Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre ElastiCache Ressourcen
Jede AWS Ressource gehört einem AWS Konto, und die Berechtigungen zum Erstellen oder Zugreifen auf eine Ressource werden durch Berechtigungsrichtlinien geregelt. Ein Kontoadministrator kann Berechtigungsrichtlinien an IAM-Identitäten (Benutzer, Gruppen und Rollen) anfügen. Darüber hinaus unterstützt Amazon ElastiCache auch das Anhängen von Berechtigungsrichtlinien an Ressourcen.
**Anmerkung**
Ein *Kontoadministrator* (oder Administratorbenutzer) ist ein Benutzer mit Administratorrechten. Weitere Informationen finden Sie unter [Bewährte Methoden für IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
+ Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter [Erstellen eines Berechtigungssatzes](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) im *AWS IAM Identity Center-Benutzerhandbuch*.
+ Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter [Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) im *IAM-Benutzerhandbuch*.
+ IAM-Benutzer:
+ Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter [Eine Rolle für einen IAM-Benutzer erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) im *IAM-Benutzerhandbuch*.
+ (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter [Hinzufügen von Berechtigungen zu einem Benutzer (Konsole)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
**Topics**
+ [ElastiCache Ressourcen und Betriebsabläufe von Amazon](#IAM.Overview.ResourcesAndOperations)
+ [Grundlegendes zum Eigentum an Ressourcen](#access-control-resource-ownership)
+ [Verwaltung des Zugriffs auf -Ressourcen](#IAM.Overview.ManagingAccess)
+ [AWS verwaltete Richtlinien für Amazon ElastiCache](IAM.IdentityBasedPolicies.PredefinedPolicies.md)
+ [Verwendung identitätsbasierter Richtlinien (IAM-Richtlinien) für Amazon ElastiCache](IAM.IdentityBasedPolicies.md)
+ [Berechtigungen auf Ressourcenebene](IAM.ResourceLevelPermissions.md)
+ [Verwenden von Bedingungsschlüssel](IAM.ConditionKeys.md)
+ [Verwenden von serviceverknüpften Rollen für Amazon ElastiCache](using-service-linked-roles.md)
+ [ElastiCache API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen](IAM.APIReference.md)
## ElastiCache Ressourcen und Betriebsabläufe von Amazon
Eine Liste der ElastiCache Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter [Von Amazon definierte Ressourcen ElastiCache](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticache.html#amazonelasticache-resources-for-iam-policies) in der *Service Authorization Reference*. Informationen darüber, mit welchen Aktionen Sie den ARN jeder Ressource angeben können, finden Sie unter [Von Amazon definierte Aktionen ElastiCache](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticache.html#amazonelasticache-actions-as-permissions).
## Grundlegendes zum Eigentum an Ressourcen
Ein *Ressourcenbesitzer* ist das AWS Konto, das die Ressource erstellt hat. Das heißt, der Ressourcenbesitzer ist das AWS Konto der Prinzipalentität, die die Anforderung authentifiziert, mit der die Ressource erstellt wird. Eine *Haupt-Entität* kann das Stammkonto, ein IAM-Benutzer oder eine IAM-Rolle sein. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:
+ Angenommen, Sie verwenden die Root-Kontoanmeldeinformationen Ihres AWS Kontos, um einen Cache-Cluster zu erstellen. In diesem Fall ist Ihr AWS Konto der Eigentümer der Ressource. ElastiCacheIn ist die Ressource der Cluster.
+ Angenommen, Sie erstellen in Ihrem AWS Konto einen IAM-Benutzer und gewähren diesem Benutzer die Berechtigung, einen Cluster zu erstellen. In diesem Fall kann der Benutzer einen Cluster erstellen. Ihr AWS Konto, zu dem der Benutzer gehört, besitzt jedoch die Clusterressource.
+ Angenommen, Sie erstellen in Ihrem AWS Konto eine IAM-Rolle mit Berechtigungen zum Erstellen eines Clusters. In diesem Fall kann jeder, der die Rolle übernehmen kann, einen Cluster erstellen. Ihr AWS Konto, zu dem die Rolle gehört, besitzt die Cache-Cluster-Ressource.
## Verwaltung des Zugriffs auf -Ressourcen
Eine *Berechtigungsrichtlinie* beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werden die verfügbaren Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.
**Anmerkung**
In diesem Abschnitt wird die Verwendung von IAM im Kontext von Amazon ElastiCache beschrieben. Er enthält keine detaillierten Informationen über den IAM-Service. Eine umfassende IAM-Dokumentation finden Sie unter [Was ist IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) im *IAM-Benutzerhandbuch*. Für Informationen über die Syntax und Beschreibungen von [AWS-IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) lesen Sie die *IAM-Richtlinienreferenz im IAM-Benutzerhandbuch*.
An eine IAM-Identität angefügte Richtlinien werden als *identitätsbasierte* Richtlinien (oder IAM-Richtlinien) bezeichnet. An Ressourcen angehängte Richtlinien werden als *ressourcenbasierte Richtlinien* bezeichnet.
**Topics**
+ [Identitätsbasierte Richtlinien (IAM-Richtlinien)](#IAM.Overview.ManagingAccess.IdentityBasedPolicies)
+ [Angeben der Richtlinienelemente: Aktionen, Effekte, Ressourcen und Prinzipale](#IAM.Overview.PolicyElements)
+ [Angeben von Bedingungen in einer Richtlinie](#IAM.Overview.Conditions)
### Identitätsbasierte Richtlinien (IAM-Richtlinien)
Richtlinien können IAM-Identitäten angefügt werden. Sie können z. B. Folgendes tun:
+ **Anfügen einer Berechtigungsrichtlinie zu einem Benutzer oder einer Gruppe in Ihrem Konto** – Ein Kontoadministrator kann eine Berechtigungsrichtlinie verwenden, die einem bestimmten Benutzer zugeordnet ist, um Berechtigungen zu erteilen. In diesem Fall verfügt der Benutzer über die erforderlichen Berechtigungen zum Erstellen einer ElastiCache Ressource, z. B. eines Clusters, einer Parametergruppe oder einer Sicherheitsgruppe.
+ **Einer Rolle eine Berechtigungsrichtlinie zuweisen (kontoübergreifende Berechtigungen gewähren)** – Sie können einer IAM-Rolle eine identitätsbasierte Berechtigungsrichtlinie zuweisen, um kontoübergreifende Berechtigungen zu erteilen. Der Administrator in Konto A kann beispielsweise wie folgt eine Rolle erstellen, um einem anderen Konto (z. B.AWS Konto B) oder einem AWS Dienst kontoübergreifende Berechtigungen zu gewähren:
1. Der Administrator von Konto A erstellt eine IAM-Rolle und fügt ihr eine Berechtigungsrichtlinie an, die Berechtigungen für Ressourcen in Konto A erteilt.
1. Der Administrator von Konto A weist der Rolle eine Vertrauensrichtlinie zu, die Konto B als den Prinzipal identifiziert, der die Rolle übernehmen kann.
1. Der Administrator von Konto B kann dann die Berechtigungen zur Übernahme der Rolle an alle Benutzer in Konto B delegieren. Auf diese Weise können Benutzer in Konto B Ressourcen in Konto A erstellen oder darauf zugreifen. In einigen Fällen möchten Sie einem AWS Dienst möglicherweise Berechtigungen zur Übernahme der Rolle erteilen. Zum Support dieses Ansatzes kann es sich beim Prinzipal in der Vertrauensrichtlinie auch um einen AWS-Service-Prinzipal handeln.
Weitere Informationen zum Delegieren von Berechtigungen mithilfe von IAM finden Sie unter [Zugriffsverwaltung](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) im *IAM-Benutzerhandbuch*.
Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die es einem Benutzer ermöglicht, die `DescribeCacheClusters` Aktion für Ihr AWS Konto durchzuführen. ElastiCache unterstützt auch die Identifizierung bestimmter Ressourcen, die die Ressource ARNs für API-Aktionen verwenden. (Dieser Ansatz heißt auch Ressourcenebenen-Berechtigungen.)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DescribeCacheClusters",
"Effect": "Allow",
"Action": [
"elasticache:DescribeCacheClusters"
],
"Resource": "arn:aws:iam::*:role/*"
}
]
}
```
------
Weitere Informationen zur Verwendung identitätsbasierter Richtlinien mit finden Sie ElastiCache unter. [Verwendung identitätsbasierter Richtlinien (IAM-Richtlinien) für Amazon ElastiCache](IAM.IdentityBasedPolicies.md) Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sie unter [Identitäten (Benutzer, Gruppen und Rollen)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) im *IAM-Benutzerhandbuch*.
### Angeben der Richtlinienelemente: Aktionen, Effekte, Ressourcen und Prinzipale
Für jede ElastiCache Amazon-Ressource (siehe[ElastiCache Ressourcen und Betriebsabläufe von Amazon](#IAM.Overview.ResourcesAndOperations)) definiert der Service eine Reihe von API-Vorgängen (siehe [Aktionen](https://docs.aws.amazon.com/AmazonElastiCache/latest/APIReference/API_Operations.html)). ElastiCache Definiert eine Reihe von Aktionen, die Sie in einer Richtlinie angeben können, um Berechtigungen für diese API-Operationen zu erteilen. Für die ElastiCache Clusterressource sind beispielsweise die folgenden Aktionen definiert: `CreateCacheCluster``DeleteCacheCluster`, und`DescribeCacheCluster`. Für das Durchführen einer API-Operation können Berechtigungen für mehrere Aktionen erforderlich sein.
