Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre MemoryDB-Ressourcen
Jede AWS Ressource gehört einem AWS Konto, und die Berechtigungen zum Erstellen oder Zugreifen auf eine Ressource werden durch Berechtigungsrichtlinien geregelt. Ein Kontoadministrator kann Berechtigungsrichtlinien an IAM-Identitäten (Benutzer, Gruppen und Rollen) anfügen. Darüber hinaus unterstützt MemoryDB auch das Anhängen von Berechtigungsrichtlinien an Ressourcen.
**Anmerkung**
Ein *Kontoadministrator* (oder Administratorbenutzer) ist ein Benutzer mit Administratorrechten. Weitere Informationen finden Sie unter [Bewährte Methoden für IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
+ Benutzer und Gruppen in: AWS IAM Identity Center
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter [Erstellen eines Berechtigungssatzes](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
+ Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter [Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) im *IAM-Benutzerhandbuch*.
+ IAM-Benutzer:
+ Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter [Eine Rolle für einen IAM-Benutzer erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) im *IAM-Benutzerhandbuch*.
+ (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter [Hinzufügen von Berechtigungen zu einem Benutzer (Konsole)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
**Topics**
+ [MemoryDB-Ressourcen und -Operationen](#iam.overview.resourcesandoperations)
+ [Grundlegendes zum Eigentum an Ressourcen](#access-control-resource-ownership)
+ [Verwaltung des Zugriffs auf -Ressourcen](#iam.overview.managingaccess)
+ [Verwenden von identitätsbasierten Richtlinien (IAM-Richtlinien) für MemoryDB](iam.identitybasedpolicies.md)
+ [Berechtigungen auf Ressourcenebene](iam.resourcelevelpermissions.md)
+ [Verwenden von dienstverknüpften Rollen für MemoryDB](using-service-linked-roles.md)
+ [AWS verwaltete Richtlinien für MemoryDB](security-iam-awsmanpol.md)
+ [MemoryDB-API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen](iam.APIReference.md)
## MemoryDB-Ressourcen und -Operationen
*In MemoryDB ist die primäre Ressource ein Cluster.*
Diesen Ressourcen sind eindeutige Amazon-Ressourcennamen (ARNs) zugeordnet, wie im Folgenden dargestellt.
**Anmerkung**
Damit Berechtigungen auf Ressourcenebene wirksam sind, sollte der Ressourcenname in der ARN-Zeichenfolge in Kleinbuchstaben geschrieben werden.
****
| Ressourcentyp | ARN-Format |
| --- | --- |
| Benutzer | arn:aws:memorydb ::user/user1 *us-east-1:123456789012* |
| Zugriffskontrollliste (ACL) | arn:aws:memorydb ::acl/myacl *us-east-1:123456789012* |
| Cluster | arn:aws:memorydb ::cluster/mein-Cluster *us-east-1:123456789012* |
| Schnappschuss | arn:aws:memorydb ::snapshot/mein-snapshot *us-east-1:123456789012* |
| Parametergruppe | arn:aws:memorydb ::parametergruppe/ *us-east-1:123456789012* my-parameter-group |
| Subnetzgruppe | arn:aws:memorydb::subnetgroup/ *us-east-1:123456789012* my-subnet-group |
MemoryDB bietet eine Reihe von Operationen für die Arbeit mit MemoryDB-Ressourcen. [Eine Liste der verfügbaren Operationen finden Sie unter MemoryDB-Aktionen.](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_Operations.html)
## Grundlegendes zum Eigentum an Ressourcen
Ein *Ressourcenbesitzer* ist das AWS Konto, das die Ressource erstellt hat. Das heißt, der Ressourcenbesitzer ist das AWS Konto der Prinzipalentität, die die Anforderung authentifiziert, mit der die Ressource erstellt wird. Eine *Prinzipalentität* kann das Root-Konto, ein IAM-Benutzer oder eine IAM-Rolle sein. Die Funktionsweise wird anhand der folgenden Beispiele deutlich:
+ Angenommen, Sie verwenden die Root-Kontoanmeldeinformationen Ihres AWS Kontos, um einen Cluster zu erstellen. In diesem Fall ist Ihr AWS Konto der Eigentümer der Ressource. In MemoryDB ist die Ressource der Cluster.
+ Angenommen, Sie erstellen in Ihrem AWS Konto einen IAM-Benutzer und gewähren diesem Benutzer die Erlaubnis, einen Cluster zu erstellen. In diesem Fall kann der Benutzer einen Cluster erstellen. Ihr AWS Konto, zu dem der Benutzer gehört, besitzt jedoch die Clusterressource.
+ Angenommen, Sie erstellen in Ihrem AWS Konto eine IAM-Rolle mit Berechtigungen zum Erstellen eines Clusters. In diesem Fall kann jeder, der die Rolle übernehmen kann, einen Cluster erstellen. Ihr AWS Konto, zu dem die Rolle gehört, besitzt die Clusterressource.
## Verwaltung des Zugriffs auf -Ressourcen
Eine *Berechtigungsrichtlinie* beschreibt, wer Zugriff auf welche Objekte hat. Im folgenden Abschnitt werden die verfügbaren Optionen zum Erstellen von Berechtigungsrichtlinien erläutert.
**Anmerkung**
In diesem Abschnitt wird die Verwendung von IAM im Kontext von MemoryDB beschrieben. Er enthält keine detaillierten Informationen über den IAM-Service. Eine umfassende IAM-Dokumentation finden Sie unter [Was ist IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) im *IAM-Benutzerhandbuch*. Für Informationen über die Syntax und Beschreibungen von [AWS -IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) lesen Sie die *IAM-Richtlinienreferenz im IAM-Benutzerhandbuch*.
An eine IAM-Identität angefügte Richtlinien werden als *identitätsbasierte* Richtlinien (oder IAM-Richtlinien) bezeichnet. An Ressourcen angehängte Richtlinien werden als *ressourcenbasierte Richtlinien* bezeichnet.
**Topics**
+ [Identitätsbasierte Richtlinien (IAM-Richtlinien)](#iam.overview.managingaccess.identitybasedpolicies)
+ [Angeben der Richtlinienelemente: Aktionen, Effekte, Ressourcen und Prinzipale](#iam.overview.policyelements)
+ [Angeben von Bedingungen in einer Richtlinie](#iam.specifyconditions)
### Identitätsbasierte Richtlinien (IAM-Richtlinien)
Richtlinien können IAM-Identitäten angefügt werden. Sie können z. B. Folgendes tun:
+ **Anfügen einer Berechtigungsrichtlinie zu einem Benutzer oder einer Gruppe in Ihrem Konto** – Ein Kontoadministrator kann eine Berechtigungsrichtlinie verwenden, die einem bestimmten Benutzer zugeordnet ist, um Berechtigungen zu erteilen. In diesem Fall sind die Berechtigungen für diesen Benutzer vorgesehen, um eine MemoryDB-Ressource zu erstellen, z. B. einen Cluster, eine Parametergruppe oder eine Sicherheitsgruppe.
