As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Ações, recursos e chaves de condição para a Amazon ElastiCache
A Amazon ElastiCache (prefixo do serviço:elasticache
) fornece os seguintes recursos, ações e chaves de contexto de condições específicos do serviço para uso em IAM políticas de permissão.
Referências:
-
Saiba como configurar este serviço.
-
Veja uma lista das APIoperações disponíveis para esse serviço.
-
Saiba como proteger esse serviço e seus recursos usando políticas de IAM permissão.
Tópicos
Ações definidas pela Amazon ElastiCache
Você pode especificar as seguintes ações no Action
elemento de uma declaração de IAM política. Use políticas para conceder permissões para executar uma operação na AWS. Quando você usa uma ação em uma política, geralmente permite ou nega acesso à API operação ou ao CLI comando com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.
A coluna Tipos de recursos na tabela Ações indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") aos quais a política se aplica no elemento Resource
de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma declaração com essa ação. Se a ação tiver um ou mais recursos necessários, o chamador deverá ter permissão para usar a ação com esses recursos. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você limitar o acesso aos recursos com o Resource
elemento em uma IAM política, deverá incluir um padrão ARN ou para cada tipo de recurso necessário. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um dos tipos de recurso opcionais.
A coluna Chaves de condição na tabela Ações inclui chaves que você pode especificar em um elemento Condition
da declaração de política. Para obter mais informações sobre as chaves de condição associadas aos recursos do serviço, consulte a coluna Chaves de condição da tabela Tipos de recursos.
nota
As chaves de condição do recurso estão listadas na tabela Tipos de recursos. Você pode encontrar um link para o tipo de recurso que se aplica a uma ação na coluna Tipos de recursos (*obrigatório) da tabela Ações. O tipo de recurso na tabela Tipos de recursos inclui a coluna Chaves de condição, que são as chaves de condição do recurso que se aplicam a uma ação na tabela Ações.
Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.
nota
Ao criar uma ElastiCache política em, IAM você deve usar o caractere curinga “*” para o bloco de recursos. Para obter informações sobre o uso ElastiCache API das seguintes ações em uma IAM política, consulte ElastiCache Ações e IAM no Guia ElastiCache do usuário da Amazon.
Ações | Descrição | Nível de acesso | Tipos de recursos (*necessários) | Chaves de condição | Ações dependentes |
---|---|---|---|---|---|
AddTagsToResource | Concede permissão para adicionar tags a um ElastiCache recurso | Tags | |||
AuthorizeCacheSecurityGroupIngress | Concede permissão para autorizar um grupo EC2 de segurança em um grupo ElastiCache de segurança | Escrever |
ec2:AuthorizeSecurityGroupIngress |
||
BatchApplyUpdateAction | Concede permissão para aplicar atualizações ElastiCache de serviço a conjuntos de clusters e grupos de replicação | Escrever |
ec2:CreateNetworkInterface ec2:DeleteNetworkInterface ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs s3:GetObject |
||
BatchStopUpdateAction | Concede permissão para impedir que atualizações de ElastiCache serviço sejam executadas em um conjunto de clusters | Escrever | |||
CompleteMigration | Concede permissão para concluir uma migração on-line de dados do Redis hospedado na Amazon EC2 para ElastiCache | Escrever | |||
Connect | Concede permissão para se conectar como um ElastiCache usuário especificado a um grupo de ElastiCache replicação ou cache sem ElastiCache servidor | Escrever | |||
CopyServerlessCacheSnapshot | Concede permissão para fazer uma cópia de um snapshot existente de cache com tecnologia sem servidor | Escrever |
elasticache:AddTagsToResource |
||
CopySnapshot | Concede permissão para fazer uma cópia de um snapshot existente | Write |
elasticache:AddTagsToResource s3:DeleteObject s3:GetBucketAcl s3:PutObject |
||
CreateCacheCluster | Concede permissão para criar um cluster de cache | Write |
ec2:CreateNetworkInterface ec2:DeleteNetworkInterface ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs elasticache:AddTagsToResource s3:GetObject |
||
CreateCacheParameterGroup | Concede permissão para criar um grupo de parâmetros | Write |
elasticache:AddTagsToResource |
||