Grundlegende Richtlinienelemente:
+ **Ressource** – In einer Richtlinie wird der Amazon-Ressourcenname (ARN) zur Identifizierung der Ressource verwendet, für die die Richtlinie gilt. Weitere Informationen finden Sie unter [ElastiCache Ressourcen und Betriebsabläufe von Amazon](#IAM.Overview.ResourcesAndOperations).
+ **Aktion** – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten. Je nach Angabe `Effect` gewährt oder verweigert die `elasticache:CreateCacheCluster` Berechtigung dem Benutzer beispielsweise die Berechtigungen zur Durchführung des ElastiCache `CreateCacheCluster` Amazon-Vorgangs.
+ **Auswirkung** – Die von Ihnen festgelegte Auswirkung, wenn der Benutzer die jeweilige Aktion anfordert – entweder „allow“ (Zugriffserlaubnis) oder „deny“ (Zugriffsverweigerung). Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten ("Allow"), wird er automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie zum Beispiel sicherstellen, dass ein Benutzer nicht auf die Ressource zugreifen kann, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.
+ **Prinzipal** – In identitätsbasierten Richtlinien (IAM-Richtlinien) ist der Benutzer, dem die Richtlinie zugewiesen ist, automatisch der Prinzipal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer, das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll (gilt nur für ressourcenbasierte Richtlinien).
Weitere Informationen zur Syntax und zu Beschreibungen von IAM-Richtlinien finden Sie in der [AWS-IAM-Richtlinienreferenz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) im *IAM-Benutzerhandbuch*.
Eine Tabelle mit allen ElastiCache Amazon-API-Aktionen finden Sie unter[ElastiCache API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen](IAM.APIReference.md).
### Angeben von Bedingungen in einer Richtlinie
Beim Erteilen von Berechtigungen können Sie mithilfe der IAM-Richtliniensyntax die Bedingungen angeben, unter denen die Richtlinie wirksam werden soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zum Angeben von Bedingungen in einer Richtliniensyntax finden Sie im Thema [Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) im *IAM Benutzerhandbuch*.
Bedingungen werden mithilfe vordefinierter Bedingungsschlüssel formuliert. Informationen zur Verwendung von ElastiCache -spezifischen Bedingungsschlüsseln finden Sie unter[Verwenden von Bedingungsschlüssel](IAM.ConditionKeys.md). Es gibt Bedingungsschlüssel AWS für alle Bereiche, die Sie je nach Bedarf verwenden können. Eine vollständige Liste der AWS-weiten Schlüssel finden Sie unter [Verfügbare Schlüssel für Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) im *IAM-Benutzerhandbuch*.
# AWS verwaltete Richtlinien für Amazon ElastiCache
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS.AWS Verwaltete Richtlinien dienen dazu, Berechtigungen für viele gängige Anwendungsfälle bereitzustellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie für alle AWS Kunden verfügbar sind. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist.AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
## AWS verwaltete Richtlinie: ElastiCacheServiceRolePolicy
Sie können keine Verbindungen ElastiCacheServiceRolePolicy zu Ihren IAM-Entitäten herstellen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, mit der Sie Aktionen ElastiCache in Ihrem Namen ausführen können.
Diese Richtlinie ermöglicht es ElastiCache ,AWS Ressourcen in Ihrem Namen zu verwalten, sofern dies für die Verwaltung Ihres Caches erforderlich ist:
+ `ec2`— Verwaltung von EC2 Netzwerkressourcen, die an Cache-Knoten angehängt werden sollen, darunter VPC-Endpunkte (für serverlose Caches), Elastic Network Interfaces (ENIs) (für knotenbasierte Cluster) und Sicherheitsgruppen.
+ `cloudwatch`— Sendet Metrikdaten aus dem Service in. CloudWatch
+ `outposts`— Erlaubt die Erstellung von Cache-Knoten auf AWS Outposts.
Sie finden die [ElastiCacheServiceRolePolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/ElastiCacheServiceRolePolicy)Richtlinie auf der IAM-Konsole und [ElastiCacheServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ElastiCacheServiceRolePolicy.html)im *Referenzhandbuch für AWS verwaltete Richtlinien.*
## AWS verwaltete Richtlinie: AmazonElastiCacheFullAccess
Sie können die `AmazonElastiCacheFullAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt Principals vollen Zugriff auf ElastiCache die AWS Management Console:
+ `elasticache`— Zugriff auf alle APIs.
+ `iam` – Erstellen einer serviceverknüpften Rolle, die für den Servicebetrieb erforderlich ist.
+ `ec2`— Beschreiben Sie abhängige EC2 Ressourcen, die für die Cache-Erstellung erforderlich sind (VPC, Subnetz, Sicherheitsgruppe), und ermöglichen Sie die Erstellung von VPC-Endpunkten (für serverlose Caches).
+ `kms`— Erlaubt die Nutzung von kundenverwaltetem für. CMKs encryption-at-rest
+ `cloudwatch`— Erlaubt den Zugriff auf Metriken, um ElastiCache Metriken in der Konsole anzuzeigen.
+ `application-autoscaling` – Erlauben des Zugriffs zur Beschreibung von AutoScaling-Richtlinien für Caches.
+ `logs` – Wird verwendet, um Protokollstreams für die Protokollbereitstellungsfunktion in der Konsole aufzufüllen.
+ `firehose` – Wird verwendet, um Bereitstellungsdatenströme für die Protokollbereitstellungsfunktion in der Konsole aufzufüllen.
+ `s3` – Wird verwendet, um S3-Buckets für die Funktion zur Wiederherstellung von Snapshots in der Konsole aufzufüllen.
+ `outposts`— Wird verwendet, um AWS Outposts für die Cache-Erstellung in der Konsole zu füllen.
+ `sns` – Wird verwendet, um SNS-Themen für die Benachrichtigungsfunktion in der Konsole auszufüllen.
Sie finden die [AmazonElastiCacheFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonElastiCacheFullAccess)Richtlinie auf der IAM-Konsole und [AmazonElastiCacheFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonElastiCacheFullAccess.html)im Referenzhandbuch *für AWS verwaltete Richtlinien*.
## AWS verwaltete Richtlinie: AmazonElastiCacheReadOnlyAccess
Sie können die `AmazonElastiCacheReadOnlyAccess`-Richtlinie an Ihre IAM-Identitäten anfügen.
Diese Richtlinie gewährt Prinzipalen nur Lesezugriff auf die ElastiCache AWS Managementkonsole:
+ `elasticache`— Nur-Lese-Zugriff. `Describe` APIs
Sie finden die [AmazonElastiCacheReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonElastiCacheReadOnlyAccess)Richtlinie auf der IAM-Konsole und [AmazonElastiCacheReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonElastiCacheReadOnlyAccess.html)im *AWS Managed Policy* Reference Guide.
## ElastiCache Aktualisierungen der AWS verwalteten Richtlinien
Hier finden Sie Informationen zu Aktualisierungen AWS verwalteter Richtlinien, die ElastiCache seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst vorgenommen wurden. Abonnieren Sie den RSS-Feed auf der Seite ElastiCache Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.
| Änderungen | Beschreibung | Datum |
| --- | --- | --- |
| [AmazonElastiCacheFullAccess](#security-iam-awsmanpol-AmazonElastiCacheFullAccess) – Aktualisierung auf eine bestehende Richtlinie | ElastiCache neue Berechtigungen wurden hinzugefügt, um eine vertikale Skalierung für MemCached, für die Aktion zu ermöglichen`elasticache:ModifyCacheCluster`. | 27. März 2025 |
| [AmazonElastiCacheFullAccess](#security-iam-awsmanpol-AmazonElastiCacheFullAccess) – Aktualisierung auf eine bestehende Richtlinie | ElastiCache neue Berechtigungen wurden hinzugefügt, um die Verwaltung von serverlosen Caches und die Nutzung aller Servicefunktionen über die Konsole zu ermöglichen. | 8. November 2023 |
| [ElastiCacheServiceRolePolicy](#security-iam-awsmanpol-ElastiCacheServiceRolePolicy) – Aktualisierung auf eine bestehende Richtlinie | ElastiCache neue Berechtigungen hinzugefügt, um die Verwaltung von VPC-Endpunkten für serverlose Cache-Ressourcen zu ermöglichen. | 8. November 2023 |
| ElastiCache hat begonnen, Änderungen zu verfolgen | ElastiCache hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen. | 7. Februar 2020 |
# Verwendung identitätsbasierter Richtlinien (IAM-Richtlinien) für Amazon ElastiCache
In diesem Thema finden Sie Beispiele für identitätsbasierte Richtlinien, in denen ein Kontoadministrator den IAM-Identitäten (Benutzer, Gruppen und Rollen) Berechtigungsrichtlinien anfügen kann.
**Wichtig**
Wir empfehlen Ihnen, zunächst die Themen zu lesen, in denen die grundlegenden Konzepte und Optionen zur Verwaltung des Zugriffs auf ElastiCache Amazon-Ressourcen erläutert werden. Weitere Informationen finden Sie unter [Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre ElastiCache Ressourcen](IAM.Overview.md).