+ **Einer Rolle eine Berechtigungsrichtlinie zuweisen (kontoübergreifende Berechtigungen gewähren)** – Sie können einer IAM-Rolle eine identitätsbasierte Berechtigungsrichtlinie zuweisen, um kontoübergreifende Berechtigungen zu erteilen. Der Administrator in Konto A kann beispielsweise wie folgt eine Rolle erstellen, um einem anderen Konto (z. B. AWS Konto B) oder einem AWS Dienst kontoübergreifende Berechtigungen zu gewähren:
1. Der Administrator von Konto A erstellt eine IAM-Rolle und fügt ihr eine Berechtigungsrichtlinie an, die Berechtigungen für Ressourcen in Konto A erteilt.
1. Der Administrator von Konto A weist der Rolle eine Vertrauensrichtlinie zu, die Konto B als den Prinzipal identifiziert, der die Rolle übernehmen kann.
1. Der Administrator von Konto B kann dann die Berechtigungen zur Übernahme der Rolle an alle Benutzer in Konto B delegieren. Auf diese Weise können Benutzer in Konto B Ressourcen in Konto A erstellen oder darauf zugreifen. In einigen Fällen möchten Sie einem AWS Dienst möglicherweise Berechtigungen zur Übernahme der Rolle erteilen. Zum Support dieses Ansatzes kann es sich beim Prinzipal in der Vertrauensrichtlinie auch um einen AWS -Service-Prinzipal handeln.
Weitere Informationen zum Delegieren von Berechtigungen mithilfe von IAM finden Sie unter [Zugriffsverwaltung](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) im *IAM-Benutzerhandbuch*.
Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die es einem Benutzer ermöglicht, die `DescribeClusters` Aktion für Ihr AWS Konto durchzuführen. MemoryDB unterstützt auch die Identifizierung bestimmter Ressourcen, die die Ressource ARNs für API-Aktionen verwenden. (Dieser Ansatz heißt auch Ressourcenebenen-Berechtigungen.)
Weitere Informationen zur Verwendung identitätsbasierter Richtlinien mit MemoryDB finden Sie unter. [Verwenden von identitätsbasierten Richtlinien (IAM-Richtlinien) für MemoryDB](iam.identitybasedpolicies.md) Weitere Informationen zu Benutzern, Gruppen, Rollen und Berechtigungen finden Sie unter [Identitäten (Benutzer, Gruppen und Rollen)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) im *IAM-Benutzerhandbuch*.
### Angeben der Richtlinienelemente: Aktionen, Effekte, Ressourcen und Prinzipale
[Für jede MemoryDB-Ressource (siehe[MemoryDB-Ressourcen und -Operationen](#iam.overview.resourcesandoperations)) definiert der Dienst eine Reihe von API-Vorgängen (siehe Aktionen).](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_Operations.html) Um Berechtigungen für diese API-Operationen zu gewähren, definiert MemoryDB eine Reihe von Aktionen, die Sie in einer Richtlinie angeben können. Für die MemoryDB-Clusterressource sind beispielsweise die folgenden Aktionen definiert:`CreateCluster`, und. `DeleteCluster` `DescribeClusters` Für das Durchführen einer API-Operation können Berechtigungen für mehrere Aktionen erforderlich sein.
Grundlegende Richtlinienelemente:
+ **Ressource** – In einer Richtlinie wird der Amazon-Ressourcenname (ARN) zur Identifizierung der Ressource verwendet, für die die Richtlinie gilt. Weitere Informationen finden Sie unter [MemoryDB-Ressourcen und -Operationen](#iam.overview.resourcesandoperations).
+ **Aktion** – Mit Aktionsschlüsselwörtern geben Sie die Ressourcenoperationen an, die Sie zulassen oder verweigern möchten. Je nach Angabe gewährt oder verweigert die `memorydb:CreateCluster` Berechtigung dem Benutzer beispielsweise die Berechtigung`Effect`, den MemoryDB-Vorgang auszuführen. `CreateCluster`
+ **Auswirkung** – Die von Ihnen festgelegte Auswirkung, wenn der Benutzer die jeweilige Aktion anfordert – entweder „allow“ (Zugriffserlaubnis) oder „deny“ (Zugriffsverweigerung). Wenn Sie den Zugriff auf eine Ressource nicht ausdrücklich gestatten ("Allow"), wird er automatisch verweigert. Sie können den Zugriff auf eine Ressource auch explizit verweigern. So können Sie zum Beispiel sicherstellen, dass ein Benutzer nicht auf die Ressource zugreifen kann, auch wenn der Zugriff durch eine andere Richtlinie gestattet wird.
+ **Prinzipal** – In identitätsbasierten Richtlinien (IAM-Richtlinien) ist der Benutzer, dem die Richtlinie zugewiesen ist, automatisch der Prinzipal. In ressourcenbasierten Richtlinien müssen Sie den Benutzer, das Konto, den Service oder die sonstige Entität angeben, die die Berechtigungen erhalten soll (gilt nur für ressourcenbasierte Richtlinien).
Weitere Informationen zur Syntax und zu Beschreibungen von IAM-Richtlinien finden Sie in der [AWS -IAM-Richtlinienreferenz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) im *IAM-Benutzerhandbuch*.
Eine Tabelle mit allen MemoryDB-API-Aktionen finden Sie unter. [MemoryDB-API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen](iam.APIReference.md)
### Angeben von Bedingungen in einer Richtlinie
Beim Erteilen von Berechtigungen können Sie mithilfe der IAM-Richtliniensyntax die Bedingungen angeben, unter denen die Richtlinie wirksam werden soll. Beispielsweise kann festgelegt werden, dass eine Richtlinie erst ab einem bestimmten Datum gilt. Weitere Informationen zum Angeben von Bedingungen in einer Richtliniensyntax finden Sie im Thema [Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) im *IAM Benutzerhandbuch*.
# Verwenden von identitätsbasierten Richtlinien (IAM-Richtlinien) für MemoryDB
In diesem Thema finden Sie Beispiele für identitätsbasierte Richtlinien, in denen ein Kontoadministrator den IAM-Identitäten (Benutzer, Gruppen und Rollen) Berechtigungsrichtlinien anfügen kann.
**Wichtig**
Wir empfehlen Ihnen, zunächst die Themen zu lesen, in denen die grundlegenden Konzepte und Optionen zur Verwaltung des Zugriffs auf MemoryDB-Ressourcen erläutert werden. Weitere Informationen finden Sie unter [Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre MemoryDB-Ressourcen](iam.overview.md).
Dieses Thema besteht aus folgenden Abschnitten:
+ [Für die Verwendung der MemoryDB-Konsole sind Berechtigungen erforderlich](#iam.identitybasedpolicies.minconpolicies)
+ [AWS-verwaltete (vordefinierte) Richtlinien für MemoryDB](security-iam-awsmanpol.md#iam.identitybasedpolicies.predefinedpolicies)
+ [Beispiele für vom Kunden verwaltete Richtlinien](#iam.identitybasedpolicies.customermanagedpolicies)
Dies ist ein Beispiel für eine Berechtigungsrichtlinie.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowClusterPermissions",
"Effect": "Allow",
"Action": [
"memorydb:CreateCluster",
"memorydb:DescribeClusters",
"memorydb:UpdateCluster"],
"Resource": "*"
},
{
"Sid": "AllowUserToPassRole",
"Effect": "Allow",
"Action": [ "iam:PassRole" ],
"Resource": "arn:aws:iam::123456789012:role/EC2-roles-for-cluster"
}
]
}
```
------
Die Richtlinie enthält zwei Anweisungen:
+ Die erste Anweisung gewährt Berechtigungen für die MemoryDB-Aktionen (`memorydb:CreateCluster`, und`memorydb:UpdateCluster`) auf jedem Cluster`memorydb:DescribeClusters`, der dem Konto gehört.
