Recursos e operações do Amazon ElastiCache Informações sobre propriedade de recursos Gerenciamento de acesso aos recursos

Visão geral do gerenciamento de permissões de acesso aos recursos do ElastiCache

Cada recurso da AWS pertence a uma conta da AWS, e as permissões para criá-lo ou acessá-lo são regidas por políticas de permissões. Um administrador de conta pode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e funções). Além disso, o Amazon ElastiCache também oferece suporte à anexação de políticas de permissões aos recursos.

nota

Um administrador da conta (ou usuário administrador) é um usuário com privilégios de administrador. Para obter mais informações, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.

Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:

Usuários e grupos no AWS IAM Identity Center:

Crie um conjunto de permissões. Siga as instruções em Create a permission set (Criação de um conjunto de permissões) no Guia do usuário do AWS IAM Identity Center.
Usuários gerenciados no IAM com provedor de identidades:

Crie um perfil para a federação de identidades. Siga as instruções em Criar um perfil para um provedor de identidades de terceiros (federação) no Guia do usuário do IAM.
Usuários do IAM:
- Crie um perfil que seu usuário possa assumir. Siga as instruções em Creating a role for an IAM user (Criação de um perfil para um usuário do IAM) no Guia do usuário do IAM.
- (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em Adição de permissões a um usuário (console) no Guia do usuário do IAM.

Tópicos

Recursos e operações do Amazon ElastiCache

Para ver uma lista dos tipos de recursos do ElastiCache e seus ARNs, consulte Resources Defined by Amazon ElastiCache na Referência de autorização do serviço. Para saber com quais ações você pode especificar o ARN de cada recurso, consulte Actions Defined by Amazon ElastiCache.

Informações sobre propriedade de recursos

Um proprietário do recurso é a conta da AWS que criou o recurso. Ou seja, o proprietário do recurso é a conta da AWS da entidade principal que autentica a solicitação que cria o recurso. Uma entidade principal pode ser a conta raiz, um usuário do IAM ou uma função do IAM. Os seguintes exemplos mostram como isso funciona:

Suponha que você use as credenciais da conta raiz da sua conta da AWS para criar um cluster de cache. Nesse caso, sua conta da AWS é o proprietário do recurso. No ElastiCache, o recurso é o cluster de cache.
Suponha que você crie um usuário do IAM na sua conta da AWS e conceda permissões para criar um cluster de cache para ele. Nesse caso, o usuário pode criar um cluster de cache. No entanto, sua conta da AWS, à qual o usuário pertence, é a proprietária do recurso de cluster de cache.
Suponha que você crie uma função do IAM na sua conta da AWS com permissões para criar um cluster de cache. Nesse caso, qualquer pessoa que possa assumir a função poderá criar um cluster de cache. Sua conta da AWS, à qual a função pertence, é a proprietária do recurso de cluster de cache.

Gerenciamento de acesso aos recursos

A política de permissões descreve quem tem acesso a quê. A seção a seguir explica as opções disponíveis para a criação de políticas de permissões.

nota

Esta seção discute o uso do IAM no contexto do Amazon ElastiCache. Não são fornecidas informações detalhadas sobre o serviço IAM. Para obter a documentação completa do IAM, consulte O que é o IAM? no Guia do usuário do IAM. Para obter mais informações sobre a sintaxe e as descrições da política do IAM, consulte a Referência de políticas do AWS IAM no Guia do usuário do IAM.

As políticas anexadas a uma identidade do IAM são conhecidas como políticas baseadas em identidade (políticas do IAM). As políticas anexadas a um recurso são chamadas de políticas baseadas em recursos.

Tópicos

Políticas baseadas em identidade (políticas do IAM)
Especificar elementos da política: ações, efeitos, recursos e entidades principais
Especificar condições em uma política

Políticas baseadas em identidade (políticas do IAM)

Você pode anexar políticas a identidades do IAM. Por exemplo, você pode fazer o seguinte:

