管理 ElastiCache 資源存取許可的概觀

每項 AWS 資源均由某個 AWS 帳戶所持有，而建立或存取資源的許可則由許可政策管理。帳戶管理員可以將許可政策連接到 IAM 身分 (即使用者、群組和角色)。此外，Amazon ElastiCache 還支援將許可政策連接到資源。

注意

帳戶管理員 (或管理員使用者) 是具有管理員權限的使用者。如需詳細資訊，請參《IAM 使用者指南》中的 IAM 最佳實務。

若要提供存取權，請新增權限至您的使用者、群組或角色：

• AWS IAM Identity Center 中的使用者和群組：

  建立權限合集。請遵循 AWS IAM Identity Center 使用者指南 的 建立權限合集 中的指示。

• 透過身分提供者在 IAM 中管理的使用者：

  建立聯合身分的角色。請遵循 IAM 使用者指南 的 為第三方身分提供者 (聯合) 建立角色 中的指示。

• IAM 使用者：

  • 建立您的使用者可擔任的角色。請遵循 IAM 使用者指南 的 為 IAM 使用者建立角色 中的指示。

  • (不建議) 將政策直接附加至使用者，或將使用者新增至使用者群組。請遵循 IAM 使用者指南 的 新增權限至使用者 (主控台) 中的指示。

主題

• Amazon ElastiCache 資源和作業
• 了解資源所有權
• 管理資源存取
• Amazon ElastiCache 的 AWS 受管政策
• 針對 Amazon ElastiCache 使用身分型政策 (IAM 政策)
• 資源層級許可
• 使用條件索引鍵
• 為 Amazon ElastiCache 使用服務連結角色
• ElastiCache API 權限：動作、資源和條件參考

Amazon ElastiCache 資源和作業

若要查看 ElastiCache 資源類型清單及其 ARN，請參閱《服務授權參考》中的 Amazon ElastiCache 定義的資源。若要了解您可以使用哪些動作指定每個資源的 ARN，請參閱 Amazon ElastiCache 定義的動作。

了解資源所有權

資源擁有者是建立資源的 AWS 帳戶。換言之，資源擁有者就是驗證建立資源請求之委託人實體的 AWS 帳戶。委託人實體可以是根帳戶、IAM 使用者或 IAM 角色)。下列範例說明其如何運作：

• 假設您使用 AWS 帳戶的根帳戶憑證來建立快取叢集。在此例中，您的 AWS 帳戶即為資源的擁有者。在 ElastiCache 中，資源就是快取叢集。

• 假設您在 AWS 帳戶中建立 IAM 使用者並將建立快取叢集的許可授予該使用者。在此例中，該使用者可以建立快取叢集。但是您的 AWS 帳戶 (也是該使用者所屬的帳戶) 擁有該快取叢集資源。

• 假設您在 AWS 帳戶中建立具有建立快取叢集許可的 IAM 角色。在此例中，任何可以擔任該角色的人都能建立快取叢集。您的 AWS 帳戶 (也是該角色所屬的帳戶) 擁有快取叢集資源。

管理資源存取

許可政策描述誰可以存取哪些資源。下一節說明可用來建立許可政策的選項。

注意

本節著重討論如何在 ​Amazon ElastiCache 的環境中使用 IAM。它不提供 IAM 服務的詳細資訊。如需完整的 IAM 文件，請參閱IAM 使用者指南中的什麼是 IAM。如需有關 IAM 政策語法和說明的資訊，請參閱IAM 使用者指南中的 AWS IAM 政策參考。

連接到 IAM 身分的政策稱為身分類型政策 (IAM 政策)。連接到資源的政策稱為資源型政策。

身分類型政策 (IAM 政策)

您可以將政策連接到 IAM 身分。例如，您可以執行下列動作：

• 將許可政策連接至帳戶中的使用者或群組 - 帳戶管理員能夠透過與特定使用者相關聯的許可政策來授予許可。在此案例中，許可用於授予該使用者建立 ElastiCache 資源，例如快取叢集、參數群組或安全群組。