+ Die zweite Anweisung erteilt Berechtigungen für die IAM-Aktion (`iam:PassRole`) für den IAM-Rollennamen am Ende des `Resource`-Wertes.
Das Element `Principal` ist in der Richtlinie nicht angegeben, da in identitätsbasierten Richtlinien die Angabe des Prinzipals als Empfänger der Berechtigung nicht erforderlich ist. Wenn Sie einem Benutzer eine Richtlinie zuweisen, ist der Benutzer automatisch der Prinzipal. Wird die Berechtigungsrichtlinie einer IAM-Rolle angefügt, erhält der in der Vertrauensrichtlinie der Rolle angegebene Prinzipal die Berechtigungen.
Eine Tabelle mit allen MemoryDB-API-Aktionen und den Ressourcen, für die sie gelten, finden Sie unter. [MemoryDB-API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen](iam.APIReference.md)
## Für die Verwendung der MemoryDB-Konsole sind Berechtigungen erforderlich
In der Referenztabelle für Berechtigungen sind die MemoryDB-API-Operationen aufgeführt und die erforderlichen Berechtigungen für jeden Vorgang aufgeführt. Weitere Hinweise zu MemoryDB-API-Vorgängen finden Sie unter. [MemoryDB-API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen](iam.APIReference.md)
Um die MemoryDB-Konsole zu verwenden, gewähren Sie zunächst Berechtigungen für zusätzliche Aktionen, wie in der folgenden Berechtigungsrichtlinie beschrieben.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "MinPermsForMemDBConsole",
"Effect": "Allow",
"Action": [
"memorydb:Describe*",
"memorydb:List*",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeVpcs",
"ec2:DescribeAccountAttributes",
"ec2:DescribeSecurityGroups",
"cloudwatch:GetMetricStatistics",
"cloudwatch:DescribeAlarms",
"s3:ListAllMyBuckets",
"sns:ListTopics",
"sns:ListSubscriptions" ],
"Resource": "*"
}
]
}
```
------
Die MemoryDB-Konsole benötigt diese zusätzlichen Berechtigungen aus den folgenden Gründen:
+ Berechtigungen für die MemoryDB-Aktionen ermöglichen es der Konsole, MemoryDB-Ressourcen im Konto anzuzeigen.
+ Die Konsole benötigt Berechtigungen für die `ec2` Aktionen zur Abfrage von Amazon EC2, damit Availability Zones VPCs, Sicherheitsgruppen und Kontoattribute angezeigt werden können.
+ Die Berechtigungen für `cloudwatch` Aktionen ermöglichen es der Konsole, CloudWatch Amazon-Metriken und -Alarme abzurufen und sie in der Konsole anzuzeigen.
+ Die Berechtigungen für `sns`-Aktionen ermöglichen es der Konsole, Themen und Abonnements von Amazon Simple Notification Service (Amazon SNS) abzurufen und in der Konsole anzuzeigen.
## Beispiele für vom Kunden verwaltete Richtlinien
Wenn Sie keine Standardrichtlinie verwenden und eine benutzerdefinierte verwaltete Richtlinie verwenden möchten, stellen Sie eines sicher. Sie sollten entweder die Genehmigung zum Aufrufen von `iam:createServiceLinkedRole` haben (weitere Informationen finden Sie unter [Beispiel 4: Erlauben Sie einem Benutzer, die IAM-API aufzurufen CreateServiceLinkedRole](#create-service-linked-role-policy)). Oder Sie hätten eine mit dem Service verknüpfte MemoryDB-Rolle erstellen sollen.
In Kombination mit den Mindestberechtigungen, die für die Verwendung der MemoryDB-Konsole erforderlich sind, gewähren die Beispielrichtlinien in diesem Abschnitt zusätzliche Berechtigungen. Die Beispiele sind auch relevant für die AWS SDKs und die. AWS CLI Weitere Informationen darüber, welche Berechtigungen für die Verwendung der MemoryDB-Konsole erforderlich sind, finden Sie unter. [Für die Verwendung der MemoryDB-Konsole sind Berechtigungen erforderlich](#iam.identitybasedpolicies.minconpolicies)
Anweisungen zum Einrichten von IAM-Benutzern und -Gruppen finden Sie unter [Erstellen Ihrer ersten IAM-Benutzer- und -Administratorengruppe](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) im *IAM-Benutzerhandbuch*.
**Wichtig**
Testen Sie Ihre IAM-Richtlinien immer gründlich, bevor Sie sie in der Produktion verwenden. Einige MemoryDB-Aktionen, die einfach erscheinen, können andere Aktionen erfordern, um sie zu unterstützen, wenn Sie die MemoryDB-Konsole verwenden. `memorydb:CreateCluster`Gewährt beispielsweise Berechtigungen zum Erstellen von MemoryDB-Clustern. Um diesen Vorgang auszuführen, verwendet die MemoryDB-Konsole jedoch eine Reihe von `List` AND-Aktionen, um `Describe` Konsolenlisten aufzufüllen.
