本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 記憶體資料庫的管理原則
若要新增使用者、群組和角色的權限,使用 AWS 受管理的原則比自己撰寫原則更容易。建立 IAM 客戶受管政策需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。若要快速開始使用,您可以使用我們的 AWS 受管政策。這些政策涵蓋常見使用案例,並可在您的 AWS 帳戶中使用。如需 AWS 受管政策的詳細資訊,請參閱 IAM 使用者指南中的AWS 受管政策。
AWS 服務會維護和更新 AWS 受管理的策略。您無法變更 AWS 受管理原則中的權限。服務偶爾會在 AWS 受管政策中新增其他許可以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務很可能會更新 AWS 受管政策。服務不會從 AWS 受管理的政策移除權限,因此政策更新不會破壞您現有的權限。
此外,還 AWS 支援跨多個服務之工作職能的受管理原則。例如,ReadOnlyAccess AWS 受管理的策略提供對所有 AWS 服務和資源的唯讀存取。當服務啟動新功能時,會為新作業和資源新 AWS 增唯讀權限。如需任務職能政策的清單和說明,請參閱 IAM 使用者指南中有關任務職能的AWS 受管政策。
AWS 管理策略:內存數據庫 ServiceRolePolicy
您無法將 MemoryDB ServiceRolePolicy AWS 受管理的原則附加至帳戶中的身分識別。此原則是 AWS MemoryDB 服務連結角色的一部分。此角色可讓服務管理您帳戶中的網路介面和安全性群組。
MemoryDB 使用此政策中的許可來管理 EC2 安全群組和網路界面。這是管理內存數據庫集群所必需的。
許可詳細資訊
此政策包含以下許可。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*:*:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "AmazonMemoryDBManaged" ] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:security-group/*" ] }, { "Effect": "Allow", "Action": [ "ec2:DeleteNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute" ], "Resource": "arn:aws:ec2:*:*:network-interface/*", "Condition": { "StringEquals": { "ec2:ResourceTag/AmazonMemoryDBManaged": "true" } } }, { "Effect": "Allow", "Action": [ "ec2:DeleteNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute" ], "Resource": "arn:aws:ec2:*:*:security-group/*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeSecurityGroups", "ec2:DescribeNetworkInterfaces", "ec2:DescribeAvailabilityZones", "ec2:DescribeSubnets", "ec2:DescribeVpcs" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/MemoryDB" } } } ] }
AWS管理(預定義)的內存數據庫策略
AWS 透過提供由建立和管理的獨立 IAM 政策來解決許多常見使用案例 AWS。受管政策授與常見使用案例中必要的許可,讓您免於查詢需要哪些許可。如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策。
下列 AWS 受管理原則 (您可以附加至帳戶中的使用者) 專屬於 MemoryDB:
AmazonMemory資料庫 ReadOnlyAccess
您可將 AmazonMemoryDBReadOnlyAccess 政策連接到 IAM 身分。此原則會授與允許所有 MemoryDB 資源的唯讀存取權限的系統管理權限。
AmazonMemoryDB ReadOnlyAccess-授予對內存數據庫資源的只讀訪問權限。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "memorydb:Describe*", "memorydb:List*" ], "Resource": "*" }] }
AmazonMemory資料庫 FullAccess
您可將 AmazonMemoryDBFullAccess 政策連接到 IAM 身分。此原則會授與允許完整存取所有 MemoryDB 資源的管理權限。
AmazonMemoryDB FullAccess-授予對內存數據庫資源的完全訪問權限。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "memorydb:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB", "Condition": { "StringLike": { "iam:AWSServiceName": "memorydb.amazonaws.com" } } } ] }
您也可以建立自己的自訂 IAM 政策,以允許 MemoryDB API 動作的許可。您可以將這些自訂政策連接至需要這些許可的 IAM 使用者或群組。
受管理原則的記憶體資料庫更新 AWS
檢視 MemoryDB AWS 受管理原則的詳細資料,因為這項服務開始追蹤這些變更。如需有關此頁面變更的自動警示,請訂閱 MemoryDB 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
|
MemoryDB 添加了新的權限來描述和列出支持的資源。MemoryDB 需要這些權限才能查詢帳戶中所有支援的資源。 |
10/07/2021 | |
|
MemoryDB 添加了新的權限來描述和列出支持的資源。MemoryDB 通過查詢帳戶中所有支持的資源來創建基於帳戶的應用程序需要這些權限。 |
10/07/2021 | |
|
內存數據庫開始跟踪更改 |
服務啟動 |
8/19/2021 |