Anexar uma política de permissões a um usuário ou grupo na sua conta: um administrador de conta pode usar uma política de permissões associada a determinado usuário para conceder permissões. Nesse caso, as permissões são para o usuário criar um recurso do ElastiCache, como um cluster de cache, um grupo de parâmetros ou um grupo de segurança.
Anexar uma política de permissões a uma função: você pode anexar uma política de permissões baseada em identidade a um perfil do IAM para conceder permissões entre contas. Por exemplo, o administrador na conta A pode criar uma função para conceder permissões entre contas para outra conta da AWS (por exemplo, conta B) ou um serviço da AWS, conforme o seguinte:
1. Um administrador da Conta A cria uma função do IAM e anexa uma política de permissões à função que concede permissões em recursos da Conta A.
2. Um administrador da Conta A anexa uma política de confiança à função identificando a Conta B como a entidade principal, que pode assumir a função.
3. Depois, o administrador da Conta B pode delegar permissões para assumir a função a todos os usuários na Conta B. Isso permite que os usuários na Conta B criem ou acessem recursos na Conta A. Em alguns casos, convém conceder permissões a um serviço da AWS para assumir a função. Para oferecer suporte a essa abordagem, o principal da política de confiança também pode ser um principal de serviço da AWS.
Para obter mais informações sobre o uso do IAM para delegar permissões, consulte Gerenciamento de acesso no Guia do usuário do IAM.

A seguir está um exemplo de política que permite ao usuário executar a ação DescribeCacheClusters para sua conta da AWS. O ElastiCache também permite identificar recursos específicos usando os ARNs de recurso para as ações da API. Essa abordagem também é chamada de permissões no nível do recurso.


{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "DescribeCacheClusters",
      "Effect": "Allow",
      "Action": [
         "elasticache:DescribeCacheClusters"],
      "Resource": resource-arn
      }
   ]
}

Para mais informações sobre como usar políticas baseadas em identidade com o ElastiCache, consulte Uso de políticas baseadas em identidade (políticas do IAM) para o Amazon ElastiCache. Para obter mais informações sobre usuários, grupos, funções e permissões, consulte Identidades (usuários, grupos e funções) no Guia do usuário do IAM.

Especificar elementos da política: ações, efeitos, recursos e entidades principais

Para cada recurso do Amazon ElastiCache (consulte Recursos e operações do Amazon ElastiCache), o serviço define um conjunto de operações de API (consulte Ações). Para conceder permissões a essas operações da API, o ElastiCache define um conjunto de ações que podem ser especificadas em uma política. Por exemplo, para o recurso de cluster do ElastiCache, as seguintes ações são definidas: CreateCacheCluster, DeleteCacheCluster, e DescribeCacheCluster. A execução de uma operação de API pode exigir permissões para mais de uma ação.

Estes são os elementos de política mais básicos:

Recurso: em uma política, você usa um nome do recurso da Amazon (ARN) para identificar o recurso a que a política se aplica. Para obter mais informações, consulte Recursos e operações do Amazon ElastiCache.
Ação: você usa palavras-chave de ação para identificar operações de recursos que deseja permitir ou negar. Por exemplo, dependendo do Effect especificado, a permissão elasticache:CreateCacheCluster consente ou nega que o usuário execute a operação CreateCacheCluster do Amazon ElastiCache.
Efeito: você especifica o efeito quando o usuário solicita a ação específica, que pode ser permitir ou negar. Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar acesso explicitamente a um recurso. Por exemplo, você poderia fazer isso para garantir que um usuário não possa acessar o recurso, mesmo se uma política diferente conceder o acesso.
Entidade principal - em políticas baseadas em identidade (políticas do IAM), o usuário ao qual a política é anexada é a entidade principal implícita. Para as políticas baseadas em recursos, você especifica quais usuários, contas, serviços ou outras entidades deseja que recebam permissões (isso se aplica somente a políticas baseadas em recursos).

Para saber mais sobre a sintaxe e as descrições de políticas do IAM, consulte a Referência de políticas do AWS IAM da no Guia do usuário do IAM.

Para obter uma tabela que mostra todas as ações de API do Amazon ElastiCache, consulte ElastiCache Permissões de API: referência de ações, recursos e condições.

Especificar condições em uma política

Ao conceder permissões, você pode usar a linguagem da política do IAM para especificar as condições de quando uma política deverá entrar em vigor. Por exemplo, é recomendável aplicar uma política somente após uma data específica. Para obter mais informações sobre como especificar condições em uma linguagem de política, consulte Condition no Guia do usuário do IAM.

Para expressar condições, você usa chaves de condição predefinidas. Para usar chaves de condição específicas do ElastiCache, consulte Uso de chaves de condição. Há chaves de condição em toda a AWS que você pode usar conforme apropriado. Para obter uma lista completa de chaves de toda a AWS, consulte Available Keys for Conditions no Guia do usuário do IAM.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Solução de problemas

Políticas gerenciadas pela AWS