**Topics**
+ [Beispiel 1: Erlauben Sie einem Benutzer nur Lesezugriff auf MemoryDB-Ressourcen](#example-allow-list-current-memorydb-resources)
+ [Beispiel 2: Erlauben Sie einem Benutzer, allgemeine MemoryDB-Systemadministratoraufgaben auszuführen](#example-allow-specific-memorydb-actions)
+ [Beispiel 3: Erlauben Sie einem Benutzer den Zugriff auf alle MemoryDB-API-Aktionen](#allow-unrestricted-access)
+ [Beispiel 4: Erlauben Sie einem Benutzer, die IAM-API aufzurufen CreateServiceLinkedRole](#create-service-linked-role-policy)
### Beispiel 1: Erlauben Sie einem Benutzer nur Lesezugriff auf MemoryDB-Ressourcen
Die folgende Richtlinie gewährt Berechtigungen für MemoryDB-Aktionen, die es einem Benutzer ermöglichen, Ressourcen aufzulisten. Gewöhnlich ordnen Sie diese Art von Berechtigungsrichtlinie einer Gruppe von Managern zu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[{
"Sid": "MemDBUnrestricted",
"Effect":"Allow",
"Action": [
"memorydb:Describe*",
"memorydb:List*"],
"Resource":"*"
}
]
}
```
------
### Beispiel 2: Erlauben Sie einem Benutzer, allgemeine MemoryDB-Systemadministratoraufgaben auszuführen
Zu den allgemeinen Systemadministratoraufgaben gehört das Ändern von Clustern, Parametern und Parametergruppen. Ein Systemadministrator möchte möglicherweise auch Informationen über die MemoryDB-Ereignisse abrufen. Die folgende Richtlinie gewährt einem Benutzer Berechtigungen zur Ausführung von MemoryDB-Aktionen für diese allgemeinen Systemadministratoraufgaben. Normalerweise ordnen Sie diese Art Berechtigungsrichtlinie der Systemadministratorengrupe zu.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MDBAllowSpecific",
"Effect": "Allow",
"Action": [
"memorydb:UpdateCluster",
"memorydb:DescribeClusters",
"memorydb:DescribeEvents",
"memorydb:UpdateParameterGroup",
"memorydb:DescribeParameterGroups",
"memorydb:DescribeParameters",
"memorydb:ResetParameterGroup"
],
"Resource": "*"
}
]
}
```
------
### Beispiel 3: Erlauben Sie einem Benutzer den Zugriff auf alle MemoryDB-API-Aktionen
Die folgende Richtlinie ermöglicht einem Benutzer den Zugriff auf alle MemoryDB-Aktionen. Es wird empfohlen, diese Art von Berechtigungsrichtlinie nur einem Administratorbenutzer zu gewähren.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[{
"Sid": "MDBAllowAll",
"Effect":"Allow",
"Action":[
"memorydb:*" ],
"Resource":"*"
}
]
}
```
------
### Beispiel 4: Erlauben Sie einem Benutzer, die IAM-API aufzurufen CreateServiceLinkedRole
Die folgende Richtlinie ermöglicht dem Benutzer den Aufruf der IAM-`CreateServiceLinkedRole`-API. Wir empfehlen, dass Sie dem Benutzer, der mutative MemoryDB-Operationen aufruft, diese Art von Berechtigungsrichtlinie gewähren.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"CreateSLRAllows",
"Effect":"Allow",
"Action":[
"iam:CreateServiceLinkedRole"
],
"Resource":"*",
"Condition":{
"StringLike":{
"iam:AWS ServiceName":"memorydb.amazonaws.com"
}
}
}
]
}
```
------
# Berechtigungen auf Ressourcenebene
Sie können den Umfang der Berechtigungen einschränken, indem Sie Ressourcen in einer IAM-Richtlinie festlegen. Viele AWS CLI API-Aktionen unterstützen einen Ressourcentyp, der je nach Verhalten der Aktion variiert. Jede IAM-Richtlinienanweisung erteilt die Berechtigung für eine Aktion, die auf eine Ressource ausgeführt wird. Wenn die Aktion nicht auf eine benannte Ressource wirkt oder wenn Sie die Erlaubnis erteilen, die Aktion auf allen Ressourcen durchzuführen, ist der Wert der Ressource in der Richtlinie ein Platzhalter (\$1). Für viele API-Aktionen können Sie die Ressourcen einschränken, die ein Benutzer ändern kann. Hierzu geben Sie den Amazon-Ressourcennamen (ARN) einer Ressource oder ein ARN-Muster an, das mehreren Ressourcen entspricht. Zum Einschränken von Berechtigungen nach Ressource bestimmen Sie die Ressource unter Angabe des ARN.
**ARN-Format für MemoryDB-Ressourcen**
**Anmerkung**
Damit Berechtigungen auf Ressourcenebene wirksam sind, sollte der Ressourcenname in der ARN-Zeichenfolge in Kleinbuchstaben geschrieben werden.
+ Benutzer — arn:aws:memorydb ::user/user1 *us-east-1:123456789012*
+ ACL — arn:aws:memorydb ::acl/my-acl *us-east-1:123456789012*
+ Cluster — arn:aws:memorydb ::cluster/mein-cluster *us-east-1:123456789012*
+ Schnappschuss — arn:aws:memorydb ::snapshot/mein-snapshot *us-east-1:123456789012*
+ Parametergruppe — arn:aws:memorydb ::parametergroup/ *us-east-1:123456789012* my-parameter-group
+ Subnetzgruppe — arn:aws:memorydb *us-east-1:123456789012* ::subnetgroup/ my-subnet-group
**Topics**
+ [Beispiel 1: Erlauben Sie einem Benutzer vollen Zugriff auf bestimmte MemoryDB-Ressourcentypen](#example-allow-list-current-memorydb-resources-resource)
+ [Beispiel 2: Verweigern Sie einem Benutzer den Zugriff auf einen Cluster.](#example-allow-specific-memorydb-actions-resource)
## Beispiel 1: Erlauben Sie einem Benutzer vollen Zugriff auf bestimmte MemoryDB-Ressourcentypen
Die folgende Richtlinie erlaubt ausdrücklich den angegebenen `account-id` Vollzugriff auf alle Ressourcen vom Typ Subnetzgruppe, Sicherheitsgruppe und Cluster.
```
{
"Sid": "Example1",
"Effect": "Allow",
"Action": "memorydb:*",
"Resource": [
"arn:aws:memorydb:us-east-1:account-id:subnetgroup/*",
"arn:aws:memorydb:us-east-1:account-id:securitygroup/*",
"arn:aws:memorydb:us-east-1:account-id:cluster/*"
]
}
```
## Beispiel 2: Verweigern Sie einem Benutzer den Zugriff auf einen Cluster.
Im folgenden Beispiel wird der angegebene `account-id` Zugriff auf einen bestimmten Cluster explizit verweigert.
```
{
"Sid": "Example2",
"Effect": "Deny",
"Action": "memorydb:*",
"Resource": [
"arn:aws:memorydb:us-east-1:account-id:cluster/name"
]
}
```
# Verwenden von dienstverknüpften Rollen für MemoryDB
[MemoryDB verwendet dienstgebundene Rollen AWS Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Eine dienstgebundene Rolle ist ein einzigartiger Typ von IAM-Rolle, die direkt mit einem AWS Dienst verknüpft ist, z. B. MemoryDB. Serviceverknüpfte MemoryDB-Rollen sind von MemoryDB vordefiniert. Sie enthalten alle Berechtigungen, die der Dienst benötigt, um AWS -Dienste im Namen Ihrer Cluster aufzurufen.
Eine dienstverknüpfte Rolle erleichtert die Einrichtung von MemoryDB, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Die Rollen existieren bereits in Ihrem AWS Konto, sind jedoch mit MemoryDB-Anwendungsfällen verknüpft und verfügen über vordefinierte Berechtigungen. Nur MemoryDB kann diese Rollen übernehmen, und nur diese Rollen können die vordefinierte Berechtigungsrichtlinie verwenden. Sie können die Rollen nur nach dem Löschen der zugehörigen Ressourcen löschen. Dadurch werden Ihre MemoryDB-Ressourcen geschützt, da Sie die für den Zugriff auf die Ressourcen erforderlichen Berechtigungen nicht versehentlich entfernen können.
