Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre MemoryDB-Ressourcen - Amazon MemoryDB
MemoryDB-Ressourcen und -OperationenGrundlegendes zum Eigentum an RessourcenVerwalten des Zugriffs auf Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre MemoryDB-Ressourcen

Jede AWS Ressource gehört einem AWS Konto, und die Berechtigungen zum Erstellen oder Zugreifen auf eine Ressource werden durch Berechtigungsrichtlinien geregelt. Ein Kontoadministrator kann IAM Identitäten (d. h. Benutzern, Gruppen und Rollen) Berechtigungsrichtlinien zuordnen. Darüber hinaus unterstützt MemoryDB auch das Anhängen von Berechtigungsrichtlinien an Ressourcen.

Anmerkung

Ein Kontoadministrator (oder Administratorbenutzer) ist ein Benutzer mit Administratorrechten. Weitere Informationen finden Sie unter IAMBewährte Methoden im IAM Benutzerhandbuch.

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

Themen

MemoryDB-Ressourcen und -Operationen

In MemoryDB ist die primäre Ressource ein Cluster.

Diesen Ressourcen sind eindeutige Amazon-Ressourcennamen (ARNs) zugeordnet, wie im Folgenden dargestellt.

Anmerkung

Damit Berechtigungen auf Ressourcenebene wirksam sind, sollte der Ressourcenname in der ARN Zeichenfolge in Kleinbuchstaben geschrieben werden.

Ressourcentyp ARNFormat

Benutzer

arn:aws:memorydb:us-east-1:123456789012:Benutzer/Benutzer1

Zugriffskontrollliste () ACL

arn:aws:memorydb:us-east-1:123456789012:acl/myacl

Cluster

arn:aws:memorydb:us-east-1:123456789012:Cluster/mein-Cluster

Snapshot

arn:aws:memorydb:us-east-1:123456789012:Schnappschuss/mein-Schnappschuss

Parametergruppe

arn:aws:memorydb:us-east-1:123456789012: Parametergruppe/ my-parameter-group

Subnetzgruppe

arn:aws:memorydb:us-east-1:123456789012: Subnetzgruppe/ my-subnet-group

MemoryDB bietet eine Reihe von Operationen für die Arbeit mit MemoryDB-Ressourcen. Eine Liste der verfügbaren Operationen finden Sie unter MemoryDB-Aktionen.

Grundlegendes zum Eigentum an Ressourcen

Ein Ressourcenbesitzer ist das AWS Konto, das die Ressource erstellt hat. Das heißt, der Ressourcenbesitzer ist das AWS Konto der Prinzipalentität, die die Anforderung authentifiziert, mit der die Ressource erstellt wird. Eine Prinzipalentität kann das Root-Konto, ein IAM Benutzer oder eine IAM Rolle sein. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:

  • Angenommen, Sie verwenden die Root-Kontoanmeldeinformationen Ihres AWS Kontos, um einen Cluster zu erstellen. In diesem Fall ist Ihr AWS Konto der Eigentümer der Ressource. In MemoryDB ist die Ressource der Cluster.

  • Angenommen, Sie erstellen einen IAM Benutzer in Ihrem AWS Konto und gewähren diesem Benutzer Berechtigungen zum Erstellen eines Clusters. In diesem Fall kann der Benutzer einen Cluster erstellen. Ihr AWS Konto, zu dem der Benutzer gehört, besitzt jedoch die Clusterressource.

  • Angenommen, Sie erstellen in Ihrem AWS Konto eine IAM Rolle mit Berechtigungen zum Erstellen eines Clusters. In diesem Fall kann jeder, der die Rolle übernehmen kann, einen Cluster erstellen. Ihr AWS Konto, zu dem die Rolle gehört, besitzt die Clusterressource.

Verwalten des Zugriffs auf Ressourcen

Eine Berechtigungsrichtlinie beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werden die verfügbaren Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.

Anmerkung

In diesem Abschnitt wird die Verwendung IAM im Kontext von MemoryDB beschrieben. Es enthält keine detaillierten Informationen über den IAM Dienst. Eine vollständige IAM Dokumentation finden Sie unter Was istIAM? im IAMBenutzerhandbuch. Informationen zur IAM Richtliniensyntax und zu Beschreibungen finden Sie unter AWS IAMPolicy Reference im IAMBenutzerhandbuch.

Mit einer IAM Identität verknüpfte Richtlinien werden als identitätsbasierte Richtlinien (IAMRichtlinien) bezeichnet. An Ressourcen angehängte Richtlinien werden als ressourcenbasierte Richtlinien bezeichnet.

Identitätsbasierte Richtlinien (Richtlinien) IAM

Sie können Identitäten Richtlinien zuordnenIAM. Sie können z. B. Folgendes tun:

  • Anfügen einer Berechtigungsrichtlinie zu einem Benutzer oder einer Gruppe in Ihrem Konto – Ein Kontoadministrator kann eine Berechtigungsrichtlinie verwenden, die einem bestimmten Benutzer zugeordnet ist, um Berechtigungen zu erteilen. In diesem Fall verfügen die Benutzer über die erforderlichen Berechtigungen zum Erstellen einer MemoryDB-Ressource, z. B. eines Clusters, einer Parametergruppe oder einer Sicherheitsgruppe.

