Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre ElastiCache Ressourcen - Amazon ElastiCache
ElastiCache Ressourcen und Abläufe von AmazonGrundlegendes zum Eigentum an RessourcenVerwalten des Zugriffs auf Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre ElastiCache Ressourcen

Jede AWS Ressource gehört einem AWS Konto, und die Berechtigungen zum Erstellen oder Zugreifen auf eine Ressource werden durch Berechtigungsrichtlinien geregelt. Ein Kontoadministrator kann IAM Identitäten (d. h. Benutzern, Gruppen und Rollen) Berechtigungsrichtlinien zuordnen. Darüber hinaus unterstützt Amazon ElastiCache auch das Anhängen von Berechtigungsrichtlinien an Ressourcen.

Anmerkung

Ein Kontoadministrator (oder Administratorbenutzer) ist ein Benutzer mit Administratorrechten. Weitere Informationen finden Sie unter IAMBewährte Methoden im IAMBenutzerhandbuch.

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

Themen

ElastiCache Ressourcen und Abläufe von Amazon

Eine Liste der ElastiCache Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter Von Amazon definierte Ressourcen ElastiCache in der Service Authorization Reference. Informationen darüber, mit welchen Aktionen Sie die ARN einzelnen Ressourcen spezifizieren können, finden Sie unter Von Amazon definierte Aktionen ElastiCache.

Grundlegendes zum Eigentum an Ressourcen

Ein Ressourcenbesitzer ist das AWS Konto, das die Ressource erstellt hat. Das heißt, der Ressourcenbesitzer ist das AWS Konto der Prinzipalentität, die die Anforderung authentifiziert, mit der die Ressource erstellt wird. Eine Prinzipalentität kann das Stammkonto, ein IAM Benutzer oder eine IAM Rolle sein. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:

  • Angenommen, Sie verwenden die Root-Kontoanmeldeinformationen Ihres AWS Kontos, um einen Cache-Cluster zu erstellen. In diesem Fall ist Ihr AWS Konto der Eigentümer der Ressource. ElastiCacheIn ist die Ressource der Cache-Cluster.

  • Angenommen, Sie erstellen einen IAM Benutzer in Ihrem AWS Konto und gewähren diesem Benutzer Berechtigungen zum Erstellen eines Cache-Clusters. In diesem Fall kann der Benutzer einen Cache-Cluster erstellen. Ihr AWS Konto, zu dem der Benutzer gehört, besitzt jedoch die Cache-Cluster-Ressource.

  • Angenommen, Sie erstellen in Ihrem AWS Konto eine IAM Rolle mit Berechtigungen zum Erstellen eines Cache-Clusters. In diesem Fall kann jeder, der die Rolle übernehmen kann, einen Cache-Cluster erstellen. Ihr AWS Konto, zu dem die Rolle gehört, besitzt die Cache-Cluster-Ressource.

Verwalten des Zugriffs auf Ressourcen

Eine Berechtigungsrichtlinie beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werden die verfügbaren Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.

Anmerkung

In diesem Abschnitt wird die Verwendung IAM im Kontext von Amazon beschrieben ElastiCache. Es enthält keine detaillierten Informationen über den IAM Service. Eine vollständige IAM Dokumentation finden Sie unter Was istIAM? im IAMBenutzerhandbuch. Informationen zur IAM Richtliniensyntax und zu Beschreibungen finden Sie unter AWS IAMPolicy Reference im IAMBenutzerhandbuch.

Mit einer IAM Identität verknüpfte Richtlinien werden als identitätsbasierte Richtlinien (IAMRichtlinien) bezeichnet. An Ressourcen angehängte Richtlinien werden als ressourcenbasierte Richtlinien bezeichnet.

Identitätsbasierte Richtlinien (Richtlinien) IAM

Sie können Identitäten Richtlinien zuordnenIAM. Sie können z. B. Folgendes tun:

  • Anfügen einer Berechtigungsrichtlinie zu einem Benutzer oder einer Gruppe in Ihrem Konto – Ein Kontoadministrator kann eine Berechtigungsrichtlinie verwenden, die einem bestimmten Benutzer zugeordnet ist, um Berechtigungen zu erteilen. In diesem Fall verfügen die Benutzer über die erforderlichen Berechtigungen zum Erstellen einer ElastiCache Ressource, z. B. eines Cache-Clusters, einer Parametergruppe oder einer Sicherheitsgruppe.

  • Einer Rolle eine Berechtigungsrichtlinie zuordnen (kontoübergreifende Berechtigungen gewähren) — Sie können einer IAM Rolle eine identitätsbasierte Berechtigungsrichtlinie zuordnen, um kontoübergreifende Berechtigungen zu gewähren. Der Administrator in Konto A kann beispielsweise wie folgt eine Rolle erstellen, um einem anderen AWS Konto (z. B. Konto B) oder einem Dienst kontoübergreifende Berechtigungen zu gewähren: AWS

    1. Der Administrator von Konto A erstellt eine IAM Rolle und fügt der Rolle, die Berechtigungen für Ressourcen in Konto A gewährt, eine Berechtigungsrichtlinie hinzu.