• 將許可政策連接至角色 (授予跨帳戶許可)：您可以將身分識別型許可政策連接至 IAM 角色，藉此授予跨帳戶許可。例如，帳戶 A 管理員可以建立角色，將跨帳戶許可授予另一個 AWS 帳戶 (例如帳戶 B) 或某個 AWS 服務，如下所示：

  1. 帳戶 A 管理員建立 IAM 角色，並將許可政策連接到可授與帳戶 A 中資源許可的角色。

  2. 帳戶 A 管理員將信任政策連接至該角色，識別帳戶 B 做為可擔任該角的委託人。

  3. 帳戶 B 管理員即可將擔任該角色的許可委派給帳戶 B 中的任何使用者。這麼做可讓帳戶 B 的使用者建立或存取帳戶 A 的資源。有時候，您可能會想要授與 AWS 服務許可以擔任該角色。為了支援此方法，信任政策中的委託人也可以是 AWS 服務委託人。

  如需使用 IAM 來委派許可的詳細資訊，請參閱《IAM 使用者指南》中的存取管理。

以下為允許使用者對您的 AWS 帳戶執行 DescribeCacheClusters 動作的範例政策。ElastiCache 還支援使用 API 動作的資源 ARN 來識別特定資源。(此方法也稱為資源層級許可)。

{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "DescribeCacheClusters",
      "Effect": "Allow",
      "Action": [
         "elasticache:DescribeCacheClusters"],
      "Resource": resource-arn
      }
   ]
}

如需搭配 ElastiCache 使用身分型政策的詳細資訊，請參閱「針對 Amazon ElastiCache 使用身分型政策 (IAM 政策)」。如需使用者、群組、角色和許可的詳細資訊，請參閱 IAM 使用者指南中的身分 (使用者、群組和角色)。

指定政策元素：動作、效果、資源和主體

針對每一個 Amazon ElastiCache 資源 (請參閱「Amazon ElastiCache 資源和作業」)，服務會定義一組 API 操作 (請參閱動作)。為了授予這些 API 作業的許可，ElastiCache 定義了一組可在政策中指定的動作。例如，針對 ElastiCache 叢集資源定義的動作如下：CreateCacheCluster、DeleteCacheCluster 及 DescribeCacheCluster。執行一項 API 操作可能需要多個動作的許可。

以下是最基本的政策元素：

• 資源 – 在政策中，您可以使用 Amazon Resource Name (ARN) 來識別要套用政策的資源。如需更多詳細資訊，請參閱 Amazon ElastiCache 資源和作業。

• 動作：使用動作關鍵字識別您要允許或拒絕的資源操作。例如，根據指定的 Effect，elasticache:CreateCacheCluster 許可會允許或拒絕執行 Amazon ElastiCache CreateCacheCluster 作業的使用者許可。

• 效果 - 您可以指定使用者要求特定動作時會有什麼效果；可為允許或拒絕。如果您未明確授予存取 (允許) 資源，則隱含地拒絕存取。您也可以明確拒絕存取資源。例如，您可以這樣做以確保使用者無法存取資源，即使不同的政策授與存取。

• 主體：在以身分為基礎的政策 (IAM 政策) 中，政策所連接的使用者就是隱含主體。對於資源型政策，您可以指定想要收到許可的使用者、帳戶、服務或其他實體 (僅適用於資源型政策)。

如需進一步了解有關 IAM 政策語法和說明的詳細資訊，請參閱《IAM 使用者指南》 中的 AWS IAM 政策參考。

如需列出所有 Amazon ElastiCache API 動作的表格，請參閱「ElastiCache API 權限：動作、資源和條件參考」。

在政策中指定條件

當您授與許可時，您可以使用 IAM 政策語言指定政策生效時間的條件。例如，建議只在特定日期之後套用政策。如需使用政策語言指定條件的詳細資訊，請參閱IAM 使用者指南中的條件。

欲表示條件，您可以使用預先定義的條件金鑰。若要使用 ElastiCache 專用的條件索引鍵，請參閱「使用條件索引鍵」。您可以使用適當的 AWS 通用條件索引鍵。如需全 AWS 通用金鑰的清單，請參閱 IAM 使用者指南中的可用的條件金鑰。