Dieses Thema besteht aus folgenden Abschnitten:
+ [AWS verwaltete Richtlinien für Amazon ElastiCache](IAM.IdentityBasedPolicies.PredefinedPolicies.md)
+ [Beispiele für vom Kunden verwaltete Richtlinien](#IAM.IdentityBasedPolicies.CustomerManagedPolicies)
Im Folgenden finden Sie ein Beispiel für eine Berechtigungsrichtlinie bei der Verwendung von Redis OSS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowClusterPermissions",
"Effect": "Allow",
"Action": [
"elasticache:CreateServerlessCache",
"elasticache:CreateCacheCluster",
"elasticache:DescribeServerlessCaches",
"elasticache:DescribeReplicationGroups",
"elasticache:DescribeCacheClusters",
"elasticache:ModifyServerlessCache",
"elasticache:ModifyReplicationGroup",
"elasticache:ModifyCacheCluster"
],
"Resource": "*"
},
{
"Sid": "AllowUserToPassRole",
"Effect": "Allow",
"Action": [ "iam:PassRole" ],
"Resource": "arn:aws:iam::123456789012:role/EC2-roles-for-cluster"
}
]
}
```
------
Im Folgenden wird ein Beispiel für eine Berechtigungsrichtlinie bei der Verwendung von Memcached gezeigt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowClusterPermissions",
"Effect": "Allow",
"Action": [
"elasticache:CreateServerlessCache",
"elasticache:CreateCacheCluster",
"elasticache:DescribeServerlessCaches",
"elasticache:DescribeCacheClusters",
"elasticache:ModifyServerlessCache",
"elasticache:ModifyCacheCluster"
],
"Resource": "*"
},
{
"Sid": "AllowUserToPassRole",
"Effect": "Allow",
"Action": [ "iam:PassRole" ],
"Resource": "arn:aws:iam::123456789012:role/EC2-roles-for-cluster"
}
]
}
```
------
Die Richtlinie enthält zwei Anweisungen:
+ Die erste Anweisung erteilt Berechtigungen für die ElastiCache Amazon-Aktionen (`elasticache:Create*`,`elasticache:Describe*`,`elasticache:Modify*`)
+ Die zweite Anweisung erteilt Berechtigungen für die IAM-Aktion (`iam:PassRole`) für den IAM-Rollennamen am Ende des `Resource`-Wertes.
Das Element `Principal` ist in der Richtlinie nicht angegeben, da in identitätsbasierten Richtlinien die Angabe des Prinzipals als Empfänger der Berechtigung nicht erforderlich ist. Wenn Sie einem Benutzer eine Richtlinie zuweisen, ist der Benutzer automatisch der Prinzipal. Wird die Berechtigungsrichtlinie einer IAM-Rolle angefügt, erhält der in der Vertrauensrichtlinie der Rolle angegebene Prinzipal die Berechtigungen.
Eine Tabelle mit allen ElastiCache Amazon-API-Aktionen und den Ressourcen, für die sie gelten, finden Sie unter[ElastiCache API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen](IAM.APIReference.md).
## Beispiele für vom Kunden verwaltete Richtlinien
Wenn Sie keine Standardrichtlinie verwenden und eine benutzerdefinierte verwaltete Richtlinie verwenden möchten, stellen Sie eines sicher. Sie sollten entweder die Genehmigung zum Aufrufen von `iam:createServiceLinkedRole` haben (weitere Informationen finden Sie unter [Beispiel 4: Erlauben Sie einem Benutzer, die IAM-API CreateServiceLinkedRole aufzurufen](#create-service-linked-role-policy)). Oder Sie hätten eine ElastiCache dienstbezogene Rolle erstellen sollen.
In Kombination mit den Mindestberechtigungen, die für die Nutzung der ElastiCache Amazon-Konsole erforderlich sind, gewähren die Beispielrichtlinien in diesem Abschnitt zusätzliche Berechtigungen. Die Beispiele sind auch relevant für die AWS SDKs und die AWS CLI.
Anweisungen zum Einrichten von IAM-Benutzern und -Gruppen finden Sie unter [Erstellen Ihrer ersten IAM-Benutzer- und -Administratorengruppe](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) im *IAM-Benutzerhandbuch*.
**Wichtig**
Testen Sie Ihre IAM-Richtlinien immer gründlich, bevor Sie sie in der Produktion verwenden. Einige ElastiCache Aktionen, die einfach erscheinen, können andere Aktionen erfordern, um sie zu unterstützen, wenn Sie die ElastiCache Konsole verwenden. `elasticache:CreateCacheCluster`Gewährt beispielsweise Berechtigungen zum Erstellen von ElastiCache Clustern. Um diesen Vorgang auszuführen, verwendet die ElastiCache Konsole jedoch eine Reihe von `Describe` `List` AND-Aktionen, um Konsolenlisten aufzufüllen.
**Topics**
+ [Beispiel 1: Erlauben Sie einem Benutzer nur Lesezugriff auf Ressourcen ElastiCache](#example-allow-list-current-elasticache-resources)
+ [Beispiel 2: Erlauben Sie einem Benutzer, allgemeine ElastiCache Systemadministratoraufgaben auszuführen](#example-allow-specific-elasticache-actions)
+ [Beispiel 3: Erlauben Sie einem Benutzer den Zugriff auf alle ElastiCache API-Aktionen](#allow-unrestricted-access)
+ [Beispiel 4: Erlauben Sie einem Benutzer, die IAM-API CreateServiceLinkedRole aufzurufen](#create-service-linked-role-policy)
+ [Beispiel 5: einem Benutzer erlauben, mithilfe der IAM-Authentifizierung eine Verbindung mit dem Serverless-Cache herzustellen](#iam-connect-policy)
### Beispiel 1: Erlauben Sie einem Benutzer nur Lesezugriff auf Ressourcen ElastiCache
Die folgende Richtlinie gewährt ElastiCache Zugriffsaktionen, die es einem Benutzer ermöglichen, Ressourcen aufzulisten. Gewöhnlich ordnen Sie diese Art von Berechtigungsrichtlinie einer Gruppe von Managern zu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[{
"Sid": "ECReadOnly",
"Effect":"Allow",
"Action": [
"elasticache:Describe*",
"elasticache:List*"],
"Resource":"*"
}
]
}
```
------
### Beispiel 2: Erlauben Sie einem Benutzer, allgemeine ElastiCache Systemadministratoraufgaben auszuführen
Zu den allgemeinen Aufgaben des Systemadministrators gehört das Ändern von Ressourcen. Ein Systemadministrator möchte vielleicht auch Informationen zu den ElastiCache -Ereignissen anfordern. Die folgende Richtlinie gewährt einem Benutzer die Berechtigung, ElastiCache Aktionen für diese allgemeinen Systemadministratoraufgaben auszuführen. Normalerweise ordnen Sie diese Art Berechtigungsrichtlinie der Systemadministratorengrupe zu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[{
"Sid": "ECAllowMutations",
"Effect":"Allow",
"Action":[
"elasticache:Modify*",
"elasticache:Describe*",
"elasticache:ResetCacheParameterGroup"
],
"Resource":"*"
}
]
}
```
------
### Beispiel 3: Erlauben Sie einem Benutzer den Zugriff auf alle ElastiCache API-Aktionen
Die folgende Richtlinie ermöglicht einem Benutzer den Zugriff auf alle ElastiCache Aktionen. Es wird empfohlen, diese Art von Berechtigungsrichtlinie nur einem Administratorbenutzer zu gewähren.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[{
"Sid": "ECAllowAll",
"Effect":"Allow",
"Action":[
"elasticache:*"
],
"Resource":"*"
}
]
}
```
------
### Beispiel 4: Erlauben Sie einem Benutzer, die IAM-API CreateServiceLinkedRole aufzurufen
Die folgende Richtlinie ermöglicht dem Benutzer den Aufruf der IAM-`CreateServiceLinkedRole`-API. Wir empfehlen, dass Sie dem Benutzer, der ElastiCache mutative Operationen aufruft, diese Art von Berechtigungsrichtlinie gewähren.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"CreateSLRAllows",
"Effect":"Allow",
"Action":[
"iam:CreateServiceLinkedRole"
],
"Resource":"*",
"Condition":{
"StringLike":{
"iam:AWSServiceName":"elasticache.amazonaws.com"
}
}
}
]
}
```
------
### Beispiel 5: einem Benutzer erlauben, mithilfe der IAM-Authentifizierung eine Verbindung mit dem Serverless-Cache herzustellen
Die folgende Richtlinie ermöglicht es jedem Benutzer, mithilfe der IAM-Authentifizierung zwischen 01-04-2023 und 30-06-2023 eine Verbindung mit jedem beliebigen Serverless-Cache herzustellen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement" :
[
{
"Effect" : "Allow",
"Action" : ["elasticache:Connect"],
"Resource" : [
"arn:aws:elasticache:us-east-1:123456789012:serverlesscache:*"
],
"Condition": {
"DateGreaterThan": {"aws:CurrentTime": "2023-04-01T00:00:00Z"},
"DateLessThan": {"aws:CurrentTime": "2023-06-30T23:59:59Z"}
}
},
{
"Effect" : "Allow",
"Action" : ["elasticache:Connect"],
"Resource" : [
"arn:aws:elasticache:us-east-1:123456789012:user:*"
]
}
]
}
```
------
# Berechtigungen auf Ressourcenebene
Sie können den Umfang der Berechtigungen einschränken, indem Sie Ressourcen in einer IAM-Richtlinie festlegen. Viele ElastiCache API-Aktionen unterstützen einen Ressourcentyp, der je nach Verhalten der Aktion variiert. Jede IAM-Richtlinienanweisung erteilt die Berechtigung für eine Aktion, die auf eine Ressource ausgeführt wird. Wenn die Aktion nicht auf eine benannte Ressource wirkt oder wenn Sie die Erlaubnis erteilen, die Aktion auf allen Ressourcen durchzuführen, ist der Wert der Ressource in der Richtlinie ein Platzhalter (\$1). Für viele API-Aktionen können Sie die Ressourcen einschränken, die ein Benutzer ändern kann. Hierzu geben Sie den Amazon-Ressourcennamen (ARN) einer Ressource oder ein ARN-Muster an, das mehreren Ressourcen entspricht. Zum Einschränken von Berechtigungen nach Ressource bestimmen Sie die Ressource unter Angabe des ARN.
