Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Información general sobre la administración de los permisos de acceso a los recursos de MemoryDB
Cada AWS recurso es propiedad de una AWS cuenta y los permisos para crear un recurso o acceder a él se rigen por las políticas de permisos. Un administrador de cuentas puede asociar políticas de permisos a identidades de IAM (es decir, usuarios, grupos y funciones). Además, MemoryDB también permite adjuntar políticas de permisos a los recursos.
**nota**
Un *administrador de cuentas* (o usuario administrador) es un usuario que tiene privilegios de administrador. Para obtener más información, consulte [Prácticas recomendadas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
Para dar acceso, agregue permisos a los usuarios, grupos o roles:
+ Usuarios y grupos en AWS IAM Identity Center:
Cree un conjunto de permisos. Siga las instrucciones de [Creación de un conjunto de permisos](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) en la *Guía del usuario de AWS IAM Identity Center *.
+ Usuarios gestionados en IAM a través de un proveedor de identidades:
Cree un rol para la federación de identidades. Siga las instrucciones descritas en [Creación de un rol para un proveedor de identidad de terceros (federación)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) en la *Guía del usuario de IAM*.
+ Usuarios de IAM:
+ Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en [Creación de un rol para un usuario de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) en la *Guía del usuario de IAM*.
+ (No recomendado) Adjunte una política directamente a un usuario o agregue un usuario a un grupo de usuarios. Siga las instrucciones descritas en [Adición de permisos a un usuario (consola)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) de la *Guía del usuario de IAM*.
**Topics**
+ [Recursos y operaciones de MemoryDB](#iam.overview.resourcesandoperations)
+ [Titularidad de los recursos](#access-control-resource-ownership)
+ [Administración del acceso a los recursos](#iam.overview.managingaccess)
+ [Uso de políticas basadas en la identidad (políticas de IAM) para MemoryDB](iam.identitybasedpolicies.md)
+ [Permisos de nivel de recursos](iam.resourcelevelpermissions.md)
+ [Uso de roles vinculados a servicios para MemoryDB](using-service-linked-roles.md)
+ [AWS políticas administradas para MemoryDB](security-iam-awsmanpol.md)
+ [Permisos de la API de MemoryDB: referencia de acciones, recursos y condiciones](iam.APIReference.md)
## Recursos y operaciones de MemoryDB
En MemoryDB, el recurso principal es un *clúster*.
Estos recursos tienen nombres de recursos de Amazon (ARNs) exclusivos asociados a ellos, como se muestra a continuación.
**nota**
Para que los permisos de nivel de recursos sean efectivos, el nombre del recurso en la cadena de ARN debe estar en minúsculas.
****
| Tipo de recurso | Formato de ARN |
| --- | --- |
| Usuario | arn:aws:memorydb ::user/user1 *us-east-1:123456789012* |
| Lista de control de acceso (ACL) | arn:aws:memorydb :acl/myacl *us-east-1:123456789012* |
| Clúster | arn:aws:memorydb ::cluster/my-cluster *us-east-1:123456789012* |
| Snapshot | arn:aws:memorydb :snapshot/my-snapshot *us-east-1:123456789012* |
| Grupo de parámetros | arn:aws:memorydb ::parameter group/ *us-east-1:123456789012* my-parameter-group |
| Grupo de subredes | arn:aws:memorydb ::subnetgroup/ *us-east-1:123456789012* my-subnet-group |
MemoryDB proporciona un conjunto de operaciones para trabajar con recursos de MemoryDB. Para obtener una lista de operaciones disponibles, consulte [Acciones](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_Operations.html) de MemoryDB.
## Titularidad de los recursos
*El propietario de un recurso es la cuenta que creó el recurso.* AWS Es decir, el propietario del recurso es la AWS cuenta de la entidad principal que autentica la solicitud que crea el recurso. Una *entidad principal* puede ser la cuenta raíz, un usuario de IAM o un rol de IAM. Los siguientes ejemplos ilustran cómo funciona:
+ Supongamos que utiliza las credenciales de la cuenta raíz de su AWS cuenta para crear un clúster. En este caso, su AWS cuenta es la propietaria del recurso. En MemoryDB, el recurso es el clúster.
+ Supongamos que crea un usuario de IAM en su AWS cuenta y concede permisos para crear un clúster a ese usuario. En este caso, el usuario puede crear un clúster. Sin embargo, su AWS cuenta, a la que pertenece el usuario, es propietaria del recurso del clúster.
+ Supongamos que crea un rol de IAM en su AWS cuenta con permisos para crear un clúster. En este caso, cualquiera que pueda asumir el rol puede crear un clúster. Su AWS cuenta, a la que pertenece el rol, es propietaria del recurso del clúster.