CreateCacheSecurityGroup | Concede permissão para criar um grupo de segurança de cache | Write |
elasticache:AddTagsToResource |
||
CreateCacheSubnetGroup | Concede permissão para criar um grupo de sub-redes de cache | Write |
elasticache:AddTagsToResource |
||
CreateGlobalReplicationGroup | Concede permissão para criar um grupo de replicação global | Write | |||
CreateReplicationGroup | Concede permissão para criar um grupo de replicação | Escrever |
ec2:CreateNetworkInterface ec2:DeleteNetworkInterface ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs elasticache:AddTagsToResource s3:GetObject |
||
elasticache:ReplicasPerNodeGroup elasticache:AtRestEncryptionEnabled elasticache:TransitEncryptionEnabled elasticache:AutomaticFailoverEnabled elasticache:ClusterModeEnabled |
|||||
elasticache:ReplicasPerNodeGroup elasticache:AtRestEncryptionEnabled elasticache:TransitEncryptionEnabled elasticache:AutomaticFailoverEnabled elasticache:ClusterModeEnabled |
|||||
CreateServerlessCache | Concede permissão para criar um cache com tecnologia sem servidor | Escrever |
elasticache:SnapshotRetentionLimit |
ec2:CreateTags ec2:CreateVpcEndpoint ec2:DeleteVpcEndpoints ec2:DescribeSecurityGroups ec2:DescribeSubnets ec2:DescribeTags ec2:DescribeVpcEndpoints ec2:DescribeVpcs elasticache:AddTagsToResource s3:GetObject |
|
CreateServerlessCacheSnapshot | Concede permissão para criar uma cópia de um cache com tecnologia sem servidor em um momento específico | Escrever |
elasticache:AddTagsToResource |
||
CreateSnapshot | Concede permissão para criar uma cópia de um cluster Redis inteiro em um momento específico | Escrever |
elasticache:AddTagsToResource s3:DeleteObject s3:GetBucketAcl s3:PutObject |
||
CreateUser | Concede permissão para criar um usuário do Redis. Há suporte para usuários do Redis 6.0 em diante. | Escrever |
elasticache:AddTagsToResource |
||
CreateUserGroup | Concede permissão para criar um grupo de usuários do Redis. Há suporte para grupos do Redis 6.0 em diante. | Escrever |
elasticache:AddTagsToResource |
||
DecreaseNodeGroupsInGlobalReplicationGroup | Concede permissão para diminuir o número de grupos de nós em grupos de replicação globais | Write | |||
DecreaseReplicaCount | Concede permissão para diminuir o número de réplicas em um grupo de replicação Redis (modo de cluster desabilitado) ou o número de nós de réplica em um ou mais grupos de nós (fragmentos) de um grupo de replicação Redis (modo de cluster habilitado) | Write |
ec2:CreateNetworkInterface ec2:DeleteNetworkInterface ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
DeleteCacheCluster | Concede permissão para excluir um cluster provisionado anteriormente | Write |
ec2:CreateNetworkInterface ec2:DeleteNetworkInterface ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
DeleteCacheParameterGroup | Concede permissão para excluir o grupo de parâmetros de cache especificado | Write | |||
DeleteCacheSecurityGroup | Concede permissão para excluir um grupo de segurança de cache | Write | |||
DeleteCacheSubnetGroup | Concede permissão para excluir um grupo de sub-redes de cache | Write |
ec2:CreateNetworkInterface ec2:DeleteNetworkInterface ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
DeleteGlobalReplicationGroup | Concede permissão para excluir um grupo de replicação global existente | Write | |||
DeleteReplicationGroup | Concede permissão para excluir um grupo de replicação existente | Escrever |
ec2:CreateNetworkInterface ec2:DeleteNetworkInterface ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
DeleteServerlessCache | Concede permissão para excluir um cache com tecnologia sem servidor | Escrever |
ec2:DescribeTags |
||
DeleteServerlessCacheSnapshot | Concede permissão para excluir um snapshot de cache com tecnologia sem servidor | Escrever | |||
DeleteSnapshot | Concede permissão para excluir um snapshot existente | Write | |||
DeleteUser | Concede permissão para excluir um usuário existente e, portanto, removê-lo de todos os grupos de usuários e grupos de replicação aos quais ele foi atribuído | Write | |||
DeleteUserGroup | Concede permissão para excluir um grupo de usuários existente | Write | |||
DescribeCacheClusters | Concede permissão para listar informações sobre clusters de cache provisionados | Listar | |||
DescribeCacheEngineVersions | Concede permissão para listar mecanismos de cache disponíveis e suas versões | Listar | |||
DescribeCacheParameterGroups | Concede permissão para listar descrições de grupos de parâmetros de cache | List | |||