Informationen zu anderen Services, die serviceverknüpften Rollen unterstützen, finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie nach den Services, für die **Ja** in der Spalte **Serviceverknüpfte Rolle** angegeben ist. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
**Contents**
+ [Berechtigungen von serviceverknüpften Rollen](#service-linked-role-permissions)
+ [Erstellen einer serviceverknüpften Rolle (IAM)](#create-service-linked-role-iam)
+ [Verwenden der IAM-Konsole](#create-service-linked-role-iam-console)
+ [Verwenden der IAM-CLI](#create-service-linked-role-iam-cli)
+ [Verwenden der IAM-API](#create-service-linked-role-iam-api)
+ [Bearbeiten der Beschreibung einer serviceverknüpften Rolle](#edit-service-linked-role)
+ [Verwenden der IAM-Konsole](#edit-service-linked-role-iam-console)
+ [Verwenden der IAM-CLI](#edit-service-linked-role-iam-cli)
+ [Verwenden der IAM-API](#edit-service-linked-role-iam-api)
+ [Löschen einer dienstverknüpften Rolle für MemoryDB](#delete-service-linked-role)
+ [Bereinigen einer serviceverknüpften Rolle](#service-linked-role-review-before-delete)
+ [Löschen einer serviceverknüpften Rolle (IAM-Konsole)](#delete-service-linked-role-iam-console)
+ [Löschen einer serviceverknüpften Rolle (IAM-CLI)](#delete-service-linked-role-iam-cli)
+ [Löschen einer serviceverknüpften Rolle (IAM-API)](#delete-service-linked-role-iam-api)
## Dienstbezogene Rollenberechtigungen für MemoryDB
MemoryDB verwendet die dienstgebundene Rolle DB. Diese Richtlinie ermöglicht es **AWSServiceRoleForMemoryMemoryDB**, AWS Ressourcen in Ihrem Namen zu verwalten, sofern dies für die Verwaltung Ihrer Cluster erforderlich ist.
Die AWSService RoleForMemory Berechtigungsrichtlinie für datenbankbezogene Rollen ermöglicht es MemoryDB, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws-cn:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"AmazonMemoryDBManaged"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws-cn:ec2:*:*:network-interface/*",
"arn:aws-cn:ec2:*:*:subnet/*",
"arn:aws-cn:ec2:*:*:security-group/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "arn:aws-cn:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/AmazonMemoryDBManaged": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "arn:aws-cn:ec2:*:*:security-group/*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/MemoryDB"
}
}
}
]
}
```
------
Weitere Informationen finden Sie unter [AWS verwaltete Richtlinie: Arbeitsspeicher DBService RolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-memorydbServiceRolePolicy).
**Um einer IAM-Entität zu ermöglichen, dienstverknüpfte DB-Rollen zu erstellen AWSService RoleForMemory**
Die folgende Berechtigungsanweisung zu den Berechtigungen für diese IAM-Entität hinzufügen:
```
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB*",
"Condition": {"StringLike": {"iam:AWS ServiceName": "memorydb.amazonaws.com"}}
}
```
**Um einer IAM-Entität zu ermöglichen, dienstverknüpfte DB-Rollen zu löschen AWSService RoleForMemory**
Die folgende Berechtigungsanweisung zu den Berechtigungen für diese IAM-Entität hinzufügen:
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB*",
"Condition": {"StringLike": {"iam:AWS ServiceName": "memorydb.amazonaws.com"}}
}
```
Alternativ können Sie eine AWS verwaltete Richtlinie verwenden, um vollen Zugriff auf MemoryDB zu gewähren.
## Erstellen einer serviceverknüpften Rolle (IAM)
Sie können eine serviceverknüpfte Rolle mithilfe der IAM-Konsole, der CLI oder API erstellen.
### Erstellen einer serviceverknüpften Rolle (IAM-Konsole)
Sie können die IAM-Konsole für das Erstellen einer serviceverknüpften Rolle verwenden.
**So erstellen Sie eine serviceverknüpfte Rolle (Konsole)**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. **Wählen Sie im linken Navigationsbereich der IAM-Konsole Rollen aus.** Klicken Sie auf **Create New Role (Neue Rolle erstellen)**.
1. Wählen Sie unter **Select type of trusted entity (Typ der vertrauenswürdigen Entität auswählen)** die Option **AWS -Service** aus.
1. Wählen Sie unter **Oder wählen Sie einen Dienst aus, um seine Anwendungsfälle anzuzeigen**, die Option **MemoryDB** aus.
1. Wählen Sie **Weiter: Berechtigungen** aus.
1. Beachten Sie unter **Richtlinienname**, dass `MemoryDBServiceRolePolicy` für diese Rolle erforderlich ist. Wählen Sie **Weiter: Tags** aus.
1. Beachten Sie, dass Tags für serviceverknüpfte Rollen nicht unterstützt werden. Klicken Sie auf **Next:Review** (Weiter: Prüfen).
1. (Optional:) Bearbeiten Sie in **Role description** die Beschreibung für die neue serviceverknüpfte Rolle.
1. Prüfen Sie die Rolle und klicken Sie dann auf **Rolle erstellen**.
### Erstellen einer serviceverknüpften Rolle (IAM-CLI)
Sie können IAM-Operationen von verwenden, um eine dienstverknüpfte AWS Command Line Interface Rolle zu erstellen. Diese Rolle kann die Vertrauensrichtlinie, sowie die enthaltenen Richtlinien enthalten, die der Service für die Zuweisung der Rolle benötigt.
**So erstellen Sie eine serviceverknüpfte Rolle (CLI)**
Führen Sie die folgenden Operationen aus:
```
$ aws iam [create-service-linked-role](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) --aws-service-name memorydb.amazonaws.com
```
### Erstellen einer serviceverknüpften Rolle (IAM-API)
Sie können die IAM-API für das Erstellen einer serviceverknüpften Rolle verwenden. Diese Rolle kann die Vertrauensrichtlinie, sowie die enthaltenen Richtlinien enthalten, die der Service für die Zuweisung der Rolle benötigt.
**So erstellen Sie eine serviceverknüpfte Rolle (API)**
Verwenden Sie den [CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html)-API-Aufruf. Geben Sie in der Anforderung einen Servicenamen im Format `memorydb.amazonaws.com` an.
## Die Beschreibung einer serviceverknüpften Rolle für MemoryDB bearbeiten
MemoryDB erlaubt es Ihnen nicht, die dienstverknüpfte DB-Rolle zu bearbeiten. AWSService RoleForMemory Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten.
### Bearbeiten der Beschreibung einer serviceverknüpften Rolle (IAM-Konsole)
Sie können die IAM-Konsole für das Bearbeiten der Beschreibung einer serviceverknüpften Rolle verwenden.
**So bearbeiten Sie die Beschreibung einer serviceverknüpften Rolle (Konsole)**
1. **Wählen Sie im linken Navigationsbereich der IAM-Konsole die Option Rollen aus.**
1. Wählen Sie den Namen der zu ändernden Rolle.
1. Wählen Sie neben **Role description** ganz rechts **Edit**.
1. Geben Sie eine neue Beschreibung im Dialogfeld ein und klicken Sie auf **Save (Speichern)**.
### Bearbeiten der Beschreibung einer serviceverknüpften Rolle (IAM-CLI)
Sie können IAM-Operationen von aus verwenden, AWS Command Line Interface um eine mit einem Dienst verknüpfte Rollenbeschreibung zu bearbeiten.