Eine Liste der ElastiCache Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter [Von Amazon definierte Ressourcen ElastiCache](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticache.html#amazonelasticache-resources-for-iam-policies) in der *Service Authorization Reference*. Informationen darüber, mit welchen Aktionen Sie den ARN jeder Ressource angeben können, finden Sie unter [Von Amazon definierte Aktionen ElastiCache](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticache.html#amazonelasticache-actions-as-permissions).
**Topics**
+ [Beispiel 1: Erlauben Sie einem Benutzer vollen Zugriff auf bestimmte ElastiCache Ressourcentypen](#example-allow-list-current-elasticache-resources-resource)
+ [Beispiel 2: Verweigern Sie einem Benutzer den Zugriff auf einen Serverless-Cache.](#example-allow-specific-elasticache-actions-resource)
## Beispiel 1: Erlauben Sie einem Benutzer vollen Zugriff auf bestimmte ElastiCache Ressourcentypen
Die folgende Richtlinie erlaubt explizit alle Ressourcen vom Typ Serverless-Cache.
```
{
"Sid": "Example1",
"Effect": "Allow",
"Action": "elasticache:*",
"Resource": [
"arn:aws:elasticache:us-east-1:account-id:serverlesscache:*"
]
}
```
## Beispiel 2: Verweigern Sie einem Benutzer den Zugriff auf einen Serverless-Cache.
Im folgenden Beispiel wird der Zugriff auf einen bestimmten Serverless-Cache explizit verweigert.
```
{
"Sid": "Example2",
"Effect": "Deny",
"Action": "elasticache:*",
"Resource": [
"arn:aws:elasticache:us-east-1:account-id:serverlesscache:name"
]
}
```
# Verwenden von Bedingungsschlüssel
Sie können Bedingungen angeben, die bestimmen, wie eine IAM-Richtlinie wirksam wird. In können Sie das `Condition` Element einer JSON-Richtlinie verwenden ElastiCache, um Schlüssel im Anforderungskontext mit Schlüsselwerten zu vergleichen, die Sie in Ihrer Richtlinie angeben. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html).
Eine Liste der ElastiCache Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für Amazon ElastiCache](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticache.html#amazonelasticache-policy-keys) in der *Service Authorization Reference*.
Eine Liste der globalen Bedingungsschlüssel finden Sie unter [AWS Globale Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).
**Verwendung ElastiCache mit AWS globalen Bedingungsschlüsseln**
Wenn Sie [AWS globale Bedingungsschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) verwenden, für die ein [Principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-services) erforderlich ElastiCache ist, verwenden Sie eine `OR` Bedingung mit *beiden* Prinzipalen: `elasticache.amazonaws.com` und`ec.amazonaws.com`.
**Anmerkung**
Wenn Sie nicht beide Prinzipale für hinzufügen ElastiCache, wird die beabsichtigte Aktion „Zulassen“ oder „Verweigern“ für keine der in Ihrer Richtlinie aufgeführten Ressourcen korrekt durchgesetzt.
Beispiel für eine Richtlinie mit `aws:CalledVia` globalem Bedingungsschlüssel:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:*",
"Resource": "*",
"Condition": {
"ForAnyValue:StringLike": {
"aws:CalledVia": [
"ec.amazonaws.com",
"elasticache.amazonaws.com"
]
}
}
}
]
}
```
------
## Festlegung von Bedingungen: Verwenden von Bedingungsschlüsseln
Um eine differenzierte Steuerung zu implementieren, schreiben Sie eine IAM-Berechtigungs-Richtlinie, die Bedingungen zum Steuern eines Satzes einzelner Parameter für bestimmte Anforderungen festlegt. Anschließend wenden Sie die Richtlinie für die IAM-Benutzer, -Gruppen oder -Rollen an, die Sie mithilfe der IAM-Konsole erstellen.
Um eine Bedingung anzuwenden, fügen Sie die Bedingungsinformationen der IAM-Richtlinienanweisung hinzu. Im folgenden Beispiel geben Sie die Bedingung an, dass jeder erstellte knotenbasierte Cluster vom Knotentyp ist. `cache.r5.large`
**Anmerkung**
Um `Condition` Elemente mithilfe von Bedingungsschlüsseln des `String` Typs zu erstellen, verwenden Sie Bedingungsoperatoren, bei denen Groß- und Kleinschreibung nicht berücksichtigt wird`StringNotEqualsIgnoreCase`, `StringEqualsIgnoreCase` oder um einen Schlüssel mit einem Zeichenkettenwert zu vergleichen.
ElastiCache verarbeitet die Eingabeargumente für `CacheNodeType` und ohne Berücksichtigung `CacheParameterGroupName` der Groß- und Kleinschreibung. Aus diesem Grund `StringNotEqualsIgnoreCase` sollten die String-Bedingungsoperatoren `StringEqualsIgnoreCase` und in Berechtigungsrichtlinien verwendet werden, die auf sie verweisen.
Im Folgenden wird ein Beispiel für diese Berechtigungsrichtlinie bei der Verwendung von Valkey oder Redis OSS gezeigt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticache:CreateCacheCluster",
"elasticache:CreateReplicationGroup"
],
"Resource": [
"arn:aws:elasticache:*:*:parametergroup:*",
"arn:aws:elasticache:*:*:subnetgroup:*"
]
},
{
"Effect": "Allow",
"Action": [
"elasticache:CreateCacheCluster",
"elasticache:CreateReplicationGroup"
],
"Resource": [
"arn:aws:elasticache:*:*:cluster:*",
"arn:aws:elasticache:*:*:replicationgroup:*"
],
"Condition": {
"StringEquals": {
"elasticache:CacheNodeType": [
"cache.r5.large"
]
}
}
}
]
}
```
------
Im Folgenden wird ein Beispiel für diese Berechtigungsrichtlinie bei der Verwendung von Memcached gezeigt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticache:CreateCacheCluster"
],
"Resource": [
"arn:aws:elasticache:*:*:parametergroup:*",
"arn:aws:elasticache:*:*:subnetgroup:*"
]
},
{
"Effect": "Allow",
"Action": [
"elasticache:CreateCacheCluster"
],
"Resource": [
"arn:aws:elasticache:*:*:cluster:*"
],
"Condition": {
"StringEquals": {
"elasticache:CacheNodeType": [
"cache.r5.large"
]
}
}
}
]
}
```
------
Weitere Informationen finden Sie unter [Verschlagworten Sie Ihre Ressourcen ElastiCache](Tagging-Resources.md).
Weitere Informationen zur Verwendung von Richtlinienbedingungsoperatoren finden Sie unter [ElastiCache API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen](IAM.APIReference.md).
## Beispielrichtlinien: Verwenden von Bedingungen für die differenzierte Parameterkontrolle
In diesem Abschnitt werden Beispielrichtlinien für die Implementierung einer differenzierten Zugriffskontrolle für die zuvor aufgeführten Parameter beschrieben. ElastiCache
1. **elasticache:MaximumDataStorage:** Geben Sie den maximalen Datenspeicher eines serverlosen Caches an. Unter den angegebenen Bedingungen kann der Kunde keine Caches erstellen, die mehr als eine bestimmte Datenmenge speichern können.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDependentResources",
"Effect": "Allow",
"Action": [
"elasticache:CreateServerlessCache"
],
"Resource": [
"arn:aws:elasticache:*:*:serverlesscachesnapshot:*",
"arn:aws:elasticache:*:*:snapshot:*",
"arn:aws:elasticache:*:*:usergroup:*"
]
},
{
"Effect": "Allow",
"Action": [
"elasticache:CreateServerlessCache"
],
"Resource": [
"arn:aws:elasticache:*:*:serverlesscache:*"
],
"Condition": {
"NumericLessThanEquals": {
"elasticache:MaximumDataStorage": "30"
},
"StringEquals": {
"elasticache:DataStorageUnit": "GB"
}
}
}
]
}
```
------
1. **elasticache:Maximum ECPUPer Second: Geben Sie den maximalen** Wert für ECPU pro Sekunde für einen serverlosen Cache an. Unter den angegebenen Bedingungen kann der Kunde keine Caches erstellen, die mehr als eine bestimmte Anzahl von Caches pro Sekunde ausführen können. ECPUs
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDependentResources",
"Effect": "Allow",
"Action": [
"elasticache:CreateServerlessCache"
],
"Resource": [
"arn:aws:elasticache:*:*:serverlesscachesnapshot:*",
"arn:aws:elasticache:*:*:snapshot:*",
"arn:aws:elasticache:*:*:usergroup:*"
]
},
{
"Effect": "Allow",
"Action": [
"elasticache:CreateServerlessCache"
],
"Resource": [
"arn:aws:elasticache:*:*:serverlesscache:*"
],
"Condition": {
"NumericLessThanEquals": {
"elasticache:MaximumECPUPerSecond": "100000"
}
}
}
]
}
```
------
1. **elasticache:CacheNodeType:** Geben Sie an, welche NodeType (s) ein Benutzer erstellen kann. Unter Verwendung der bereitgestellten Bedingungen kann der Kunde einen einzelnen Wert oder einen Bereichswert für einen Knotentyp angeben.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticache:CreateCacheCluster",