## Administración del acceso a los recursos
Una *política de permisos* describe quién tiene acceso a qué. En la siguiente sección se explican las opciones disponibles para crear políticas de permisos.
**nota**
En esta sección se explica el uso de IAM en el contexto de MemoryDB. No se proporciona información detallada sobre el servicio de IAM. Para ver la documentación completa de IAM, consulte [¿Qué es IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) en la *Guía del usuario de IAM*. Para obtener más información acerca de la sintaxis y las descripciones de las políticas del IAM, consulte [Referencia de políticas de IAM de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) en la *Guía del usuario de IAM*.
Las políticas que se asocian a una identidad de IAM se denominan *políticas basadas en identidades* (o políticas de IAM). Las políticas que se adjuntan a un recurso se denominan *políticas basadas en recursos*.
**Topics**
+ [Políticas basadas en identidades (políticas de IAM)](#iam.overview.managingaccess.identitybasedpolicies)
+ [Especificación de elementos de política: acciones, efectos, recursos y entidades principales](#iam.overview.policyelements)
+ [Especificación de las condiciones de una política](#iam.specifyconditions)
### Políticas basadas en identidades (políticas de IAM)
Puede asociar políticas a identidades de IAM. Por ejemplo, puede hacer lo siguiente:
+ **Asociar una política de permisos a un usuario o grupo de la cuenta**: un administrador de la cuenta puede utilizar una política de permisos asociada a un usuario determinado para concederle permisos. En este caso, los permisos son para que ese usuario cree un recurso de MemoryDB, como un clúster, un grupo de parámetros o un grupo de seguridad.
+ **Adjuntar una política de permisos a un rol (conceder permisos para cuentas cruzadas)**: puede adjuntar una política de permisos basada en identidades a un rol de IAM para conceder permisos para cuentas cruzadas. Por ejemplo, el administrador de la cuenta A puede crear un rol para conceder permisos entre cuentas a otra AWS cuenta (por ejemplo, la cuenta B) o a un AWS servicio de la siguiente manera:
1. El administrador de la CuentaA crea un rol de IAM y asocia una política de permisos a dicho rol, que concede permisos sobre los recursos de la CuentaA.
1. El administrador de la CuentaA asocia una política de confianza al rol que identifica la Cuenta B como la entidad principal que puede asumir el rol.
1. A continuación, el administrador de la cuenta B puede delegar los permisos para asumir el rol en cualquier usuario de la cuenta B. De este modo, los usuarios de la cuenta B pueden crear o acceder a los recursos de la cuenta A. En algunos casos, es posible que desee conceder permisos a un AWS servicio para que asuma el rol. Para respaldar este enfoque, la entidad principal de la política de confianza también puede ser la entidad principal de un servicio de AWS .
Para obtener más información sobre el uso de IAM para delegar permisos, consulte [Administración de accesos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) en la *Guía del usuario de IAM*.
El siguiente es un ejemplo de política que permite a un usuario realizar la `DescribeClusters` acción en su AWS cuenta. MemoryDB también permite identificar recursos específicos mediante el uso del recurso ARNs para las acciones de la API. Este enfoque también se conoce como "permisos a nivel de recursos".
Para obtener más información acerca del uso de políticas basadas en identidades con MemoryDB, consulte [Uso de políticas basadas en la identidad (políticas de IAM) para MemoryDB](iam.identitybasedpolicies.md). Para obtener más información sobre usuarios, grupos, roles y permisos, consulte [Identidades (usuarios, grupos y roles)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) en la *Guía del usuario de IAM*.
### Especificación de elementos de política: acciones, efectos, recursos y entidades principales
En cada recurso de MemoryDB (consulte [Recursos y operaciones de MemoryDB](#iam.overview.resourcesandoperations)), el servicio define un conjunto de operaciones de la API (consulte [Acciones](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_Operations.html)). Para conceder permisos para estas operaciones de API, MemoryDB define un conjunto de acciones que usted puede especificar en una política. Por ejemplo, para el recurso del clúster de MemoryDB, se definen las siguientes acciones: `CreateCluster`, `DeleteCluster` y `DescribeClusters`. Para realizar una operación API pueden ser necesarios permisos para más de una acción.
A continuación se indican los elementos más básicos de la política:
+ **Recurso**: en una política, se usa un nombre de recurso de Amazon (ARN) para identificar el recurso al que se aplica la política. Para obtener más información, consulte [Recursos y operaciones de MemoryDB](#iam.overview.resourcesandoperations).
+ **Acción**: utilice palabras clave de acción para identificar las operaciones del recurso que desea permitir o denegar. Por ejemplo, en función del elemento `Effect` especificado, el permiso `memorydb:CreateCluster` permite o deniega al usuario los permisos para realizar la operación `CreateCluster` de MemoryDB.