**So ändern Sie die Beschreibung einer serviceverknüpften Rolle (CLI)**
1. (Optional) Verwenden Sie den Vorgang for IAM, um die aktuelle Beschreibung AWS CLI für eine Rolle anzuzeigen. `[get-role](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)`
**Example**
```
$ aws iam [get-role](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html) --role-name AWSServiceRoleForMemoryDB
```
Verwenden Sie den Rollennamen, nicht den ARN, um sich auf Rollen mit den CLI-Operationen zu beziehen. Wenn eine Rolle zum Beispiel folgenden ARN hat: `arn:aws:iam::123456789012:role/myrole`, verweisen Sie auf die Rolle als **myrole**.
1. Verwenden Sie den Vorgang AWS CLI for IAM, um die Beschreibung einer serviceverknüpften Rolle zu aktualisieren. `[update-role-description](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)`
Für Linux, macOS oder Unix:
```
$ aws iam [update-role-description](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html) \
--role-name AWSServiceRoleForMemoryDB \
--description "new description"
```
Für Windows:
```
$ aws iam [update-role-description](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html) ^
--role-name AWSServiceRoleForMemoryDB ^
--description "new description"
```
### Bearbeiten der Beschreibung einer serviceverknüpften Rolle (IAM-API)
Sie können die IAM-API für das Bearbeiten der Beschreibung einer serviceverknüpften Rolle verwenden.
**So ändern Sie die Beschreibung einer serviceverknüpften Rolle (API)**
1. (Optional) Um die aktuelle Beschreibung einer Rolle anzuzeigen, verwenden Sie die IAM-API-Operation [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html).
**Example**
```
https://iam.amazonaws.com/
?Action=[GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)
&RoleName=AWSServiceRoleForMemoryDB
&Version=2010-05-08
&AUTHPARAMS
```
1. Um die Beschreibung einer Rolle zu aktualisieren, verwenden Sie die IAM-API-Operation [UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html).
**Example**
```
https://iam.amazonaws.com/
?Action=[UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)
&RoleName=AWSServiceRoleForMemoryDB
&Version=2010-05-08
&Description="New description"
```
## Löschen einer dienstverknüpften Rolle für MemoryDB
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie löschen können.
MemoryDB löscht die dienstverknüpfte Rolle nicht für Sie.
### Bereinigen einer serviceverknüpften Rolle
Bevor Sie IAM verwenden können, um eine dienstverknüpfte Rolle zu löschen, stellen Sie zunächst sicher, dass der Rolle keine Ressourcen (Cluster) zugeordnet sind.
**So überprüfen Sie in der IAM-Konsole, ob die serviceverknüpfte Rolle über eine aktive Sitzung verfügt**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. **Wählen Sie im linken Navigationsbereich der IAM-Konsole Rollen aus.** Wählen Sie dann den Namen (nicht das Kontrollkästchen) der AWSService RoleForMemory DB-Rolle aus.
1. Wählen Sie auf der Seite **Summary** für die ausgewählte Rolle die Registerkarte **Access Advisor**.
1. Überprüfen Sie auf der Registerkarte **Access Advisor** die jüngsten Aktivitäten für die serviceverknüpfte Rolle.
**Um MemoryDB-Ressourcen zu löschen, die AWSService RoleForMemory DB (Konsole) benötigen**
+ Informationen zum Löschen eines Clusters finden Sie unter:
+ [Mit dem AWS-Managementkonsole](getting-started.md#clusters.deleteclusters.viewdetails)
+ [Verwenden Sie den AWS CLI](getting-started.md#clusters.delete.cli)
+ [Verwenden der MemoryDB-API](getting-started.md#clusters.delete.api)
### Löschen einer serviceverknüpften Rolle (IAM-Konsole)
Sie können die IAM-Konsole für das Löschen einer serviceverknüpften Rolle verwenden.
**So löschen Sie eine serviceverknüpfte Rolle (Konsole)**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. **Wählen Sie im linken Navigationsbereich der IAM-Konsole Rollen aus.** Aktivieren Sie dann das Kontrollkästchen neben dem Rollennamen, den Sie löschen möchten, nicht den Namen oder die Zeile selbst.
1. Wählen Sie für **Role actions** oben auf der Seite **Delete role** aus.
1. Überprüfen Sie auf der Bestätigungsseite die Daten, auf die der Dienst zuletzt zugegriffen hat. Aus diesen Daten geht hervor, wann jede der ausgewählten Rollen zuletzt auf einen AWS Dienst zugegriffen hat. Auf diese Weise können Sie leichter bestätigen, ob die Rolle derzeit aktiv ist. Wenn Sie fortfahren möchten, wählen Sie **Yes, Delete** aus, um die serviceverknüpfte Rolle zur Löschung zu übermitteln.
1. Sehen Sie sich die Benachrichtigungen in der IAM-Konsole an, um den Fortschritt der Löschung der serviceverknüpften Rolle zu überwachen. Da die Löschung der serviceverknüpften IAM-Rolle asynchron erfolgt, kann die Löschung nach dem Übermitteln der Rolle für die Löschung erfolgreich sein oder fehlschlagen. Wenn der Vorgang fehlschlägt, können Sie in den Benachrichtigungen **View details** oder **View Resources** auswählen, um zu erfahren, warum die Löschung fehlgeschlagen ist.
### Löschen einer serviceverknüpften Rolle (IAM-CLI)
Sie können IAM-Operationen von verwenden, AWS Command Line Interface um eine dienstverknüpfte Rolle zu löschen.
**So löschen Sie eine serviceverknüpfte Rolle (CLI)**
1. Wenn Sie den Namen der serviceverknüpften Rolle, die Sie löschen möchten, nicht kennen, geben Sie den folgenden Befehl ein. Dieser Befehl listet die Rollen und ihre Amazon-Ressourcennamen (ARNs) in Ihrem Konto auf.
```
$ aws iam [get-role](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html) --role-name role-name
```
Verwenden Sie den Rollennamen, nicht den ARN, um sich auf Rollen mit den CLI-Operationen zu beziehen. Wenn eine Rolle zum Beispiel den ARN `arn:aws:iam::123456789012:role/myrole` hat, verweisen Sie auf die Rolle als **myrole**.
1. Da eine serviceverknüpfte Rolle nicht gelöscht werden kann, wenn sie verwendet wird oder ihr Ressourcen zugeordnet sind, müssen Sie eine Löschungsanforderung übermitteln. Diese Anforderung kann verweigert werden, wenn diese Bedingungen nicht erfüllt sind. Sie benötigen die `deletion-task-id` aus der Antwort, um den Status der Löschaufgabe zu überprüfen. Geben Sie Folgendes ein, um eine Anforderung zum Löschen einer serviceverknüpften Rolle abzusenden.
```
$ aws iam [delete-service-linked-role](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html) --role-name role-name
```
1. Geben Sie Folgendes ein, um den Status der Löschaufgabe zu überprüfen.
```
$ aws iam [get-service-linked-role-deletion-status](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html) --deletion-task-id deletion-task-id
```
Der Status der Löschaufgabe kann `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` oder `FAILED` lauten. Wenn die Löschung fehlschlägt, gibt der Aufruf den Grund zurück, sodass Sie das Problem beheben können.
### Löschen einer serviceverknüpften Rolle (IAM-API)
Sie können die IAM-API zum Löschen einer serviceverknüpften Rolle verwenden.
