As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Uso de políticas baseadas em identidade (políticas do IAM) para o Amazon ElastiCache
Este tópico fornece exemplos de políticas baseadas em identidade em que um administrador de conta pode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e funções).
Importante
Recomendamos que você primeiro leia os tópicos que explicam os conceitos básicos e as opções para gerenciar o acesso aos recursos do Amazon ElastiCache. Para obter mais informações, consulte Visão geral do gerenciamento de permissões de acesso aos recursos do ElastiCache.
As seções neste tópico abrangem o seguinte:
A seguir, um exemplo de uma política de permissões.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowClusterPermissions", "Effect": "Allow", "Action": [ "elasticache:CreateServerlessCache", "elasticache:CreateCacheCluster", "elasticache:DescribeServerlessCaches", "elasticache:DescribeCacheClusters", "elasticache:ModifyServerlessCache", "elasticache:ModifyCacheCluster" ], "Resource": "*" }, { "Sid": "AllowUserToPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::123456789012:role/EC2-roles-for-cluster" } ] }
A política tem duas instruções:
-
A primeira instrução concede permissões para as ações do Amazon ElastiCache (
elasticache:Create*,elasticache:Describe*eelasticache:Modify*) -
A segunda instrução concede permissões para a ação do IAM (
iam:PassRole) no nome da função do IAM especificado no final do valorResource.
A política não especifica o elemento Principal porque, em uma política baseada em identidade, a entidade principal que obtém as permissões não é especificada. Quando você anexar uma política um usuário, o usuário será a entidade principal implícita. Quando você anexa uma política de permissões a um perfil do IAM, a entidade principal identificada na política de confiança do perfil obtém as permissões.
Para obter uma tabela que mostre todas as ações da API do Amazon ElastiCache e os recursos aos quais se aplicam, consulte ElastiCache Permissões de API: referência de ações, recursos e condições.
Exemplos de política gerenciada pelo cliente
Se você não estiver usando uma política padrão e optar por usar uma política gerenciada personalizada, realize uma destas ações: Você deve ter permissões para chamar iam:createServiceLinkedRole (para obter mais informações, consulte Exemplo 4: permitir a um usuário chamar a API IAM CreateServiceLinkedRole). Ou você deve ter criado uma função vinculada ao serviço do ElastiCache.
Quando combinado com as permissões mínimas necessárias para usar o console do Amazon ElastiCache, as políticas de exemplo nesta seção concedem permissões adicionais. Os exemplos também são relevantes para os SDKs da AWS e para a AWS CLI.
Para obter instruções sobre como configurar usuários e grupos do IAM, consulte Criação do seu primeiro usuário do IAM e grupo de administradores no Guia do usuário do IAM.
Importante
Sempre teste suas políticas do IAM completamente antes de usá-las em produção. Algumas ações do ElastiCache que parecem simples podem exigir outras ações para oferecer suporte quando você estiver usando o console do ElastiCache. Por exemplo, elasticache:CreateCacheCluster concede permissões para criar clusters de cache do ElastiCache. No entanto, para realizar essa operação, o console do ElastiCache usa várias ações Describe e List para preencher listas de consoles.
Exemplos
- Exemplo 1: permitir a um usuário acesso somente de leitura a recursos do ElastiCache
- Exemplo 2: permitir que um usuário realize tarefas comuns de administrador do sistema do ElastiCache
- Exemplo 3: permitir que um usuário acesse todas as ações da API do ElastiCache
- Exemplo 4: permitir a um usuário chamar a API IAM CreateServiceLinkedRole
Exemplo 1: permitir a um usuário acesso somente de leitura a recursos do ElastiCache
A seguinte política concede permissões a ações do ElastiCache que permitem que um usuário liste recursos. Normalmente, você anexa esse tipo de política de permissões a um grupo de gerentes.
{ "Version": "2012-10-17", "Statement":[{ "Sid": "ECReadOnly", "Effect":"Allow", "Action": [ "elasticache:Describe*", "elasticache:List*"], "Resource":"*" } ] }
Exemplo 2: permitir que um usuário realize tarefas comuns de administrador do sistema do ElastiCache
Entre as tarefas do administrador do sistema comuns estão a modificação de recursos. Um administrador do sistema também pode querer obter informações sobre eventos do ElastiCache. A seguinte política concede permissões de usuário para executar ações do ElastiCache para essas tarefas comuns de administrador de sistema. Normalmente, você anexa esse tipo de política de permissões ao grupo de administradores do sistema.
{ "Version": "2012-10-17", "Statement":[{ "Sid": "ECAllowMutations", "Effect":"Allow", "Action":[ "elasticache:Modify*", "elasticache:Describe*", "elasticache:ResetCacheParameterGroup" ], "Resource":"*" } ] }
Exemplo 3: permitir que um usuário acesse todas as ações da API do ElastiCache
A seguinte política permite que um usuário acesse todas as ações do ElastiCache. Recomendamos que você conceda esse tipo de política de permissões apenas a um usuário administrador.
{ "Version": "2012-10-17", "Statement":[{ "Sid": "ECAllowAll", "Effect":"Allow", "Action":[ "elasticache:*" ], "Resource":"*" } ] }
Exemplo 4: permitir a um usuário chamar a API IAM CreateServiceLinkedRole
A política a seguir permite que o usuário chame a API CreateServiceLinkedRole do IAM. Recomendamos conceder esse tipo de política de permissões para o usuário que invoca operações mutatórias do ElastiCache.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"CreateSLRAllows", "Effect":"Allow", "Action":[ "iam:CreateServiceLinkedRole" ], "Resource":"*", "Condition":{ "StringLike":{ "iam:AWSServiceName":"elasticache.amazonaws.com" } } } ] }