    2. Der Administrator von Konto A weist der Rolle eine Vertrauensrichtlinie zu, die Konto B als den Prinzipal identifiziert, der die Rolle übernehmen kann.

    3. Der Administrator von Konto B kann dann die Berechtigungen zur Übernahme der Rolle an alle Benutzer in Konto B delegieren. Auf diese Weise können Benutzer in Konto B Ressourcen in Konto A erstellen oder darauf zugreifen. In einigen Fällen möchten Sie einem AWS Dienst möglicherweise Berechtigungen zur Übernahme der Rolle erteilen. Zum Support dieses Ansatzes kann es sich beim Prinzipal in der Vertrauensrichtlinie auch um einen AWS -Service-Prinzipal handeln.

    Weitere Informationen zur Verwendung IAM zum Delegieren von Berechtigungen finden Sie unter Zugriffsverwaltung im IAMBenutzerhandbuch.

Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die es einem Benutzer ermöglicht, die DescribeCacheClusters Aktion für Ihr AWS Konto auszuführen. ElastiCache unterstützt auch die Identifizierung bestimmter Ressourcen, die die Ressource ARNs für API Aktionen verwenden. (Dieser Ansatz heißt auch Ressourcenebenen-Berechtigungen.) 

{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "DescribeCacheClusters",
      "Effect": "Allow",
      "Action": [
         "elasticache:DescribeCacheClusters"],
      "Resource": resource-arn
      }
   ]
}

Weitere Informationen zur Verwendung identitätsbasierter Richtlinien mit finden Sie ElastiCache unter. Verwendung identitätsbasierter Richtlinien (IAMRichtlinien) für Amazon ElastiCache Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sie im Benutzerhandbuch unter Identitäten (Benutzer, Gruppen und Rollen). IAM

Angeben der Richtlinienelemente: Aktionen, Effekte, Ressourcen und Prinzipale

Für jede ElastiCache Amazon-Ressource (siehe ElastiCache Ressourcen und Abläufe von Amazon) definiert der Service eine Reihe von API Vorgängen (siehe Aktionen). ElastiCache Definiert eine Reihe von API Aktionen, die Sie in einer Richtlinie angeben können, um Berechtigungen für diese Operationen zu erteilen. Für die ElastiCache Clusterressource sind beispielsweise die folgenden Aktionen definiert: CreateCacheClusterDeleteCacheCluster, undDescribeCacheCluster. Für die Ausführung eines API Vorgangs können Berechtigungen für mehr als eine Aktion erforderlich sein.

Grundlegende Richtlinienelemente:

  • Ressource — In einer Richtlinie verwenden Sie einen Amazon-Ressourcennamen (ARN), um die Ressource zu identifizieren, für die die Richtlinie gilt. Weitere Informationen finden Sie unter ElastiCache Ressourcen und Abläufe von Amazon.

  • Aktion – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten. Je nach Angabe Effect gewährt oder verweigert die elasticache:CreateCacheCluster Berechtigung dem Benutzer beispielsweise die Berechtigungen zur Durchführung des ElastiCache CreateCacheCluster Amazon-Vorgangs.

  • Auswirkung – Die von Ihnen festgelegte Auswirkung, wenn der Benutzer die jeweilige Aktion anfordert – entweder „allow“ (Zugriffserlaubnis) oder „deny“ (Zugriffsverweigerung). Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten ("Allow"), wird er automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie zum Beispiel sicherstellen, dass ein Benutzer nicht auf die Ressource zugreifen kann, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.

  • Principal — In identitätsbasierten Richtlinien (IAMRichtlinien) ist der Benutzer, dem die Richtlinie zugeordnet ist, der implizite Prinzipal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer, das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll (gilt nur für ressourcenbasierte Richtlinien).

Weitere Informationen zur IAM Richtliniensyntax und zu deren Beschreibung finden Sie unter AWS IAMRichtlinienreferenz im IAM Benutzerhandbuch.

Eine Tabelle mit allen ElastiCache API Amazon-Aktionen finden Sie unterElastiCache APIBerechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen.

Angeben von Bedingungen in einer Richtlinie

Wenn Sie Genehmigungen erteilen, können Sie in der Sprache der IAM Richtlinie angeben, unter welchen Bedingungen eine Richtlinie in Kraft treten soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zur Angabe von Bedingungen in einer Richtliniensprache finden Sie unter Bedingung im IAMBenutzerhandbuch.

Bedingungen werden mithilfe vordefinierter Bedingungsschlüssel formuliert. Informationen zur Verwendung von ElastiCache -spezifischen Bedingungsschlüsseln finden Sie unterVerwenden von Bedingungsschlüssel. Es gibt Bedingungsschlüssel AWS für alle Bereiche, die Sie je nach Bedarf verwenden können. Eine vollständige Liste der AWS-weiten Schlüssel finden Sie im IAMBenutzerhandbuch unter Verfügbare Schlüssel für Bedingungen.