DescribeCacheParameters | Concede permissão para recuperar a lista de parâmetros detalhada de um grupo de parâmetros de cache específico | List | |||
DescribeCacheSecurityGroups | Concede permissão para listar descrições do grupo de segurança de cache | List | |||
DescribeCacheSubnetGroups | Concede permissão para listar descrições de grupos de sub-redes de cache | List | |||
DescribeEngineDefaultParameters | Concede permissão para retornar as informações sobre o mecanismo padrão e parâmetros do sistema do mecanismo de cache especificado | List | |||
DescribeEvents | Concede permissão para listar eventos relacionados a clusters, grupos de segurança de cache e grupos de parâmetros de cache | List | |||
DescribeGlobalReplicationGroups | Concede permissão para listar informações sobre grupos de replicação globais | List | |||
DescribeReplicationGroups | Concede permissão para listar informações sobre grupos de replicação provisionados | List | |||
DescribeReservedCacheNodes | Concede permissão para listar informações sobre nós de cache reservados comprados | List | |||
DescribeReservedCacheNodesOfferings | Concede permissão para listar ofertas disponíveis de nós de cache reservados | Listar | |||
DescribeServerlessCacheSnapshots | Concede permissão para listar informações sobre snapshots de caches com tecnologia sem servidor | Listar | |||
DescribeServerlessCaches | Concede permissão para listar caches com tecnologia sem servidor | Listar | |||
DescribeServiceUpdates | Concede permissão para listar detalhes das atualizações do serviço | List | |||
DescribeSnapshots | Concede permissão para listar informações sobre snapshots de grupos de replicação ou clusters | List | |||
DescribeUpdateActions | Concede permissão para listar detalhes das ações de atualização de um conjunto de clusters ou grupos de replicação | List | |||
DescribeUserGroups | Concede permissão para listar informações sobre grupos de usuários do Redis | List | |||
DescribeUsers | Concede permissão para listar informações sobre usuários do Redis | List | |||
DisassociateGlobalReplicationGroup | Concede permissão para remover um grupo de replicação secundário do grupo de replicação global | Escrever | |||
ExportServerlessCacheSnapshot | Concede permissão para exportar uma cópia de um cache com tecnologia sem servidor em um momento específico a um bucket do s3 | Escrever |
s3:DeleteObject s3:ListAllMyBuckets s3:PutObject |
||
FailoverGlobalReplicationGroup | Concede permissão para fazer failover da região primária para uma região secundária selecionada de um grupo de replicação global | Write | |||
IncreaseNodeGroupsInGlobalReplicationGroup | Concede permissão para aumentar o número de grupos de nós em um grupo de replicação global | Write | |||
IncreaseReplicaCount | Concede permissão para aumentar o número de réplicas em um grupo de replicação Redis (modo de cluster desabilitado) ou o número de nós de réplica em um ou mais grupos de nós (fragmentos) de um grupo de replicação Redis (modo de cluster habilitado) | Escrever |
ec2:CreateNetworkInterface ec2:DeleteNetworkInterface ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
InterruptClusterAzPower [somente permissão] | Concede permissão para testar uma interrupção de energia AZ para um recurso ElastiCache | Escrever | |||
ListAllowedNodeTypeModifications | Concede permissão para listar o tipo de nó disponível que pode ser usado para dimensionar um cluster ou grupo de replicação Redis específico | Listar | |||
ListTagsForResource | Concede permissão para listar tags para um ElastiCache recurso | Leitura | |||
ModifyCacheCluster | Concede permissão para modificar configurações de um cluster | Write | |||
ModifyCacheParameterGroup | Concede permissão para modificar os parâmetros de um grupo de parâmetros de cache | Write | |||
ModifyCacheSubnetGroup | Concede permissão para modificar um grupo de sub-redes de cache existente | Write | |||
ModifyGlobalReplicationGroup | Concede permissão para modificar configurações de um grupo de replicação global | Write | |||
ModifyReplicationGroup | Concede permissão para modificar as configurações de um grupo de replicação | Write |
elasticache:AutomaticFailoverEnabled elasticache:SnapshotRetentionLimit elasticache:CacheParameterGroupName |
ec2:CreateNetworkInterface ec2:DeleteNetworkInterface ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
|
