Información general sobre la administración de los permisos de acceso a los recursos de MemoryDB - Amazon MemoryDB

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Información general sobre la administración de los permisos de acceso a los recursos de MemoryDB

Cada AWS recurso es propiedad de una AWS cuenta y los permisos para crear o acceder a un recurso se rigen por las políticas de permisos. Un administrador de cuentas puede adjuntar políticas de permisos a IAM las identidades (es decir, usuarios, grupos y roles). Además, MemoryDB también permite adjuntar políticas de permisos a los recursos.

nota

Un administrador de cuentas (o usuario administrador) es un usuario que tiene privilegios de administrador. Para obtener más información, consulte las prácticas IAM recomendadas en la Guía del IAM usuario.

Para dar acceso, agregue permisos a los usuarios, grupos o roles:

Recursos y operaciones de MemoryDB

En MemoryDB, el recurso principal es un clúster.

Estos recursos tienen nombres de recursos de Amazon (ARNs) exclusivos asociados a ellos, como se muestra a continuación.

nota

Para que los permisos a nivel de recurso sean efectivos, el nombre del recurso en la ARN cadena debe estar en minúsculas.

Tipo de recurso ARNformato

Usuario

arn:aws:memorydb:us-east-1:123456789012: usuario/usuario 1

Lista de control de acceso () ACL

arn:aws:memorydb:us-east-1:123456789012:acl/myacl

Clúster

arn:aws:memorydb:us-east-1:123456789012: clúster/mi-clúster

Instantánea

arn:aws:memorydb:us-east-1:123456789012: snapshot/my-snapshot

Grupo de parámetros

arn:aws:memorydb:us-east-1:123456789012: grupo de parámetros/my-parameter-group

Subnet group (Grupo de subredes)

arn:aws:memorydb:us-east-1:123456789012: grupo de subredes/my-subnet-group

MemoryDB proporciona un conjunto de operaciones para trabajar con recursos de MemoryDB. Para obtener una lista de las operaciones disponibles, consulte MemoryDB Actions.

Titularidad de los recursos

El propietario de un recurso es la AWS cuenta que creó el recurso. Es decir, el propietario del recurso es la AWS cuenta de la entidad principal que autentica la solicitud que crea el recurso. Una entidad principal puede ser la cuenta raíz, un IAM usuario o un IAM rol. Los siguientes ejemplos ilustran cómo funciona:

  • Supongamos que utiliza las credenciales de la cuenta raíz de su AWS cuenta para crear un clúster. En este caso, su AWS cuenta es la propietaria del recurso. En MemoryDB, el recurso es el clúster.

  • Supongamos que crea un IAM usuario en su AWS cuenta y concede permisos para crear un clúster a ese usuario. En este caso, el usuario puede crear un clúster. Sin embargo, su AWS cuenta, a la que pertenece el usuario, es propietaria del recurso del clúster.

  • Supongamos que crea un IAM rol en su AWS cuenta con permisos para crear un clúster. En este caso, cualquiera que pueda asumir el rol puede crear un clúster. Su AWS cuenta, a la que pertenece el rol, es propietaria del recurso del clúster.

Administración del acceso a los recursos de

Una política de permisos describe quién tiene acceso a qué. En la siguiente sección se explican las opciones disponibles para crear políticas de permisos.

nota

En esta sección se analiza el uso IAM en el contexto de MemoryDB. No proporciona información detallada sobre el IAM servicio. Para obtener IAM la documentación completa, consulte ¿Qué esIAM? en la Guía IAM del usuario. Para obtener información sobre IAM la sintaxis y las descripciones de las AWS IAMpolíticas, consulte la referencia de políticas en la Guía del IAM usuario.

Las políticas asociadas a una IAM identidad se denominan políticas basadas en la identidad (IAMpolíticas). Las políticas que se adjuntan a un recurso se denominan políticas basadas en recursos.

Políticas basadas en la identidad (políticas) IAM

Puede adjuntar políticas a las identidades. IAM Por ejemplo, puede hacer lo siguiente:

  • Asociar una política de permisos a un usuario o grupo de la cuenta: un administrador de la cuenta puede utilizar una política de permisos asociada a un usuario determinado para concederle permisos. En este caso, los permisos son para que ese usuario cree un recurso de MemoryDB, como un clúster, un grupo de parámetros o un grupo de seguridad.