**So löschen Sie eine serviceverknüpfte Rolle (API)**
1. Um eine Löschanfrage für eine serviceverknüpfte Rolle zu übermitteln, rufen Sie [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html) auf. Geben Sie in der Anforderung einen Rollennamen an.
Da eine serviceverknüpfte Rolle nicht gelöscht werden kann, wenn sie verwendet wird oder ihr Ressourcen zugeordnet sind, müssen Sie eine Löschungsanforderung übermitteln. Diese Anforderung kann verweigert werden, wenn diese Bedingungen nicht erfüllt sind. Sie benötigen die `DeletionTaskId` aus der Antwort, um den Status der Löschaufgabe zu überprüfen.
1. Um den Status der Löschung zu überprüfen, rufen Sie [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html) auf. Geben Sie in der Anforderung die `DeletionTaskId` an.
Der Status der Löschaufgabe kann `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` oder `FAILED` lauten. Wenn die Löschung fehlschlägt, gibt der Aufruf den Grund zurück, sodass Sie das Problem beheben können.
# AWS verwaltete Richtlinien für MemoryDB
Um Benutzern, Gruppen und Rollen Berechtigungen hinzuzufügen, ist es einfacher, AWS verwaltete Richtlinien zu verwenden, als Richtlinien selbst zu schreiben. Es erfordert Zeit und Fachwissen, um [von Kunden verwaltete IAM-Richtlinien zu erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html), die Ihrem Team nur die benötigten Berechtigungen bieten. Um schnell loszulegen, können Sie unsere AWS verwalteten Richtlinien verwenden. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS Konto verfügbar. Weitere Informationen zu AWS verwalteten Richtlinien finden Sie unter [AWS Verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
AWS Dienste verwalten und aktualisieren AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Services fügen einer von AWS verwalteten Richtlinien gelegentlich zusätzliche Berechtigungen hinzu, um neue Features zu unterstützen. Diese Art von Update betrifft alle Identitäten (Benutzer, Gruppen und Rollen), an welche die Richtlinie angehängt ist. Services aktualisieren eine von AWS verwaltete Richtlinie am ehesten, ein neues Feature gestartet wird oder neue Vorgänge verfügbar werden. Dienste entfernen keine Berechtigungen aus einer AWS verwalteten Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.
AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die **ReadOnlyAccess** AWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alle AWS Dienste und Ressourcen. Wenn ein Dienst eine neue Funktion startet, werden nur Leseberechtigungen für neue Operationen und Ressourcen AWS hinzugefügt. Eine Liste und Beschreibungen der Richtlinien für Auftragsfunktionen finden Sie in [Verwaltete AWS -Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Leitfaden*.
## AWS verwaltete Richtlinie: Arbeitsspeicher DBService RolePolicy
Sie können die Richtlinie für den DBService RolePolicy AWS verwalteten Speicher nicht mit Identitäten in Ihrem Konto verknüpfen. Diese Richtlinie ist Teil der serviceverknüpften AWS MemoryDB-Rolle. Diese Rolle ermöglicht es dem Dienst, Netzwerkschnittstellen und Sicherheitsgruppen in Ihrem Konto zu verwalten.
MemoryDB verwendet die Berechtigungen in dieser Richtlinie, um EC2-Sicherheitsgruppen und Netzwerkschnittstellen zu verwalten. Dies ist für die Verwaltung von MemoryDB-Clustern erforderlich.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws-cn:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"AmazonMemoryDBManaged"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws-cn:ec2:*:*:network-interface/*",
"arn:aws-cn:ec2:*:*:subnet/*",
"arn:aws-cn:ec2:*:*:security-group/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "arn:aws-cn:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/AmazonMemoryDBManaged": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "arn:aws-cn:ec2:*:*:security-group/*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/MemoryDB"
}
}
}
]
}
```
------
## AWS-verwaltete (vordefinierte) Richtlinien für MemoryDB
AWS adressiert viele gängige Anwendungsfälle durch die Bereitstellung eigenständiger IAM-Richtlinien, die von erstellt und verwaltet werden. AWS Die verwalteten Richtlinien erteilen die erforderlichen Berechtigungen für viele häufige Anwendungsfälle, sodass Sie nicht mühsam ermitteln müssen, welche Berechtigungen erforderlich sind. Weitere Informationen finden Sie unter [AWS -verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
Die folgenden AWS verwalteten Richtlinien, die Sie Benutzern in Ihrem Konto zuordnen können, gelten nur für MemoryDB:
### AmazonMemoryDBReadOnlyAccess
Sie können die `AmazonMemoryDBReadOnlyAccess`-Richtlinie an Ihre IAM-Identitäten anfügen. Diese Richtlinie gewährt Administratorberechtigungen, die nur Lesezugriff auf alle MemoryDB-Ressourcen ermöglichen.
**AmazonMemoryDBReadOnlyAccess**- Gewährt schreibgeschützten Zugriff auf MemoryDB-Ressourcen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"memorydb:Describe*",
"memorydb:List*"
],
"Resource": "*"
}]
}
```
------
### AmazonMemoryDBFullZugriff
Sie können die `AmazonMemoryDBFullAccess`-Richtlinie an Ihre IAM-Identitäten anfügen. Diese Richtlinie gewährt Administratorberechtigungen, die vollen Zugriff auf alle MemoryDB-Ressourcen ermöglichen.
**AmazonMemoryDBFullZugriff** — Gewährt vollen Zugriff auf MemoryDB-Ressourcen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "memorydb:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "memorydb.amazonaws.com"
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "memorydb:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws-cn:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "memorydb.amazonaws.com"
}
}
}
]
}
```
------
Sie können auch Ihre eigenen benutzerdefinierten IAM-Richtlinien erstellen, um Berechtigungen für MemoryDB-API-Aktionen zu gewähren. Die benutzerdefinierten Richtlinien können Sie dann den IAM-Benutzern oder -Gruppen zuweisen, die diese Berechtigungen benötigen.