"elasticache:CreateReplicationGroup"
],
"Resource": [
"arn:aws:elasticache:*:*:parametergroup:*",
"arn:aws:elasticache:*:*:subnetgroup:*"
]
},
{
"Effect": "Allow",
"Action": [
"elasticache:CreateCacheCluster",
"elasticache:CreateReplicationGroup"
],
"Resource": [
"arn:aws:elasticache:*:*:cluster:*",
"arn:aws:elasticache:*:*:replicationgroup:*"
],
"Condition": {
"StringEquals": {
"elasticache:CacheNodeType": [
"cache.t2.micro",
"cache.t2.medium"
]
}
}
}
]
}
```
------
1. **elasticache:CacheNodeType:** Geben Sie mit Memcached an, welche NodeType (s) ein Benutzer erstellen kann. Unter Verwendung der bereitgestellten Bedingungen kann der Kunde einen einzelnen Wert oder einen Bereichswert für einen Knotentyp angeben.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticache:CreateCacheCluster"
],
"Resource": [
"arn:aws:elasticache:*:*:parametergroup:*",
"arn:aws:elasticache:*:*:subnetgroup:*"
]
},
{
"Effect": "Allow",
"Action": [
"elasticache:CreateCacheCluster"
],
"Resource": [
"arn:aws:elasticache:*:*:cluster:*"
],
"Condition": {
"StringEquals": {
"elasticache:CacheNodeType": [
"cache.t2.micro",
"cache.t2.medium"
]
}
}
}
]
}
```
------
1. **elasticache:NumNodeGroups: Erstellt** eine Replikationsgruppe mit weniger als 20 Knotengruppen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticache:CreateReplicationGroup"
],
"Resource": [
"arn:aws:elasticache:*:*:parametergroup:*",
"arn:aws:elasticache:*:*:subnetgroup:*"
]
},
{
"Effect": "Allow",
"Action": [
"elasticache:CreateReplicationGroup"
],
"Resource": [
"arn:aws:elasticache:*:*:replicationgroup:*"
],
"Condition": {
"NumericLessThanEquals": {
"elasticache:NumNodeGroups": "20"
}
}
}
]
}
```
------
1. **elasticache:ReplicasPerNodeGroup:** Geben Sie die Replikate pro Knoten zwischen 5 und 10 an.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticache:CreateReplicationGroup"
],
"Resource": [
"arn:aws:elasticache:*:*:parametergroup:*",
"arn:aws:elasticache:*:*:subnetgroup:*"
]
},
{
"Effect": "Allow",
"Action": [
"elasticache:CreateReplicationGroup"
],
"Resource": [
"arn:aws:elasticache:*:*:replicationgroup:*"
],
"Condition": {
"NumericGreaterThanEquals": {
"elasticache:ReplicasPerNodeGroup": "5"
},
"NumericLessThanEquals": {
"elasticache:ReplicasPerNodeGroup": "10"
}
}
}
]
}
```
------
1. **elasticache:EngineVersion:** Geben Sie die Verwendung der Engine-Version 5.0.6 an.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticache:CreateCacheCluster",
"elasticache:CreateReplicationGroup"
],
"Resource": [
"arn:aws:elasticache:*:*:parametergroup:*",
"arn:aws:elasticache:*:*:subnetgroup:*"
]
},
{
"Effect": "Allow",
"Action": [
"elasticache:CreateCacheCluster",
"elasticache:CreateReplicationGroup"
],
"Resource": [
"arn:aws:elasticache:*:*:cluster:*",
"arn:aws:elasticache:*:*:replicationgroup:*"
],
"Condition": {
"StringEquals": {
"elasticache:EngineVersion": "5.0.6"
}
}
}
]
}
```
------
1. **elasticache:EngineVersion:** Gibt die Verwendung der Memcached-Engine-Version 1.6.6 an
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticache:CreateCacheCluster"
],
"Resource": [
"arn:aws:elasticache:*:*:parametergroup:*",
"arn:aws:elasticache:*:*:subnetgroup:*"
]
},
{
"Effect": "Allow",
"Action": [
"elasticache:CreateCacheCluster"
],
"Resource": [
"arn:aws:elasticache:*:*:cluster:*"
],
"Condition": {
"StringEquals": {
"elasticache:EngineVersion": "1.6.6"
}
}
}
]
}
```
------
1. **elasticache:EngineType:** Geben Sie an, dass nur eine Valkey- oder Redis-OSS-Engine verwendet wird.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticache:CreateCacheCluster",
"elasticache:CreateReplicationGroup"
],
"Resource": [
"arn:aws:elasticache:*:*:parametergroup:*",
"arn:aws:elasticache:*:*:subnetgroup:*"
]
},
{
"Effect": "Allow",
"Action": [
"elasticache:CreateCacheCluster",
"elasticache:CreateReplicationGroup"
],
"Resource": [
"arn:aws:elasticache:*:*:cluster:*",
"arn:aws:elasticache:*:*:replicationgroup:*"
],
"Condition": {
"StringEquals": {
"elasticache:EngineType": "redis"
}
}
}
]
}
```
------
1. **elasticache:AtRestEncryptionEnabled:** Geben Sie an, dass Replikationsgruppen nur bei aktivierter Verschlüsselung erstellt werden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticache:CreateReplicationGroup"
],
"Resource": [
"arn:aws:elasticache:*:*:parametergroup:*",
"arn:aws:elasticache:*:*:subnetgroup:*"
]
},
{
"Effect": "Allow",
"Action": [
"elasticache:CreateReplicationGroup"
],
"Resource": [
"arn:aws:elasticache:*:*:replicationgroup:*"
],
"Condition": {
"Bool": {
"elasticache:AtRestEncryptionEnabled": "true"
}
}
}
]
}
```
------
1. **Elasticache: TransitEncryptionEnabled**
1. Setzen Sie den `elasticache:TransitEncryptionEnabled` Bedingungsschlüssel `false` für die [CreateReplicationGroup](https://docs.aws.amazon.com/AmazonElastiCache/latest/APIReference/API_CreateReplicationGroup.html)Aktion auf, um anzugeben, dass Replikationsgruppen nur erstellt werden können, wenn TLS nicht verwendet wird:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticache:CreateReplicationGroup"
],
"Resource": [
"arn:aws:elasticache:*:*:parametergroup:*",
"arn:aws:elasticache:*:*:subnetgroup:*"
]
},
{
"Effect": "Allow",
"Action": [
"elasticache:CreateReplicationGroup"
],
"Resource": [
"arn:aws:elasticache:*:*:replicationgroup:*"
],
"Condition": {
"Bool": {
"elasticache:TransitEncryptionEnabled": "false"
}
}
}
]
}
```
------
Wenn der `elasticache:TransitEncryptionEnabled` Bedingungsschlüssel `false` in einer Richtlinie für die [CreateReplicationGroup](https://docs.aws.amazon.com/AmazonElastiCache/latest/APIReference/API_CreateReplicationGroup.html)Aktion auf gesetzt ist, ist eine `CreateReplicationGroup` Anfrage nur zulässig, wenn TLS nicht verwendet wird (d. h. wenn die Anfrage keinen Parameter enthält, der auf gesetzt ist `true` oder einen `TransitEncryptionEnabled` `TransitEncryptionMode` Parameter, der auf gesetzt ist)`required`.
1. Setzen Sie den `elasticache:TransitEncryptionEnabled` Bedingungsschlüssel auf `true` für die [CreateReplicationGroup](https://docs.aws.amazon.com/AmazonElastiCache/latest/APIReference/API_CreateReplicationGroup.html)Aktion, um anzugeben, dass Replikationsgruppen nur erstellt werden können, wenn TLS verwendet wird:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticache:CreateReplicationGroup"
],
"Resource": [
"arn:aws:elasticache:*:*:parametergroup:*",
"arn:aws:elasticache:*:*:subnetgroup:*"
]
},
{
"Effect": "Allow",
"Action": [
"elasticache:CreateReplicationGroup"
],
"Resource": [
"arn:aws:elasticache:*:*:replicationgroup:*"
],
"Condition": {
"Bool": {
"elasticache:TransitEncryptionEnabled": "true"
}
}
}
]
}
```
------
Wenn der `elasticache:TransitEncryptionEnabled` Bedingungsschlüssel `true` in einer Richtlinie für die [CreateReplicationGroup](https://docs.aws.amazon.com/AmazonElastiCache/latest/APIReference/API_CreateReplicationGroup.html)Aktion auf gesetzt ist, ist eine `CreateReplicationGroup` Anfrage nur zulässig, wenn die Anforderung einen Parameter enthält, der auf gesetzt ist, `true` und einen `TransitEncryptionEnabled` `TransitEncryptionMode` Parameter, der auf gesetzt ist. `required`
1. Legen Sie `elasticache:TransitEncryptionEnabled` für die `ModifyReplicationGroup`-Aktion auf `true` fest, um anzugeben, dass Replikationsgruppen nur geändert werden können, wenn TLS verwendet wird:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticache:ModifyReplicationGroup"
],
"Resource": [
"arn:aws:elasticache:*:*:replicationgroup:*"
],
"Condition": {
"BoolIfExists": {
"elasticache:TransitEncryptionEnabled": "true"
}
}
}
]
}
```
------
Wenn der `elasticache:TransitEncryptionEnabled` Bedingungsschlüssel `true` in einer Richtlinie für die [ModifyReplicationGroup](https://docs.aws.amazon.com/AmazonElastiCache/latest/APIReference/API_ModifyReplicationGroup.html)Aktion auf gesetzt ist, ist eine `ModifyReplicationGroup` Anfrage nur zulässig, wenn die Anforderung einen `TransitEncryptionMode` Parameter enthält, der auf gesetzt ist`required`. Der`TransitEncryptionEnabled`-Parameter, der auf `true` festgelegt ist, kann optional ebenfalls enthalten sein, ist in diesem Fall jedoch nicht erforderlich, um TLS zu aktivieren.
