioni di Amazon ElastiCache.
-
Operazione: utilizzi le parole chiave per identificare le operazioni sulla risorsa da permettere o rifiutare. Ad esempio, a seconda dell'
Effectspecificato, l'autorizzazioneelasticache:CreateCacheClusterpermette o nega all'utente le autorizzazioni per l'esecuzione dell'operazione di Amazon ElastiCacheCreateCacheCluster. -
Effetto: l'effetto prodotto quando l'utente richiede l'operazione specifica, ovvero un'autorizzazione o un rifiuto. USe non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. È anche possibile negare esplicitamente l'accesso a una risorsa. Ad esempio, è possibile eseguire questa operazione per accertarsi che un utente non sia in grado di accedere a una risorsa, anche se l'accesso viene concesso da un'altra policy.
-
Principale: nelle policy basate su identità (policy IAM), l'utente a cui la policy è collegata è il principale implicito. Per policy basate su risorse, specifichi l'utente, l'account, il servizio o un'altra entità che desideri riceva le autorizzazioni (si applica solo alle policy basate su risorse).
Per ulteriori informazioni sulla sintassi e le descrizioni delle policy IAM, consulta AWSRiferimento alle policy IAM nella Guida per l'utente di IAM.
Per una tabella che include tutte le operazioni API di Amazon ElastiCache, consulta ElastiCache Autorizzazioni API: riferimento ad azioni, risorse e condizioni.
Specifica delle condizioni in una policy
Quando si concedono le autorizzazioni, è possibile utilizzare il linguaggio della policy IAM per specificare le condizioni in base a cui la policy deve essere applicata. Ad esempio, potresti decidere che una policy venga applicata solo dopo una data specifica. Per ulteriori informazioni su come specificare le condizioni in un linguaggio di policy, consulta la sezione Condizione nella Guida per l'utente di IAM.
Per esprimere le condizioni è necessario utilizzare chiavi di condizione predefinite. Per usare le chiavi di condizione specifiche di ElastiCache, consultaUtilizzo delle chiavi di condizione. Tuttavia, ci sono chiavi di condizione ampie AWS disponibili che puoi utilizzare secondo necessità. Per un elenco completo di chiavi AWS, consulta Chiavi disponibili per le condizioni nella Guida per l'utente di IAM.