  • Einer Rolle eine Berechtigungsrichtlinie zuordnen (kontoübergreifende Berechtigungen gewähren) — Sie können einer IAM Rolle eine identitätsbasierte Berechtigungsrichtlinie zuordnen, um kontoübergreifende Berechtigungen zu gewähren. Der Administrator in Konto A kann beispielsweise wie folgt eine Rolle erstellen, um einem anderen AWS Konto (z. B. Konto B) oder einem Dienst kontoübergreifende Berechtigungen zu gewähren: AWS

    1. Der Administrator von Konto A erstellt eine IAM Rolle und fügt der Rolle, die Berechtigungen für Ressourcen in Konto A gewährt, eine Berechtigungsrichtlinie hinzu.

    2. Der Administrator von Konto A weist der Rolle eine Vertrauensrichtlinie zu, die Konto B als den Prinzipal identifiziert, der die Rolle übernehmen kann.

    3. Der Administrator von Konto B kann dann die Berechtigungen zur Übernahme der Rolle an alle Benutzer in Konto B delegieren. Auf diese Weise können Benutzer in Konto B Ressourcen in Konto A erstellen oder darauf zugreifen. In einigen Fällen möchten Sie einem AWS Dienst möglicherweise Berechtigungen zur Übernahme der Rolle erteilen. Zum Support dieses Ansatzes kann es sich beim Prinzipal in der Vertrauensrichtlinie auch um einen AWS -Service-Prinzipal handeln.

    Weitere Informationen zur Verwendung IAM zum Delegieren von Berechtigungen finden Sie unter Zugriffsverwaltung im IAMBenutzerhandbuch.

Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die es einem Benutzer ermöglicht, die DescribeClusters Aktion für Ihr AWS Konto durchzuführen. MemoryDB unterstützt auch die Identifizierung bestimmter Ressourcen, die die Ressource ARNs für API Aktionen verwenden. (Dieser Ansatz heißt auch Ressourcenebenen-Berechtigungen.) 

{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "DescribeClusters",
      "Effect": "Allow",
      "Action": [
         "memorydb:DescribeClusters"],
      "Resource": resource-arn
      }
   ]
}

Weitere Informationen zur Verwendung identitätsbasierter Richtlinien mit MemoryDB finden Sie unter. Verwendung identitätsbasierter Richtlinien (IAMRichtlinien) für MemoryDB Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sie unter Identitäten (Benutzer, Gruppen und Rollen) im Benutzerhandbuch. IAM

Angeben der Richtlinienelemente: Aktionen, Effekte, Ressourcen und Prinzipale

Für jede MemoryDB-Ressource (sieheMemoryDB-Ressourcen und -Operationen) definiert der Dienst eine Reihe von API Vorgängen (siehe Aktionen). Um Berechtigungen für diese API Operationen zu gewähren, definiert MemoryDB eine Reihe von Aktionen, die Sie in einer Richtlinie angeben können. Für die MemoryDB-Clusterressource sind beispielsweise die folgenden Aktionen definiert:CreateCluster, und. DeleteCluster DescribeClusters Für die Ausführung eines API Vorgangs können Berechtigungen für mehr als eine Aktion erforderlich sein.

Grundlegende Richtlinienelemente:

  • Ressource — In einer Richtlinie verwenden Sie einen Amazon-Ressourcennamen (ARN), um die Ressource zu identifizieren, für die die Richtlinie gilt. Weitere Informationen finden Sie unter MemoryDB-Ressourcen und -Operationen.

  • Aktion – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten. Je nach Angabe gewährt oder verweigert die memorydb:CreateCluster Berechtigung dem Benutzer beispielsweise die BerechtigungEffect, den CreateCluster MemoryDB-Vorgang auszuführen.

  • Auswirkung – Die von Ihnen festgelegte Auswirkung, wenn der Benutzer die jeweilige Aktion anfordert – entweder „allow“ (Zugriffserlaubnis) oder „deny“ (Zugriffsverweigerung). Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten ("Allow"), wird er automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie zum Beispiel sicherstellen, dass ein Benutzer nicht auf die Ressource zugreifen kann, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.

  • Principal — In identitätsbasierten Richtlinien (IAMRichtlinien) ist der Benutzer, dem die Richtlinie zugeordnet ist, der implizite Prinzipal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer, das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll (gilt nur für ressourcenbasierte Richtlinien).

Weitere Informationen zur IAM Richtliniensyntax und zu deren Beschreibung finden Sie unter AWS IAMRichtlinienreferenz im IAM Benutzerhandbuch.

Eine Tabelle mit allen API MemoryDB-Aktionen finden Sie unter. APIMemoryDB-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen

Angeben von Bedingungen in einer Richtlinie

Wenn Sie Berechtigungen gewähren, können Sie die IAM Richtliniensprache verwenden, um die Bedingungen festzulegen, unter denen eine Richtlinie wirksam werden soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zur Angabe von Bedingungen in einer Richtliniensprache finden Sie unter Bedingung im IAMBenutzerhandbuch.