1. **elasticache:AutomaticFailoverEnabled:** Geben Sie an, dass Replikationsgruppen nur bei aktiviertem automatischem Failover erstellt werden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticache:CreateReplicationGroup"
],
"Resource": [
"arn:aws:elasticache:*:*:parametergroup:*",
"arn:aws:elasticache:*:*:subnetgroup:*"
]
},
{
"Effect": "Allow",
"Action": [
"elasticache:CreateReplicationGroup"
],
"Resource": [
"arn:aws:elasticache:*:*:replicationgroup:*"
],
"Condition": {
"Bool": {
"elasticache:AutomaticFailoverEnabled": "true"
}
}
}
]
}
```
------
1. **elasticache:MultiAZEnabled:** Geben Sie an, dass Replikationsgruppen nicht erstellt werden können, wenn Multi-AZ deaktiviert ist.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticache:CreateCacheCluster",
"elasticache:CreateReplicationGroup"
],
"Resource": [
"arn:aws:elasticache:*:*:parametergroup:*",
"arn:aws:elasticache:*:*:subnetgroup:*"
]
},
{
"Effect": "Deny",
"Action": [
"elasticache:CreateCacheCluster",
"elasticache:CreateReplicationGroup"
],
"Resource": [
"arn:aws:elasticache:*:*:cluster:*",
"arn:aws:elasticache:*:*:replicationgroup:*"
],
"Condition": {
"Bool": {
"elasticache:MultiAZEnabled": "false"
}
}
}
]
}
```
------
1. **elasticache:ClusterModeEnabled:** Geben Sie an, dass Replikationsgruppen nur bei aktiviertem Clustermodus erstellt werden können.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticache:CreateReplicationGroup"
],
"Resource": [
"arn:aws:elasticache:*:*:parametergroup:*",
"arn:aws:elasticache:*:*:subnetgroup:*"
]
},
{
"Effect": "Allow",
"Action": [
"elasticache:CreateReplicationGroup"
],
"Resource": [
"arn:aws:elasticache:*:*:replicationgroup:*"
],
"Condition": {
"Bool": {
"elasticache:ClusterModeEnabled": "true"
}
}
}
]
}
```
------
1. **elasticache:AuthTokenEnabled:** Geben Sie an, dass Replikationsgruppen nur mit aktiviertem AUTH-Token erstellt werden können.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticache:CreateCacheCluster",
"elasticache:CreateReplicationGroup"
],
"Resource": [
"arn:aws:elasticache:*:*:parametergroup:*",
"arn:aws:elasticache:*:*:subnetgroup:*"
]
},
{
"Effect": "Allow",
"Action": [
"elasticache:CreateCacheCluster",
"elasticache:CreateReplicationGroup"
],
"Resource": [
"arn:aws:elasticache:*:*:cluster:*",
"arn:aws:elasticache:*:*:replicationgroup:*"
],
"Condition": {
"Bool": {
"elasticache:AuthTokenEnabled": "true"
}
}
}
]
}
```
------
1. **elasticache:SnapshotRetentionLimit:** Geben Sie die Anzahl der Tage (oder min/max.) an, für die der Snapshot aufbewahrt werden soll. Die folgende Richtlinie erzwingt die Speicherung von Backups für mindestens 30 Tage.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticache:CreateCacheCluster",
"elasticache:CreateReplicationGroup"
],
"Resource": [
"arn:aws:elasticache:*:*:parametergroup:*",
"arn:aws:elasticache:*:*:subnetgroup:*"
]
},
{
"Effect": "Allow",
"Action": [
"elasticache:CreateCacheCluster",
"elasticache:CreateReplicationGroup",
"elasticache:CreateServerlessCache"
],
"Resource": [
"arn:aws:elasticache:*:*:cluster:*",
"arn:aws:elasticache:*:*:replicationgroup:*",
"arn:aws:elasticache:*:*:serverlesscache:*"
],
"Condition": {
"NumericGreaterThanEquals": {
"elasticache:SnapshotRetentionLimit": "30"
}
}
}
]
}
```
------
1. **elasticache:KmsKeyId:** Geben Sie die Verwendung von vom Kunden verwalteten KMS-Schlüsseln an.AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDependentResources",
"Effect": "Allow",
"Action": [
"elasticache:CreateServerlessCache"
],
"Resource": [
"arn:aws:elasticache:*:*:serverlesscachesnapshot:*",
"arn:aws:elasticache:*:*:snapshot:*",
"arn:aws:elasticache:*:*:usergroup:*"
]
},
{
"Effect": "Allow",
"Action": [
"elasticache:CreateServerlessCache"
],
"Resource": [
"arn:aws:elasticache:*:*:serverlesscache:*"
],
"Condition": {
"StringEquals": {
"elasticache:KmsKeyId": "my-key"
}
}
}
]
}
```
------
1. **elasticache:CacheParameterGroupName:** Geben Sie eine nicht standardmäßige Parametergruppe mit spezifischen Parametern von einer Organisation in Ihren Clustern an. Sie können auch ein Benennungsmuster für Ihre Parametergruppen angeben oder das Löschen eines bestimmten Parametergruppennamens blockieren. Im Folgenden finden Sie ein Beispiel, das die Verwendung von nur "“ my-org-param-group einschränkt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticache:CreateCacheCluster",
"elasticache:CreateReplicationGroup"
],
"Resource": [
"arn:aws:elasticache:*:*:parametergroup:*",
"arn:aws:elasticache:*:*:subnetgroup:*"
]
},
{
"Effect": "Allow",
"Action": [
"elasticache:CreateCacheCluster",
"elasticache:CreateReplicationGroup"
],
"Resource": [
"arn:aws:elasticache:*:*:cluster:*",
"arn:aws:elasticache:*:*:replicationgroup:*"
],
"Condition": {
"StringEquals": {
"elasticache:CacheParameterGroupName": "my-org-param-group"
}
}
}
]
}
```
------
1. **elasticache:CacheParameterGroupName:** Geben Sie mit Memcached eine nicht standardmäßige Parametergruppe mit spezifischen Parametern von einer Organisation in Ihren Clustern an. Sie können auch ein Benennungsmuster für Ihre Parametergruppen angeben oder das Löschen eines bestimmten Parametergruppennamens blockieren. Im Folgenden finden Sie ein Beispiel, das die Verwendung von nur "“ einschränkt. my-org-param-group
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticache:CreateCacheCluster"
],
"Resource": [
"arn:aws:elasticache:*:*:parametergroup:*",
"arn:aws:elasticache:*:*:subnetgroup:*"
]
},
{
"Effect": "Allow",
"Action": [
"elasticache:CreateCacheCluster"
],
"Resource": [
"arn:aws:elasticache:*:*:cluster:*"
],
"Condition": {
"StringEquals": {
"elasticache:CacheParameterGroupName": "my-org-param-group"
}
}
}
]
}
```
------
1. **elasticacheCreateCacheCluster:** `CreateCacheCluster` Aktion wird verweigert, wenn das Anforderungs-Tag `Project` fehlt oder nicht gleich oder ist. `Dev` `QA` `Prod`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticache:CreateCacheCluster"
],
"Resource": [
"arn:aws:elasticache:*:*:parametergroup:*",
"arn:aws:elasticache:*:*:subnetgroup:*",
"arn:aws:elasticache:*:*:securitygroup:*",
"arn:aws:elasticache:*:*:replicationgroup:*"
]
},
{
"Effect": "Deny",
"Action": [
"elasticache:CreateCacheCluster"
],
"Resource": [
"arn:aws:elasticache:*:*:cluster:*"
],
"Condition": {
"Null": {
"aws:RequestTag/Project": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"elasticache:CreateCacheCluster",
"elasticache:AddTagsToResource"
],
"Resource": "arn:aws:elasticache:*:*:cluster:*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Project": [
"Dev",
"Prod",
"QA"
]
}
}
}
]
}
```
------
1. **elasticache:CacheNodeType:** Zulassen `CreateCacheCluster` mit `cacheNodeType` cache.r5.large oder cache.r6g.4xlarge und Tag. `Project=XYZ`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticache:CreateCacheCluster",
"elasticache:CreateReplicationGroup"
],
"Resource": [
"arn:aws:elasticache:*:*:parametergroup:*",
"arn:aws:elasticache:*:*:subnetgroup:*"
]
},
{
"Effect": "Allow",
"Action": [
"elasticache:CreateCacheCluster"
],
"Resource": [
"arn:aws:elasticache:*:*:cluster:*"
],
"Condition": {
"StringEqualsIfExists": {
"elasticache:CacheNodeType": [
"cache.r5.large",
"cache.r6g.4xlarge"
]
},
"StringEquals": {
"aws:RequestTag/Project": "XYZ"
}
}
}
]
}
```
------
1. **elasticache:: Zulassen mit cache.r5.large oder cache.r6g.4xlarge und Tag. CacheNodeType** `CreateCacheCluster` `cacheNodeType` `Project=XYZ`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticache:CreateCacheCluster"
],
"Resource": [
"arn:aws:elasticache:*:*:parametergroup:*",
"arn:aws:elasticache:*:*:subnetgroup:*"
]
},
{
"Effect": "Allow",
"Action": [
"elasticache:CreateCacheCluster"
],
"Resource": [
"arn:aws:elasticache:*:*:cluster:*"
],
"Condition": {
"StringEqualsIfExists": {
"elasticache:CacheNodeType": [
"cache.r5.large",
"cache.r6g.4xlarge"
]
},
"StringEquals": {
"aws:RequestTag/Project": "XYZ"
}
}
}
]
}
```
------
**Anmerkung**
Beim Erstellen von Richtlinien zum gemeinsamen Erzwingen von Tags und anderen Bedingungsschlüsseln kann die Bedingung `IfExists` aufgrund der zusätzlichen `elasticache:AddTagsToResource`-Richtlinienanforderungen für Erstellungsanforderungen mit dem `--tags`-Parameter für Bedingungsschlüsselelemente erforderlich sein.
