MemoryDBServiceRolePolicy MemoryDB のAWS管理 (事前定義) ポリシーポリシーの更新

AWS MemoryDB のマネージドポリシー

ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを記述するよりも AWS 管理ポリシーを使用する方が簡単です。チームに必要な権限のみを提供する IAM カスタマーマネージドポリシーを作成するには時間と専門知識が必要です。すぐに開始するには、 AWS マネージドポリシーを使用できます。これらのポリシーは一般的なユースケースを対象としており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、IAM ユーザーガイドの「 AWS 管理ポリシー」を参照してください。

AWS サービスは、 AWS 管理ポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスでは新しい機能を利用できるようにするために、 AWS マネージドポリシーに権限が追加されることがあります。この種類の更新はポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは AWS 管理ポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が損なわれることはありません。

さらに、は、複数のサービスにまたがるジョブ関数のマネージドポリシー AWS をサポートしています。例えば、ReadOnlyAccess AWS 管理ポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、は新しいオペレーションとリソースの読み取り専用アクセス許可 AWS を追加します。ジョブ機能のポリシーの一覧および詳細については、「IAM ユーザーガイド」の「AWS のジョブ機能のマネージドポリシー」を参照してください。

AWS マネージドポリシー: MemoryDBServiceRolePolicy

MemoryDBServiceRolePolicy AWS 管理ポリシーをアカウントの ID にアタッチすることはできません。このポリシーは、 AWS MemoryDB サービスにリンクされたロールの一部です。このロールにより、サービスはアカウント内のネットワークインターフェイスとセキュリティグループを管理できます。

MemoryDB は、このポリシーの権限を使用して EC2 セキュリティグループとネットワークインターフェイスを管理します。これは MemoryDB クラスターを管理するために必要です。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

JSON


 {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "CreateMemoryDBTagsOnNetworkInterfaces",
                "Effect": "Allow",
                "Action": [
                    "ec2:CreateTags"
                ],
                "Resource": "arn:aws:ec2:*:*:network-interface/*",
                "Condition": {
                    "StringEquals": {
                        "ec2:CreateAction": "CreateNetworkInterface"
                    },
                    "ForAllValues:StringEquals": {
                        "aws:TagKeys": [
                            "AmazonMemoryDBManaged"
                        ]
                    }
                }
            },
            {
                "Sid": "CreateNetworkInterfaces",
                "Effect": "Allow",
                "Action": [
                    "ec2:CreateNetworkInterface"
                ],
                "Resource": [
                    "arn:aws:ec2:*:*:network-interface/*",
                    "arn:aws:ec2:*:*:subnet/*",
                    "arn:aws:ec2:*:*:security-group/*"
                ]
            },
            {
                "Sid": "DeleteMemoryDBTaggedNetworkInterfaces",
                "Effect": "Allow",
                "Action": [
                    "ec2:DeleteNetworkInterface",
                    "ec2:ModifyNetworkInterfaceAttribute"
                ],
                "Resource": "arn:aws:ec2:*:*:network-interface/*",
                "Condition": {
                    "StringEquals": {
                        "ec2:ResourceTag/AmazonMemoryDBManaged": "true"
                    }
                }
            },
            {
                "Sid": "DeleteNetworkInterfaces",
                "Effect": "Allow",
                "Action": [
                    "ec2:DeleteNetworkInterface",
                    "ec2:ModifyNetworkInterfaceAttribute"
                ],
                "Resource": "arn:aws:ec2:*:*:security-group/*"
            },
            {
                "Sid": "DescribeEC2Resources",
                "Effect": "Allow",
                "Action": [
                    "ec2:DescribeSecurityGroups",
                    "ec2:DescribeNetworkInterfaces",
                    "ec2:DescribeAvailabilityZones",
                    "ec2:DescribeSubnets",
                    "ec2:DescribeVpcs"
                ],
                "Resource": "*"
            },
            {
                "Sid": "PutCloudWatchMetricData",
                "Effect": "Allow",
                "Action": [
                    "cloudwatch:PutMetricData"
                ],
                "Resource": "*",
                "Condition": {
                    "StringEquals": {
                        "cloudwatch:namespace": "AWS/MemoryDB"
                    }
                }
            },
            {
	         "Sid": "ReplicateMemoryDBMultiRegionClusterData",
		   "Effect": "Allow",
		   "Action": [
				"memorydb:ReplicateMultiRegionClusterData"
		   ],
                "Resource": "arn:aws:memorydb:*:*:cluster/*"
            }
        ]
    }

MemoryDB のAWS管理 (事前定義) ポリシー

AWS は、によって作成および管理されるスタンドアロン IAM ポリシーを提供することで、多くの一般的なユースケースに対処します AWS。マネージドポリシーは、一般的ユースケースに必要な許可を付与することで、どの許可が必要なのかをユーザーが調査する必要をなくすることができます。詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

アカウントのユーザーにアタッチできる以下の AWS 管理ポリシーは、MemoryDB に固有です。

AmazonMemoryDBReadOnlyAccess

AmazonMemoryDBReadOnlyAccess ポリシーを IAM アイデンティティにアタッチできます。このポリシーは、すべての読み取り専用アクセスを許可する管理者権限を付与します。

AmazonMemoryDBReadOnlyAccess - MemoryDB リソースへの読み取り専用のアクセス権を付与します。

AmazonMemoryDBFullAccess

AmazonMemoryDBFullAccess ポリシーを IAM アイデンティティにアタッチできます。このポリシーは、すべてのMemoryDBリソースへのフルアクセスを許可する管理者権限を付与します。

AmazonMemoryDBFullAccess - MemoryDB リソースへの完全なアクセス権を付与します。

独自のカスタム IAM ポリシーを作成して、MemoryDB API アクションにアクセス権限を付与することもできます。これらのカスタムポリシーは、それらのアクセス許可が必要な IAM ユーザーまたはグループにアタッチできます。

AWS 管理ポリシーに対する MemoryDB の更新

このサービスがこれらの変更の追跡を開始した以降の MemoryDB の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知については、ドキュメントの履歴ページの RSS フィードをサブスクライブしてください。

変更	説明	日付
AWS マネージドポリシー: MemoryDBServiceRolePolicy - ポリシーの追加	MemoryDBServiceRolePolicy に memorydb:ReplicateMultiRegionClusterData のアクセス許可が追加されました。このアクセス許可により、サービスにリンクされたロールは MemoryDB マルチリージョンクラスターのデータをレプリケートできます。	12/01/2024
AmazonMemoryDBFullAccess - ポリシーの追加	MemoryDB では、サポートされているリソースを記述して一覧表示するための新しいアクセス許可が追加されました。これらのアクセス許可は、MemoryDB がアカウント内のサポートされているすべてのリソースをクエリするために必要です。	10/07/2021
AmazonMemoryDBReadOnlyAccess - ポリシーの追加	MemoryDB では、サポートされているリソースを記述して一覧表示するための新しいアクセス許可が追加されました。これらのアクセス許可は、MemoryDB がアカウント内のサポートされているすべてのリソースをクエリしてアカウントベースのアプリケーションを作成するために必要です。	10/07/2021
MemoryDB が変更の追跡を開始しました	サービスの起動	8/19/2021

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

サービスリンクロールの使用

MemoryDB API 許可リファレンス

AWS MemoryDB の マネージドポリシー