ModifyReplicationGroupShardConfiguration | Concede permissão para adicionar fragmentos, remover fragmentos ou reequilibrar os keyspaces entre fragmentos existentes de um grupo de replicação | Escrever |
ec2:CreateNetworkInterface ec2:DeleteNetworkInterface ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
ModifyServerlessCache | Concede permissão para modificar os parâmetros para um cache com tecnologia sem servidor | Escrever |
elasticache:SnapshotRetentionLimit |
ec2:DescribeSecurityGroups ec2:DescribeTags |
|
ModifyUser | Concede permissão para alterar as senhas do usuário do Redis e/ou string de acesso | Write | |||
ModifyUserGroup | Concede permissão para alterar a lista de usuários que pertencem ao grupo de usuários | Write | |||
PurchaseReservedCacheNodesOffering | Concede permissão para comprar uma oferta de nó de cache reservada | Write |
elasticache:AddTagsToResource |
||
RebalanceSlotsInGlobalReplicationGroup | Concede permissão para executar uma operação de reequilíbrio de espaço-chave para redistribuir slots e garantir uma distribuição uniforme de chaves entre fragmentos existentes em um grupo de replicação global | Write | |||
RebootCacheCluster | Concede permissão para reiniciar alguns nós de cache (ou todos) dentro de um grupo de replicação ou cluster de cache provisionado (modo de cluster desabilitado) | Escrever | |||
RemoveTagsFromResource | Concede permissão para remover tags de um ElastiCache recurso | Tags | |||
ResetCacheParameterGroup | Concede permissão para modificar parâmetros de um grupo de parâmetros de cache de volta aos seus valores padrão | Escrever | |||
RevokeCacheSecurityGroupIngress | Concede permissão para remover uma entrada EC2 de grupo de segurança de um grupo de ElastiCache segurança | Escrever | |||
StartMigration | Concede permissão para iniciar uma migração de dados do Redis hospedado na Amazon EC2 ElastiCache para o Redis | Escrever | |||
TestFailover | Concede permissão para testar failover automático em um grupo de nós especificado em um grupo de replicação | Escrever |
ec2:CreateNetworkInterface ec2:DeleteNetworkInterface ec2:DescribeNetworkInterfaces ec2:DescribeSubnets ec2:DescribeVpcs |
||
TestMigration | Concede permissão para testar uma migração de dados do Redis hospedado na Amazon EC2 ElastiCache para o Redis | Escrever | |||
Tipos de recursos definidos pela Amazon ElastiCache
Os tipos de recursos a seguir são definidos por esse serviço e podem ser usados no Resource
elemento das declarações de política de IAM permissão. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela Tipos de recursos. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.
Tipos de recursos | ARN | Chaves de condição |
---|---|---|
parametergroup |
arn:${Partition}:elasticache:${Region}:${Account}:parametergroup:${CacheParameterGroupName}
|
|
securitygroup |
arn:${Partition}:elasticache:${Region}:${Account}:securitygroup:${CacheSecurityGroupName}
|
|
subnetgroup |
arn:${Partition}:elasticache:${Region}:${Account}:subnetgroup:${CacheSubnetGroupName}
|
|
replicationgroup |
arn:${Partition}:elasticache:${Region}:${Account}:replicationgroup:${ReplicationGroupId}
|
elasticache:AtRestEncryptionEnabled elasticache:AutomaticFailoverEnabled elasticache:CacheParameterGroupName elasticache:ClusterModeEnabled elasticache:ReplicasPerNodeGroup |
cluster |
arn:${Partition}:elasticache:${Region}:${Account}:cluster:${CacheClusterId}
|
|
reserved-instance |
arn:${Partition}:elasticache:${Region}:${Account}:reserved-instance:${ReservedCacheNodeId}
|
|
snapshot |
arn:${Partition}:elasticache:${Region}:${Account}:snapshot:${SnapshotName}
|
|
globalreplicationgroup |
arn:${Partition}:elasticache::${Account}:globalreplicationgroup:${GlobalReplicationGroupId}
|
elasticache:AtRestEncryptionEnabled elasticache:AutomaticFailoverEnabled elasticache:CacheParameterGroupName elasticache:ClusterModeEnabled elasticache:ReplicasPerNodeGroup |
user |
arn:${Partition}:elasticache:${Region}:${Account}:user:${UserId}
|
|
usergroup |
arn:${Partition}:elasticache:${Region}:${Account}:usergroup:${UserGroupId}
|
|
serverlesscache |
arn:${Partition}:elasticache:${Region}:${Account}:serverlesscache:${ServerlessCacheName}
|
elasticache:MaximumDataStorage |
serverlesscachesnapshot |
arn:${Partition}:elasticache:${Region}:${Account}:serverlesscachesnapshot:${ServerlessCacheSnapshotName}
|
Chaves de condição para a Amazon ElastiCache
A Amazon ElastiCache define as seguintes chaves de condição que podem ser usadas no Condition
elemento de uma IAM política. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.
