Usando políticas baseadas em identidade (políticas do IAM) para MemoryDB - Amazon MemoryDB
Permissões necessárias para usar o console MemoryDBExemplos de política gerenciada pelo cliente

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando políticas baseadas em identidade (políticas do IAM) para MemoryDB

Este tópico fornece exemplos de políticas baseadas em identidade em que um administrador de conta pode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e funções).

Importante

Recomendamos que você leia primeiro os tópicos que explicam os conceitos e as opções básicas para gerenciar o acesso aos recursos do MemoryDB. Para ter mais informações, consulte Visão geral do gerenciamento de permissões de acesso aos recursos do MemoryDB.

As seções neste tópico abrangem o seguinte:

A seguir, um exemplo de uma política de permissões.

{
   "Version": "2012-10-17",
   "Statement": [{
       "Sid": "AllowClusterPermissions",
       "Effect": "Allow",
       "Action": [
          "memorydb:CreateCluster",          
          "memorydb:DescribeClusters",
          "memorydb:UpdateCluster"],
       "Resource": "*"
       },
       {
         "Sid": "AllowUserToPassRole",
         "Effect": "Allow",
         "Action": [ "iam:PassRole" ],
         "Resource": "arn:aws:iam::123456789012:role/EC2-roles-for-cluster"
       }
   ]
}

A política tem duas instruções:

  • A primeira instrução concede permissões para as ações do MemoryDB (memorydb:CreateCluster,memorydb:DescribeClusters, ememorydb:UpdateCluster) em qualquer cluster pertencente à conta.

  • A segunda instrução concede permissões para a ação do IAM (iam:PassRole) no nome da função do IAM especificado no final do valor Resource.

A política não especifica o elemento Principal porque, em uma política baseada em identidade, a entidade principal que obtém as permissões não é especificada. Quando você anexar uma política um usuário, o usuário será a entidade principal implícita. Quando você anexa uma política de permissões a um perfil do IAM, o principal identificado na política de confiança do perfil obtém as permissões.

Para ver uma tabela mostrando todas as ações da API MemoryDB e os recursos aos quais elas se aplicam, consulte. Permissões da API do MemoryDB: referência de condições, recursos e ações

Permissões necessárias para usar o console MemoryDB

A tabela de referência de permissões lista as operações da API MemoryDB e mostra as permissões necessárias para cada operação. Para obter mais informações sobre as operações de API do MemoryDB, consulte Permissões da API do MemoryDB: referência de condições, recursos e ações.

Para usar o console do MemoryDB, primeiro conceda permissões para ações adicionais, conforme mostrado na política de permissões a seguir. 

{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "MinPermsForMemDBConsole",
        "Effect": "Allow",
        "Action": [
            "memorydb:Describe*",
            "memorydb:List*",
            "ec2:DescribeAvailabilityZones",
            "ec2:DescribeVpcs",
            "ec2:DescribeAccountAttributes",
            "ec2:DescribeSecurityGroups",
            "cloudwatch:GetMetricStatistics",
            "cloudwatch:DescribeAlarms",
            "s3:ListAllMyBuckets",
            "sns:ListTopics",
            "sns:ListSubscriptions" ],
        "Resource": "*"
        }
    ]
}

O console do MemoryDB precisa dessas permissões adicionais pelas seguintes razões:

  • As permissões para ações do MemoryDB habilitam o console para exibir recursos do MemoryDB na conta.

  • O console precisa de permissões para que as ações do ec2 consultem o Amazon EC2, de forma que ele possa exibir zonas de disponibilidade, VPCs, grupos de segurança e os atributos da conta.

  • As permissões para cloudwatch ações permitem que o console recupere CloudWatch métricas e alarmes da Amazon e os exiba no console.

  • As permissões para ações do sns permitem que o console recupere tópicos e assinaturas do Amazon Simple Notification Service (Amazon SNS) e os exiba no console.