## MemoryDB-Updates für verwaltete Richtlinien AWS
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für MemoryDB an, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen. Abonnieren Sie den RSS-Feed auf der Seite MemoryDB-Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [AWS verwaltete Richtlinie: Arbeitsspeicher DBService RolePolicy](#security-iam-awsmanpol-memorydbServiceRolePolicy)— Richtlinie wird hinzugefügt | Memory DBService RolePolicy hat die Berechtigung für memorydb hinzugefügt:. ReplicateMultiRegionClusterData Diese Berechtigung ermöglicht es der serviceverknüpften Rolle, Daten für MemoryDB-Cluster mit mehreren Regionen zu replizieren. | 01.12.2024 |
| [AmazonMemoryDBFullZugriff](#iam.identitybasedpolicies.predefinedpolicies-fullaccess)— Richtlinie wird hinzugefügt | MemoryDB hat neue Berechtigungen hinzugefügt, um unterstützte Ressourcen zu beschreiben und aufzulisten. Diese Berechtigungen sind erforderlich, damit MemoryDB alle unterstützten Ressourcen in einem Konto abfragen kann. | 10.07.2021 |
| [AmazonMemoryDBReadOnlyAccess](#iam.identitybasedpolicies.predefinedpolicies-readonly)— Richtlinie hinzufügen | MemoryDB hat neue Berechtigungen hinzugefügt, um unterstützte Ressourcen zu beschreiben und aufzulisten. Diese Berechtigungen sind erforderlich, damit MemoryDB kontobasierte Anwendungen erstellen kann, indem alle unterstützten Ressourcen in einem Konto abgefragt werden. | 10.07.2021 |
| MemoryDB hat begonnen, Änderungen zu verfolgen | Servicestart | 19.8.2021 |
# MemoryDB-API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen
Wenn Sie [Zugriffskontroll](iam.md#iam.accesscontrol) - und Schreibberechtigungsrichtlinien einrichten, um sie an eine IAM-Richtlinie anzuhängen (entweder identitäts- oder ressourcenbasiert), verwenden Sie die folgende Tabelle als Referenz. In der Tabelle sind alle MemoryDB-API-Operationen und die entsprechenden Aktionen aufgeführt, für die Sie Berechtigungen zur Ausführung der Aktion erteilen können. Sie geben die Aktionen im Feld `Action` der Richtlinie und einen Ressourcenwert im Feld `Resource` der Richtlinie an. Sofern nicht anders angegeben, ist die Ressource erforderlich. Einige Felder enthalten sowohl eine erforderliche Ressource als auch optionale Ressourcen. Wenn kein Ressourcen-ARN vorhanden ist, ist die Ressource in der Richtlinie als Platzhalter (\$1) dargestellt.
**Anmerkung**
Um eine Aktion anzugeben, verwenden Sie das Präfix `memorydb:` gefolgt vom Namen der API-Operation (z. B. `memorydb:DescribeClusters`).
Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.
**MemoryDB-API und erforderliche Berechtigungen für Aktionen**
| MemoryDB-API-Operationen | Erforderliche Berechtigungen (API-Aktionen) | Ressourcen |
| --- | --- | --- |
| [BatchUpdateCluster](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_BatchUpdateCluster.html) | `memorydb:BatchUpdateCluster` | Cluster |
| [CopySnapshot](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CopySnapshot.html) | `memorydb:CopySnapshot` `memorydb:TagResource` `s3:GetBucketLocation` `s3:ListAllMyBuckets` | Snapshot (Quelle, Ziel) \$1 \$1 |
| [CreateCluster](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateCluster.html) | `memorydb:CreateCluster` `memorydb:TagResource` `s3:GetObject` Wenn Sie den Parameter `SnapshotArns` verwenden, benötigt jedes Mitglied der `SnapshotArns`-Liste seine eigene `s3:GetObject`-Berechtigung mit dem `s3`-ARN als Ressource. | Parametergruppe. (Optional) Cluster, Snapshot, Sicherheitsgruppen-IDs und Subnetzgruppe `arn:aws:s3:::my_bucket/snapshot1.rdb` Wobei*my\$1bucket*/für einen S3-Bucket und einen Snapshot *snapshot1* steht, aus dem Sie den Cluster erstellen möchten. |
| [CreateParameterGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateParameterGroup.html) | `memorydb:CreateParameterGroup` `memorydb:TagResource` | Parametergruppe |
| [CreateSubnetGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateSubnetGroup.html) | `memorydb:CreateSubnetGroup` `memorydb:TagResource` | Subnetzgruppe | \$1 |
| [CreateSnapshot](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateSnapshot.html) | `memorydb:CreateSnapshot` `memorydb:TagResource` | Schnappschuss, Cluster |
| [CreateUser](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateUser.html) | `memorydb:CreateUser` `memorydb:TagResource` | Benutzer |
| [ACL erstellen](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateACL.html) | `memorydb:CreateACL` `memorydb:TagResource` | Zugriffskontrollliste (ACL) |
| [UpdateCluster](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateCluster.html) | `memorydb:UpdateCluster` | Cluster |
| [DeleteCluster](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteCluster.html) | `memorydb:DeleteCluster` | Cluster. (Optional) Snapshot |
| [DeleteParameterGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteParameterGroup.html) | `memorydb:DeleteParameterGroup` | Parametergruppe |
| [DeleteSubnetGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteSubnetGroup.html) | `memorydb:DeleteSubnetGroup` | Subnetzgruppe |
| [DeleteSnapshot](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteSnapshot.html) | `memorydb:DeleteSnapshot` | Schnappschuss |
| [DeleteUser](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteUser.html) | `memorydb:DeleteUser` | Benutzer |
| [ACL löschen](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteACL.html) | `memorydb:DeleteACL` | ACL |
| [DescribeClusters](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeClusters.html) | `memorydb:DescribeClusters` | Cluster |
| [DescribeEngineVersions](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeEngineVersions.html) | `memorydb:DescribeEngineVersions` | Keine Ressourcen-ARN: \$1 |
| [DescribeParameterGroups](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeParameterGroups.html) | `memorydb:DescribeParameterGroups` | Parametergruppe |
| [DescribeParameters](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeParameters.html) | `memorydb:DescribeParameters` | Parametergruppe |
| [DescribeSubnetGroups](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeSubnetGroups.html) | `memorydb:DescribeSubnetGroups` | Subnetzgruppe | \$1 |
| [DescribeEvents](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeEvents.html) | `memorydb:DescribeEvents` | Keine Ressourcen-ARN: \$1 |
| [DescribeClusters](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeClusters.html) | `memorydb:DescribeClusters` | Cluster |
| [DescribeServiceUpdates](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeServiceUpdates.html) | `memorydb:DescribeServiceUpdates` | Keine Ressourcen-ARN: \$1 |
| [DescribeSnapshots](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeSnapshots.html) | `memorydb:DescribeSnapshots` | Schnappschuss |
| [DescribeUsers](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeUsers.html) | `memorydb:DescribeUsers` | Benutzer |
| [Beschreiben ACLs](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeACLs.html) | `memorydb:DescribeACLs` | ACLs |
| [ListAllowedNodeTypeUpdates](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_ListAllowedNodeTypeUpdates.html) | `memorydb:ListAllowedNodeTypeUpdates` | Cluster |
| [ListTags](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_ListTags.html) | `memorydb:ListTags` | (Optional) Cluster, Snapshot |
| [UpdateParameterGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateParameterGroup.html) | `memorydb:UpdateParameterGroup` | Parametergruppe |
| [UpdateSubnetGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateSubnetGroup.html) | `memorydb:UpdateSubnetGroup` | Subnetzgruppe |
| [UpdateCluster](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateCluster.html) | `memorydb:UpdateCluster` | Cluster. (Optional) Parametergruppe, Sicherheitsgruppe |
| [UpdateUser](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateUser.html) | `memorydb:UpdateUser` | Benutzer |
| [ACL aktualisieren](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateACL.html) | `memorydb:UpdateACL` | ACL |
| [UntagResource](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UntagResource.html) | `memorydb:UntagResource` | (Optional) Cluster, Snapshot |
| [ResetParameterGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_ResetParameterGroup.html) | `memorydb:ResetParameterGroup` | Parametergruppe |
| [FailoverShard](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_FailoverShard.html) | `memorydb:FailoverShard` | Cluster, Shard |