管理 MemoryDB 資源存取權限的概觀

每個 AWS 資源都由一個 AWS 帳號擁有，建立或存取資源的權限由權限原則控制。帳戶管理員可以將許可政策連接到 IAM 身分 (即使用者、群組和角色)。此外，MemoryDB 也支援將權限原則附加至資源。

注意

帳戶管理員 (或管理員使用者) 是具有管理員權限的使用者。如需詳細資訊，請參《IAM 使用者指南》中的 IAM 最佳實務。

若要提供存取權，請新增權限至您的使用者、群組或角色：

• 使用者和群組位於 AWS IAM Identity Center：

  建立權限合集。請按照 AWS IAM Identity Center 使用者指南 中的 建立權限合集 說明進行操作。

• 透過身分提供者在 IAM 中管理的使用者：

  建立聯合身分的角色。請按照 IAM 使用者指南 的 為第三方身分提供者 (聯合) 建立角色 中的指示進行操作。

• IAM 使用者：

  • 建立您的使用者可擔任的角色。請按照 IAM 使用者指南 的 為 IAM 使用者建立角色 中的指示進行操作。

  • (不建議) 將政策直接附加至使用者，或將使用者新增至使用者群組。請遵循 IAM 使用者指南的新增許可到使用者 (主控台)中的指示。

主題

• 記憶體資料庫資源和作業
• 了解資源所有權
• 管理資源存取
• 針對記憶體資料庫使用以身分識別為基礎的政策 (IAM 政策)
• 資源層級許可
• 針對記憶體 DB 使用服務連結角色
• AWS 記憶體資料庫的管理原則
• 記憶體資料庫 API 權限：動作、資源和條件參考

記憶體資料庫資源和作業

在 MemoryDB 中，主要資源是一個群集。

這些資源各與唯一的 Amazon 資源名稱 (ARN) 相關聯，如下表所示。

注意

若要讓資源層級許可生效，ARN 字串上的資源名稱應為小寫。

資源類型	ARN 格式
使用者	使用者:AW: 記憶體資料庫:美國東部
存取控制清單 (ACL)	骨架:AW: 存儲器:美國東部-1:123456789012: 阿克/氯
叢集	雲：AW：內存數據庫：美國東部 1：123456789012：集群/我的集群
快照	arn: AW: 記憶體資料庫:美國東部-1:123456789012: 快照/我的快照
參數群組	ARN：AW：內存數據庫：美國東部-1：123456789012：參數組/my-parameter-group
子網路群組	陣列:AW: 記憶體資料庫:美國東部 1:123456789012: 子網群組/my-subnet-group

記憶數據庫提供了一組操作與內存數據庫資源的工作。如需可用作業的清單，請參閱 MemoryDB 動作。

了解資源所有權

資源擁有者是建立資源的 AWS 帳號。也就是說，資源擁有者是驗證建立資源之要求的主體實體的 AWS 帳戶。主體實體可以是根帳戶、IAM 使用者或 IAM 角色。下列範例說明其如何運作：

• 假設您使用帳戶的根帳 AWS 戶認證來建立叢集。在這種情況下，您的 AWS 帳戶是資源的擁有者。在內存數據庫中，資源是集群。

• 假設您在 AWS 帳戶中建立 IAM 使用者，並授與建立叢集的權限給該使用者。在此情況下，使用者可以建立叢集。但是，使用者所屬的 AWS 帳戶擁有叢集資源。

• 假設您在具有建立叢集許可的 AWS 帳戶中建立 IAM 角色。在此情況下，任何可以擔任該角色的人都可以建立叢集。角色所屬的 AWS 帳號擁有叢集資源。

管理資源存取

許可政策描述誰可以存取哪些資源。下一節說明可用來建立許可政策的選項。

注意

本節討論在 MemoryDB 的內容中使用 IAM。它不提供 IAM 服務的詳細資訊。如需完整的 IAM 文件，請參閱IAM 使用者指南中的什麼是 IAM。如需有關 IAM 政策語法和說明的資訊，請參閱IAM 使用者指南中的 AWS IAM 政策參考。

連接到 IAM 身分的政策稱為身分類型政策 (IAM 政策)。連接到資源的政策稱為資源型政策。

身分類型政策 (IAM 政策)