# Verwenden von serviceverknüpften Rollen für Amazon ElastiCache
Amazon ElastiCache verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit einem AWS Service wie Amazon verknüpft ist. ElastiCache Rollen, die mit dem ElastiCache Service von Amazon verknüpft sind, werden von Amazon ElastiCache vordefiniert. Sie enthalten alle Berechtigungen, die der Dienst benötigt, um AWS -Dienste im Namen Ihrer Cluster aufzurufen.
Eine serviceverknüpfte Rolle ElastiCache erleichtert die Einrichtung von Amazon, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Die Rollen sind bereits in Ihrem AWS Konto vorhanden, sind jedoch mit ElastiCache Amazon-Anwendungsfällen verknüpft und verfügen über vordefinierte Berechtigungen. Nur Amazon ElastiCache kann diese Rollen übernehmen, und nur diese Rollen können die vordefinierten Berechtigungsrichtlinien verwenden. Sie können die Rollen nur nach dem Löschen der zugehörigen Ressourcen löschen. Dies schützt Ihre ElastiCache Amazon-Ressourcen, da Sie die für den Zugriff auf die Ressourcen erforderlichen Berechtigungen nicht versehentlich entfernen können.
Informationen zu anderen Services, die serviceverknüpften Rollen unterstützen, finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie nach den Services, für die **Ja** in der Spalte **Serviceverknüpfte Rolle** angegeben ist. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
**Contents**
+ [Berechtigungen von serviceverknüpften Rollen](#service-linked-role-permissions)
+ [Berechtigungen zum Erstellen einer serviceverknüpften Rolle](#service-linked-role-permissions)
+ [Erstellen einer serviceverknüpften Rolle (IAM)](#create-service-linked-role-iam)
+ [Verwenden der IAM-Konsole](#create-service-linked-role-iam-console)
+ [Verwenden der IAM-CLI](#create-service-linked-role-iam-cli)
+ [Verwenden der IAM-API](#create-service-linked-role-iam-api)
+ [Bearbeiten der Beschreibung einer serviceverknüpften Rolle](#edit-service-linked-role)
+ [Verwenden der IAM-Konsole](#edit-service-linked-role-iam-console)
+ [Verwenden der IAM-CLI](#edit-service-linked-role-iam-cli)
+ [Verwenden der IAM-API](#edit-service-linked-role-iam-api)
+ [Löschen einer serviceverknüpften Rolle für Amazon ElastiCache](#delete-service-linked-role)
+ [Bereinigen einer serviceverknüpften Rolle](#service-linked-role-review-before-delete)
+ [Löschen einer serviceverknüpften Rolle (IAM-Konsole)](#delete-service-linked-role-iam-console)
+ [Löschen einer serviceverknüpften Rolle (IAM-CLI)](#delete-service-linked-role-iam-cli)
+ [Löschen einer serviceverknüpften Rolle (IAM-API)](#delete-service-linked-role-iam-api)
## Servicebezogene Rollenberechtigungen für Amazon ElastiCache
### Berechtigungen zum Erstellen einer serviceverknüpften Rolle
**Um einer IAM-Entität zu ermöglichen, serviceverknüpfte Rollen zu erstellen AWS ServiceRoleForElastiCache **
Die folgende Berechtigungsanweisung zu den Berechtigungen für diese IAM-Entität hinzufügen:
```
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/elasticache.amazonaws.com/AWS ServiceRoleForElastiCache*",
"Condition": {"StringLike": {"iam:AWS ServiceName": "elasticache.amazonaws.com"}}
}
```
**Um einer IAM-Entität das Löschen einer dienstverknüpften Rolle zu ermöglichen AWS ServiceRoleForElastiCache **
Die folgende Berechtigungsanweisung zu den Berechtigungen für diese IAM-Entität hinzufügen:
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/elasticache.amazonaws.com/AWS ServiceRoleForElastiCache*",
"Condition": {"StringLike": {"iam:AWS ServiceName": "elasticache.amazonaws.com"}}
}
```
Alternativ können Sie eine AWS verwaltete Richtlinie verwenden, um vollen Zugriff auf Amazon zu gewähren ElastiCache.
## Erstellen einer serviceverknüpften Rolle (IAM)
Sie können eine serviceverknüpfte Rolle mithilfe der IAM-Konsole, der CLI oder API erstellen.
### Erstellen einer serviceverknüpften Rolle (IAM-Konsole)
Sie können die IAM-Konsole für das Erstellen einer serviceverknüpften Rolle verwenden.
**So erstellen Sie eine serviceverknüpfte Rolle (Konsole)**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie im Navigationsbereich der IAM Console **Roles** (Rollen) aus. Klicken Sie auf **Create New Role (Neue Rolle erstellen)**.
1. Wählen Sie unter **Select type of trusted entity (Typ der vertrauenswürdigen Entität auswählen)** die Option **AWS -Service** aus.
1. Wählen Sie unter **Oder wählen Sie einen Dienst aus, um dessen Anwendungsfälle anzuzeigen** die Option **ElastiCache**.
1. Wählen Sie **Weiter: Berechtigungen** aus.
1. Beachten Sie unter **Richtlinienname**, dass `ElastiCacheServiceRolePolicy` für diese Rolle erforderlich ist. Wählen Sie **Weiter: Tags** aus.
1. Beachten Sie, dass Tags für serviceverknüpfte Rollen nicht unterstützt werden. Klicken Sie auf **Next:Review** (Weiter: Prüfen).
1. (Optional:) Bearbeiten Sie in **Role description** die Beschreibung für die neue serviceverknüpfte Rolle.
1. Prüfen Sie die Rolle und klicken Sie dann auf **Create Role** (Rolle erstellen).
### Erstellen einer serviceverknüpften Rolle (IAM-CLI)
Sie können IAM-Operationen von verwenden, AWS Command Line Interface um eine serviceverknüpfte Rolle zu erstellen. Diese Rolle kann die Vertrauensrichtlinie, sowie die enthaltenen Richtlinien enthalten, die der Service für die Zuweisung der Rolle benötigt.
**So erstellen Sie eine serviceverknüpfte Rolle (CLI)**
Führen Sie die folgenden Operationen aus:
```
$ aws iam [create-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-service-linked-role.html) --aws-service-name elasticache.amazonaws.com
```
### Erstellen einer serviceverknüpften Rolle (IAM-API)
Sie können die IAM-API für das Erstellen einer serviceverknüpften Rolle verwenden. Diese Rolle kann die Vertrauensrichtlinie, sowie die enthaltenen Richtlinien enthalten, die der Service für die Zuweisung der Rolle benötigt.
**So erstellen Sie eine serviceverknüpfte Rolle (API)**
Verwenden Sie den [CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)-API-Aufruf. Geben Sie in der Anforderung einen Servicenamen im Format `elasticache.amazonaws.com` an.
## Die Beschreibung einer serviceverknüpften Rolle für Amazon bearbeiten ElastiCache
Amazon ElastiCache erlaubt Ihnen nicht, die AWS ServiceRoleForElastiCache serviceverknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten.
### Bearbeiten der Beschreibung einer serviceverknüpften Rolle (IAM-Konsole)
Sie können die IAM-Konsole für das Bearbeiten der Beschreibung einer serviceverknüpften Rolle verwenden.
**So bearbeiten Sie die Beschreibung einer serviceverknüpften Rolle (Konsole)**
1. Wählen Sie im Navigationsbereich der IAM Console **Roles** (Rollen) aus.
1. Wählen Sie den Namen der zu ändernden Rolle.
1. Wählen Sie neben **Role description** ganz rechts **Edit**.
1. Geben Sie eine neue Beschreibung im Dialogfeld ein und klicken Sie auf **Save (Speichern)**.
### Bearbeiten der Beschreibung einer serviceverknüpften Rolle (IAM-CLI)
Sie können IAM-Operationen vom verwenden, um eine Beschreibung einer serviceverknüpften Rolle AWS Command Line Interface zu bearbeiten.
**So ändern Sie die Beschreibung einer serviceverknüpften Rolle (CLI)**
1. (Optional) Verwenden Sie den Vorgang for IAM, um die aktuelle Beschreibung AWS CLI für eine Rolle anzuzeigen. `[get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)`
**Example**
```
$ aws iam [get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) --role-name AWS ServiceRoleForElastiCache
```
Verwenden Sie den Rollennamen, nicht den ARN, um sich auf Rollen mit den CLI-Operationen zu beziehen. Wenn eine Rolle zum Beispiel folgenden ARN hat: `arn:aws:iam::123456789012:role/myrole`, verweisen Sie auf die Rolle als **myrole**.
1. Verwenden Sie den Vorgang AWS CLI for IAM, um die Beschreibung einer serviceverknüpften Rolle zu aktualisieren. `[update-role-description](https://docs.aws.amazon.com/cli/latest/reference/iam/update-role-description.html)`
Für Linux, macOS oder Unix:
```
$ aws iam [update-role-description](https://docs.aws.amazon.com/cli/latest/reference/iam/update-role-description.html) \
--role-name AWS ServiceRoleForElastiCache \
--description "new description"
```
Für Windows:
```
$ aws iam [update-role-description](https://docs.aws.amazon.com/cli/latest/reference/iam/update-role-description.html) ^
--role-name AWS ServiceRoleForElastiCache ^
--description "new description"
```
### Bearbeiten der Beschreibung einer serviceverknüpften Rolle (IAM-API)
Sie können die IAM-API für das Bearbeiten der Beschreibung einer serviceverknüpften Rolle verwenden.