Exemplos de política gerenciada pelo cliente

Se você não estiver usando uma política padrão e optar por usar uma política gerenciada personalizada, realize uma destas ações: Você deve ter permissões para chamar iam:createServiceLinkedRole (para obter mais informações, consulte Exemplo 4: permitir que um usuário chame a CreateServiceLinkedRole API IAM). Ou você deve ter criado uma função vinculada ao serviço do MemoryDB.

Quando combinadas com as permissões mínimas necessárias para usar o console do MemoryDB, as políticas de exemplo nesta seção concedem permissões adicionais. Os exemplos também são relevantes para os AWS SDKs e o. AWS CLI Para obter mais informações sobre quais permissões são necessárias para usar o console do MemoryDB, consulte Permissões necessárias para usar o console MemoryDB.

Para obter instruções sobre como configurar usuários e grupos do IAM, consulte Criação do seu primeiro usuário do IAM e grupo de administradores no Guia do usuário do IAM.

Importante

Sempre teste suas políticas do IAM completamente antes de usá-las em produção. Algumas ações do MemoryDB que parecem simples podem exigir outras ações para oferecer suporte quando você estiver usando o console do MemoryDB. Por exemplo, memorydb:CreateCluster concede permissões para criar clusters de cache do MemoryDB. No entanto, para realizar essa operação, o console do MemoryDB usa várias ações Describe e List para preencher listas de consoles.

Exemplo 1: permitir a um usuário com acesso somente de leitura a recursos do MemoryDB

A seguinte política concede permissões a ações do MemoryDB que permitem que um usuário liste recursos. Normalmente, você anexa esse tipo de política de permissões a um grupo de gerentes.

{
   "Version": "2012-10-17",
   "Statement":[{
      "Sid": "MemDBUnrestricted",
      "Effect":"Allow",
      "Action": [
          "memorydb:Describe*",
          "memorydb:List*"],
      "Resource":"*"
      }
   ]
}

Exemplo 2: permitir que um usuário realize tarefas comuns de administrador do sistema do MemoryDB

As tarefas comuns do administrador do sistema incluem a modificação de clusters de cache, parâmetros e grupo de parâmetros. Um administrador do sistema também pode querer obter informações sobre eventos do MemoryDB. A seguinte política concede permissões de usuário para executar ações do MemoryDB para essas tarefas comuns de administrador de sistema. Normalmente, você anexa esse tipo de política de permissões ao grupo de administradores do sistema.

{
   "Version": "2012-10-17",
   "Statement":[{
      "Sid": "MDBAllowSpecific",
      "Effect":"Allow",
      "Action":[
          "memorydb:UpdateCluster",        
          "memorydb:DescribeClusters",
          "memorydb:DescribeEvents",
          "memorydb:UpdateParameterGroup",
          "memorydb:DescribeParameterGroups",
          "memorydb:DescribeParameters",
          "memorydb:ResetParameterGroup",],
      "Resource":"*"
      }
   ]
}

Exemplo 3: permitir que um usuário acesse todas as ações de API do MemoryDB

A seguinte política permite que um usuário acesse todas as ações do MemoryDB. Recomendamos que você conceda esse tipo de política de permissões apenas a um usuário administrador. 

{
   "Version": "2012-10-17",
   "Statement":[{
      "Sid": "MDBAllowAll",
      "Effect":"Allow",
      "Action":[
          "memorydb:*" ],
      "Resource":"*"
      }
   ]
}

Exemplo 4: permitir que um usuário chame a CreateServiceLinkedRole API IAM

A política a seguir permite que o usuário chame a API CreateServiceLinkedRole do IAM. Recomendamos conceder esse tipo de política de permissões para o usuário que invoca operações mutativas do MemoryDB.

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"CreateSLRAllows",
      "Effect":"Allow",
      "Action":[
        "iam:CreateServiceLinkedRole"
      ],
      "Resource":"*",
      "Condition":{
        "StringLike":{
          "iam:AWS ServiceName":"memorydb.amazonaws.com"
        }
      }
    }
  ]
}