您可以將政策連接到 IAM 身分。例如，您可以執行下列動作：

• 將許可政策連接至帳戶中的使用者或群組 - 帳戶管理員能夠透過與特定使用者相關聯的許可政策來授予許可。在此情況下，該使用者可以建立 MemoryDB 資源 (例如叢集、參數群組或安全性群組) 的權限。

• 將許可政策連接至角色 (授予跨帳戶許可)：您可以將身分識別型許可政策連接至 IAM 角色，藉此授予跨帳戶許可。例如，帳戶 A 中的系統管理員可以建立角色，將跨帳戶權限授與另一個 AWS 帳戶 (例如，帳戶 B) 或 AWS 服務，如下所示：

  1. 帳戶 A 管理員建立 IAM 角色，並將許可政策連接到可授與帳戶 A 中資源許可的角色。

  2. 帳戶 A 管理員將信任政策連接至該角色，識別帳戶 B 做為可擔任該角的委託人。

  3. 然後，帳戶 B 管理員可以將權限委派給帳戶 B 中的任何使用者擔任該角色的權限。這樣做可讓帳戶 B 中的使用者建立或存取帳戶 A 中的資源。在某些情況下，您可能想要授與 AWS 服務權限來擔任該角色。為了支援此方法，信任政策中的委託人也可以是 AWS 服務委託人。

  如需使用 IAM 來委派許可的相關資訊，請參閱《IAM 使用者指南》中的存取管理。

下列範例原則可讓使用者針對您的 AWS 帳戶執行DescribeClusters動作。MemoryDB 還支持使用資源 ARN 進行 API 操作識別特定資源。(此方法也稱為資源層級許可)。

{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "DescribeClusters",
      "Effect": "Allow",
      "Action": [
         "memorydb:DescribeClusters"],
      "Resource": resource-arn
      }
   ]
}

如需有關將身分識別型原則與 MemoryDB 搭配使用的詳細資訊，請參閱。針對記憶體資料庫使用以身分識別為基礎的政策 (IAM 政策)如需使用者、群組、角色和許可的詳細資訊，請參閱 IAM 使用者指南中的身分 (使用者、群組和角色)。

指定政策元素：動作、效果、資源和主體

對於每個 MemoryDB 資源 (請參閱記憶體資料庫資源和作業)，服務會定義一組 API 作業 (請參閱動作)。為了授予這些 API 操作的權限，MemoryDB 定義了一組您可以在策略中指定的操作。例如，對於 MemoryDB 叢集資源，會定義下列動作：CreateClusterDeleteCluster、和。DescribeClusters執行一項 API 操作可能需要多個動作的許可。

以下是最基本的政策元素：

• 資源 – 在政策中，您可以使用 Amazon Resource Name (ARN) 來識別要套用政策的資源。如需詳細資訊，請參閱 記憶體資料庫資源和作業。

• 動作：使用動作關鍵字識別您要允許或拒絕的資源操作。例如，根據指定的Effect，權限允memorydb:CreateCluster許或拒絕使用者執行 Memory CreateCluster DB 作業的權限。

• 效果 - 您可以指定使用者要求特定動作時會有什麼效果；可為允許或拒絕。如果您未明確授予存取 (允許) 資源，則隱含地拒絕存取。您也可以明確拒絕存取資源。例如，您可以這樣做以確保使用者無法存取資源，即使不同的政策授與存取。

• 主體：在以身分為基礎的政策 (IAM 政策) 中，政策所連接的使用者就是隱含主體。對於資源型政策，您可以指定想要收到許可的使用者、帳戶、服務或其他實體 (僅適用於資源型政策)。

如需進一步了解有關 IAM 政策語法和說明的詳細資訊，請參閱《IAM 使用者指南》 中的 AWS IAM 政策參考。

如需顯示所有 MemoryDB API 動作的表格，請參閱。記憶體資料庫 API 權限：動作、資源和條件參考

在政策中指定條件

當您授與許可時，您可以使用 IAM 政策語言指定政策生效時間的條件。例如，建議只在特定日期之後套用政策。如需使用政策語言指定條件的詳細資訊，請參閱IAM 使用者指南中的條件。