Para ver as chaves de condição globais que estão disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.
nota
Para obter informações sobre as condições em uma IAM política para controlar o acesso ElastiCache, consulte ElastiCache Chaves no Guia ElastiCache do usuário da Amazon.
Chaves de condição | Descrição | Tipo |
---|---|---|
aws:RequestTag/${TagKey} | Filtra ações com base nas etiquetas transmitidas na solicitação | String |
aws:ResourceTag/${TagKey} | Filtra as ações com base nas etiquetas associadas ao recurso | String |
aws:TagKeys | Filtra ações com base nas chaves da etiqueta transmitidas na solicitação | ArrayOfString |
elasticache:AtRestEncryptionEnabled | Filtra o acesso pelo AtRestEncryptionEnabled parâmetro presente na solicitação ou pelo valor falso padrão se o parâmetro não estiver presente | Bool |
elasticache:AuthTokenEnabled | Filtra o acesso pela presença de um AuthToken parâmetro não vazio na solicitação | Bool |
elasticache:AutomaticFailoverEnabled | Filtra o acesso pelo AutomaticFailoverEnabled parâmetro na solicitação | Bool |
elasticache:CacheNodeType | Filtra o acesso pelo cacheNodeType parâmetro presente na solicitação. Essa chave pode ser usada para restringir quais tipos de nó de cache podem ser usados na criação de cluster ou operações de dimensionamento | String |
elasticache:CacheParameterGroupName | Filtra o acesso pelo CacheParameterGroupName parâmetro na solicitação | String |
elasticache:ClusterModeEnabled | Filtra o acesso pelo parâmetro de modo de cluster presente na solicitação. O valor padrão para criações de grupo de nó único (fragmento) é false | Bool |
elasticache:DataStorageUnit | Filtra o acesso pelo CacheUsageLimits. DataStorage.Parâmetro de unidade na solicitação CreateServerlessCache and ModifyServerlessCache | String |
elasticache:EngineType | Filtra o acesso pelo tipo de mecanismo presente nas solicitações de criação. Para criações de grupos de replicação, o mecanismo padrão "redis" será usado como chave se o parâmetro não estiver presente | String |
elasticache:EngineVersion | Filtra o acesso pelo engineVersion parâmetro presente nas solicitações de criação ou modificação do cluster | String |
elasticache:KmsKeyId | Filtra o acesso pelo KmsKeyId parâmetro na solicitação | String |
elasticache:MaximumDataStorage | Filtra o acesso pelo CacheUsageLimits. DataStorage.Parâmetro máximo na solicitação CreateServerlessCache and ModifyServerlessCache | Numérico |
elasticache:MaximumECPUPerSecond | Filtra o acesso pelo CacheUsageLimits. ECPUPerSecond.Parâmetro máximo na solicitação CreateServerlessCache and ModifyServerlessCache | Numérico |
elasticache:MultiAZEnabled | Filtra o acesso pelo AZMode parâmetro, ultiAZEnabled parâmetro M ou pelo número de zonas de disponibilidade nas quais o cluster ou grupo de replicação pode ser colocado | Bool |
elasticache:NumNodeGroups | Filtra o acesso pelo NodeGroupCount parâmetro NumNodeGroups or especificado na solicitação. Essa chave pode ser usada para restringir o número de grupos de nós (fragmentos) que os clusters podem ter após a criação ou as operações de dimensionamento | Numeric |
elasticache:ReplicasPerNodeGroup | Filtra o acesso pelo número de réplicas por grupo de nós (fragmentos) especificado em criações ou solicitações de dimensionamento | Numérico |
elasticache:SnapshotRetentionLimit | Filtra o acesso pelo SnapshotRetentionLimit parâmetro na solicitação | Numérico |
elasticache:TransitEncryptionEnabled | Filtra o acesso pelo TransitEncryptionEnabled parâmetro presente na solicitação. Para criações de grupo de replicação, o valor padrão “false” será usado como chave se o parâmetro não estiver presente | Bool |
elasticache:UserAuthenticationMode | Filtra o acesso pelo UserAuthenticationMode parâmetro na solicitação | String |