**So ändern Sie die Beschreibung einer serviceverknüpften Rolle (API)**
1. (Optional) Um die aktuelle Beschreibung einer Rolle anzuzeigen, verwenden Sie die IAM-API-Operation [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html).
**Example**
```
https://iam.amazonaws.com/
?Action=[GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)
&RoleName=AWS ServiceRoleForElastiCache
&Version=2010-05-08
&AUTHPARAMS
```
1. Um die Beschreibung einer Rolle zu aktualisieren, verwenden Sie die IAM-API-Operation [UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html).
**Example**
```
https://iam.amazonaws.com/
?Action=[UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)
&RoleName=AWS ServiceRoleForElastiCache
&Version=2010-05-08
&Description="New description"
```
## Löschen einer serviceverknüpften Rolle für Amazon ElastiCache
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie löschen können.
Amazon ElastiCache löscht die serviceverknüpfte Rolle nicht für Sie.
### Bereinigen einer serviceverknüpften Rolle
Bevor Sie eine serviceverknüpfte Rolle mit IAM löschen können, bestätigen Sie zunächst, dass der Rolle keine Ressourcen (Cluster oder Replikationsgruppen) zugeordnet sind.
**So überprüfen Sie in der IAM-Konsole, ob die serviceverknüpfte Rolle über eine aktive Sitzung verfügt**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich der IAM Console **Roles** (Rollen) aus. Wählen Sie dann den Namen (nicht das Kontrollkästchen) der AWS ServiceRoleForElastiCache Rolle aus.
1. Wählen Sie auf der Seite **Summary** für die ausgewählte Rolle die Registerkarte **Access Advisor**.
1. Überprüfen Sie auf der Registerkarte **Access Advisor** die jüngsten Aktivitäten für die serviceverknüpfte Rolle.
**Um ElastiCache Amazon-Ressourcen zu löschen, die AWS ServiceRoleForElastiCache**
+ Informationen zum Löschen eines Clusters finden Sie unter:
+ [Mit dem AWS-Managementkonsole](Clusters.Delete.md#Clusters.Delete.CON)
+ [Verwenden Sie den AWS CLI, um einen ElastiCache Cluster zu löschen](Clusters.Delete.md#Clusters.Delete.CLI)
+ [Verwenden der ElastiCache API](Clusters.Delete.md#Clusters.Delete.API)
+ Informationen zum Löschen einer Replikationsgruppe finden Sie unter:
+ [Löschen einer Replikationsgruppe (Konsole)](Replication.DeletingRepGroup.md#Replication.DeletingRepGroup.CON)
+ [Löschen einer Replikationsgruppe (AWS CLI)](Replication.DeletingRepGroup.md#Replication.DeletingRepGroup.CLI)
+ [Löschen einer Replikationsgruppe (ElastiCache API)](Replication.DeletingRepGroup.md#Replication.DeletingRepGroup.API)
### Löschen einer serviceverknüpften Rolle (IAM-Konsole)
Sie können die IAM-Konsole für das Löschen einer serviceverknüpften Rolle verwenden.
**So löschen Sie eine serviceverknüpfte Rolle (Konsole)**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie im Navigationsbereich der IAM Console **Roles** aus. Aktivieren Sie dann das Kontrollkästchen neben dem Rollennamen, den Sie löschen möchten, nicht den Namen oder die Zeile selbst.
1. Wählen Sie für **Role actions** oben auf der Seite **Delete role** aus.
1. Überprüfen Sie im Bestätigungsdialogfeld die Daten, auf die der Dienst zuletzt zugegriffen hat. Aus diesen Daten geht hervor, wann jede der ausgewählten Rollen zuletzt auf einen AWS Dienst zugegriffen hat. Auf diese Weise können Sie leichter bestätigen, ob die Rolle derzeit aktiv ist. Wenn Sie fortfahren möchten, wählen Sie **Yes, Delete** aus, um die serviceverknüpfte Rolle zur Löschung zu übermitteln.
1. Sehen Sie sich die Benachrichtigungen in der IAM-Konsole an, um den Fortschritt der Löschung der serviceverknüpften Rolle zu überwachen. Da die Löschung der serviceverknüpften IAM-Rolle asynchron erfolgt, kann die Löschung nach dem Übermitteln der Rolle für die Löschung erfolgreich sein oder fehlschlagen. Wenn der Vorgang fehlschlägt, können Sie in den Benachrichtigungen **View details** oder **View Resources** auswählen, um zu erfahren, warum die Löschung fehlgeschlagen ist.
### Löschen einer serviceverknüpften Rolle (IAM-CLI)
Sie können IAM-Operationen von verwenden, AWS Command Line Interface um eine dienstverknüpfte Rolle zu löschen.
**So löschen Sie eine serviceverknüpfte Rolle (CLI)**
1. Wenn Sie den Namen der serviceverknüpften Rolle, die Sie löschen möchten, nicht kennen, geben Sie den folgenden Befehl ein. Dieser Befehl listet die Rollen und ihre Amazon-Ressourcennamen (ARNs) in Ihrem Konto auf.
```
$ aws iam [get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) --role-name role-name
```
Verwenden Sie den Rollennamen, nicht den ARN, um sich auf Rollen mit den CLI-Operationen zu beziehen. Wenn eine Rolle zum Beispiel den ARN `arn:aws:iam::123456789012:role/myrole` hat, verweisen Sie auf die Rolle als **myrole**.
1. Da eine serviceverknüpfte Rolle nicht gelöscht werden kann, wenn sie verwendet wird oder ihr Ressourcen zugeordnet sind, müssen Sie eine Löschungsanforderung übermitteln. Diese Anforderung kann verweigert werden, wenn diese Bedingungen nicht erfüllt sind. Sie benötigen die `deletion-task-id` aus der Antwort, um den Status der Löschaufgabe zu überprüfen. Geben Sie Folgendes ein, um eine Anforderung zum Löschen einer serviceverknüpften Rolle abzusenden.
```
$ aws iam [delete-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-service-linked-role.html) --role-name role-name
```
1. Geben Sie Folgendes ein, um den Status der Löschaufgabe zu überprüfen.
```
$ aws iam [get-service-linked-role-deletion-status](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-linked-role-deletion-status.html) --deletion-task-id deletion-task-id
```
Der Status der Löschaufgabe kann `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` oder `FAILED` lauten. Wenn die Löschung fehlschlägt, gibt der Aufruf den Grund zurück, sodass Sie das Problem beheben können.
### Löschen einer serviceverknüpften Rolle (IAM-API)
Sie können die IAM-API zum Löschen einer serviceverknüpften Rolle verwenden.
**So löschen Sie eine serviceverknüpfte Rolle (API)**
1. Um eine Löschanfrage für eine serviceverknüpfte Rolle zu übermitteln, rufen Sie [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html) auf. Geben Sie in der Anforderung einen Rollennamen an.
Da eine serviceverknüpfte Rolle nicht gelöscht werden kann, wenn sie verwendet wird oder ihr Ressourcen zugeordnet sind, müssen Sie eine Löschungsanforderung übermitteln. Diese Anforderung kann verweigert werden, wenn diese Bedingungen nicht erfüllt sind. Sie benötigen die `DeletionTaskId` aus der Antwort, um den Status der Löschaufgabe zu überprüfen.
1. Um den Status der Löschung zu überprüfen, rufen Sie [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html) auf. Geben Sie in der Anforderung die `DeletionTaskId` an.
Der Status der Löschaufgabe kann `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` oder `FAILED` lauten. Wenn die Löschung fehlschlägt, gibt der Aufruf den Grund zurück, sodass Sie das Problem beheben können.
# ElastiCache API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen
Wenn Sie Richtlinien für [Zugriffskontrolle](IAM.md) und Schreibberechtigungen einrichten, die an eine IAM-Richtlinie angehängt werden sollen (entweder identitäts- oder ressourcenbasiert), verwenden Sie die folgende Tabelle als Referenz. In der Tabelle sind alle ElastiCache Amazon-API-Operationen und die entsprechenden Aktionen aufgeführt, für die Sie Berechtigungen zur Ausführung der Aktion erteilen können. Sie geben die Aktionen im Feld `Action` der Richtlinie und einen Ressourcenwert im Feld `Resource` der Richtlinie an. Sofern nicht anders angegeben, ist die Ressource erforderlich. Einige Felder enthalten sowohl eine erforderliche Ressource als auch optionale Ressourcen. Wenn kein Ressourcen-ARN vorhanden ist, ist die Ressource in der Richtlinie als Platzhalter (\$1) dargestellt.
Sie können Bedingungsschlüssel in Ihren ElastiCache Richtlinien verwenden, um Bedingungen auszudrücken. Eine Liste mit ElastiCache spezifischen Bedingungsschlüsseln sowie den Aktionen und Ressourcentypen, für die sie gelten, finden Sie unter[Verwenden von Bedingungsschlüssel](IAM.ConditionKeys.md). Eine vollständige Liste der AWS-weiten Schlüssel finden Sie im *IAM-Benutzerhandbuch* unter [Kontext-Schlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html).
**Anmerkung**
Um eine Aktion anzugeben, verwenden Sie das Präfix `elasticache:` gefolgt vom Namen der API-Operation (z. B. `elasticache:DescribeCacheClusters`).
Eine Liste der ElastiCache Aktionen finden Sie unter [Von Amazon definierte Aktionen ElastiCache](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticache.html#amazonelasticache-actions-as-permissions) in der *Service Authorization Reference*.