  • Adjuntar una política de permisos a un rol (conceder permisos multicuenta): puedes adjuntar una política de permisos basada en la identidad a un IAM rol para conceder permisos multicuenta. Por ejemplo, el administrador de la cuenta A puede crear un rol para conceder permisos multicuentas a otra cuenta (por ejemplo, la AWS cuenta B) o a un servicio de la siguiente manera: AWS

    1. El administrador de la cuenta A crea un IAM rol y adjunta una política de permisos al rol que otorga permisos sobre los recursos de la cuenta A.

    2. El administrador de la CuentaA asocia una política de confianza al rol que identifica la Cuenta B como la entidad principal que puede asumir el rol.

    3. A continuación, el administrador de la cuenta B puede delegar los permisos para asumir la función en cualquier usuario de la cuenta B. De este modo, los usuarios de la cuenta B pueden crear recursos de la cuenta A. En algunos casos, es posible que desee conceder permisos a un AWS servicio para que asuma la función. Para respaldar este enfoque, la entidad principal de la política de confianza también puede ser la entidad principal de un servicio de AWS .

    Para obtener más información sobre cómo IAM delegar permisos, consulte Administración del acceso en la Guía del IAM usuario.

El siguiente es un ejemplo de política que permite a un usuario realizar la DescribeClusters acción en su AWS cuenta. MemoryDB también permite identificar recursos específicos utilizando el recurso ARNs para API realizar acciones. Este enfoque también se conoce como "permisos a nivel de recursos".

{ "Version": "2012-10-17", "Statement": [{ "Sid": "DescribeClusters", "Effect": "Allow", "Action": [ "memorydb:DescribeClusters"], "Resource": resource-arn } ] }

Para obtener más información acerca del uso de políticas basadas en identidades con MemoryDB, consulte Uso de políticas basadas en la identidad (IAMpolíticas) para MemoryDB. Para obtener más información sobre los usuarios, los grupos, las funciones y los permisos, consulte Identidades (usuarios, grupos y funciones) en la Guía del IAMusuario.

Especificación de elementos de política: acciones, efectos, recursos y entidades principales

Para cada recurso de MemoryDB (consulteRecursos y operaciones de MemoryDB), el servicio define un conjunto de API operaciones (consulte Acciones). Para conceder permisos para estas API operaciones, MemoryDB define un conjunto de acciones que se pueden especificar en una política. Por ejemplo, para el recurso del clúster de MemoryDB, se definen las siguientes acciones: CreateCluster, DeleteCluster y DescribeClusters. La realización de una API operación puede requerir permisos para más de una acción.

A continuación se indican los elementos más básicos de la política:

  • Recurso: en una política, se utiliza un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política. Para obtener más información, consulte Recursos y operaciones de MemoryDB.

  • Acción: utilice palabras clave de acción para identificar las operaciones del recurso que desea permitir o denegar. Por ejemplo, según lo especificadoEffect, el memorydb:CreateCluster permiso permite o deniega al usuario los permisos para realizar la operación de MemoryDB. CreateCluster

  • Efecto: especifique el efecto que se producirá cuando el usuario solicite la acción específica; puede ser permitir o denegar. Si no concede acceso de forma explícita (permitir) a un recurso, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso. Por ejemplo, esto puede servir para asegurarse de que un usuario no pueda tener acceso al recurso, aunque otra política le conceda acceso.

  • Principal: en las políticas basadas en la identidad (IAMpolíticas), el usuario al que está asociada la política es el principal implícito. Para las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad que desee que reciba permisos (se aplica solo a las políticas basadas en recursos).

Para obtener más información sobre la sintaxis y las descripciones de las IAM políticas, consulte la referencia AWS IAM de políticas en la Guía del IAM usuario.

Para ver una tabla que muestra todas las API acciones de MemoryDB, consulte. APIPermisos de MemoryDB: referencia de acciones, recursos y condiciones

Especificación de las condiciones de una política

Al conceder permisos, puede utilizar el lenguaje de la IAM política para especificar las condiciones en las que una política debe entrar en vigor. Por ejemplo, es posible que desee que solo se aplique una política después de una fecha específica. Para obtener más información sobre cómo especificar las condiciones en el lenguaje de una política, consulte Condición en la Guía del IAM usuario.