+ **Efecto**: especifique el efecto que se producirá cuando el usuario solicite la acción específica; puede ser permitir o denegar. Si no concede acceso de forma explícita (permitir) a un recurso, el acceso se deniega implícitamente. También puede denegar explícitamente el acceso a un recurso. Por ejemplo, esto puede servir para asegurarse de que un usuario no pueda tener acceso al recurso, aunque otra política le conceda acceso.
+ **Entidad principal**: en las políticas basadas en identidades (políticas de IAM), el usuario al que se asocia esta política es la entidad principal implícita. Para las políticas basadas en recursos, debe especificar el usuario, la cuenta, el servicio u otra entidad que desee que reciba permisos (se aplica solo a las políticas basadas en recursos).
Para obtener más información sobre la sintaxis y descripciones de las políticas de IAM, consulte [Referencia de la política de IAM de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) en la *Guía del usuario de IAM*.
Para ver una tabla con todas las acciones de la API de MemoryDB, consulte [Permisos de la API de MemoryDB: referencia de acciones, recursos y condiciones](iam.APIReference.md).
### Especificación de las condiciones de una política
Al conceder permisos, puede utilizar el lenguaje de la política de IAM para especificar las condiciones en la que se debe aplicar una política. Por ejemplo, es posible que desee que solo se aplique una política después de una fecha específica. Para obtener más información sobre cómo especificar condiciones en un lenguaje de política, consulte [Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) en la *Guía del usuario de IAM*.
# Uso de políticas basadas en la identidad (políticas de IAM) para MemoryDB
Este tema contiene ejemplos de políticas basadas en identidades, donde los administradores de cuentas pueden asociar políticas de permisos a identidades de IAM (es decir, a usuarios, grupos y funciones).
**importante**
Le recomendamos que lea primero los temas en los que se explican los conceptos básicos y las opciones para administrar el acceso a sus recursos de MemoryDB. Para obtener más información, consulte [Información general sobre la administración de los permisos de acceso a los recursos de MemoryDB](iam.overview.md).
En las secciones de este tema se explica lo siguiente:
+ [Permisos necesarios para usar la consola de MemoryDB](#iam.identitybasedpolicies.minconpolicies)
+ [Políticas (predefinidas) administradas de AWS para MemoryDB](security-iam-awsmanpol.md#iam.identitybasedpolicies.predefinedpolicies)
+ [Ejemplos de políticas administradas por los clientes](#iam.identitybasedpolicies.customermanagedpolicies)
A continuación se muestra un ejemplo de una política de permisos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowClusterPermissions",
"Effect": "Allow",
"Action": [
"memorydb:CreateCluster",
"memorydb:DescribeClusters",
"memorydb:UpdateCluster"],
"Resource": "*"
},
{
"Sid": "AllowUserToPassRole",
"Effect": "Allow",
"Action": [ "iam:PassRole" ],
"Resource": "arn:aws:iam::123456789012:role/EC2-roles-for-cluster"
}
]
}
```
------
La política tiene dos instrucciones:
+ La primera declaración concede permisos para las acciones de MemoryDB (`memorydb:CreateCluster`, `memorydb:DescribeClusters` y `memorydb:UpdateCluster`) en cualquier clúster que sea propiedad de la cuenta.
+ La segunda declaración concede permisos para la acción de IAM (`iam:PassRole`) en el nombre de rol de IAM especificado al final del valor `Resource`.
La política no especifica el elemento `Principal`, ya que en una política basada en la identidad no se especifica la entidad principal que obtiene el permiso. Al asociar una política a un usuario, el usuario es la entidad principal implícita. Cuando asocia una política de permisos a un rol de IAM, la entidad principal identificada en la política de confianza de rol obtiene los permisos.
Para ver una tabla con todas las acciones de la API de MemoryDB y los recursos a los que se aplican, consulte [Permisos de la API de MemoryDB: referencia de acciones, recursos y condiciones](iam.APIReference.md).
## Permisos necesarios para usar la consola de MemoryDB
La tabla de referencia de los permisos muestra las operaciones de la API de MemoryDB e indica los permisos necesarios para cada operación. Para obtener más información sobre las operaciones de la API de MemoryDB, consulte [Permisos de la API de MemoryDB: referencia de acciones, recursos y condiciones](iam.APIReference.md).
Para usar la consola de MemoryDB, primero debe conceder permisos para realizar acciones adicionales, tal y como se muestra en la política de permisos siguiente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "MinPermsForMemDBConsole",
"Effect": "Allow",
"Action": [
"memorydb:Describe*",
"memorydb:List*",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeVpcs",
"ec2:DescribeAccountAttributes",
"ec2:DescribeSecurityGroups",
"cloudwatch:GetMetricStatistics",
"cloudwatch:DescribeAlarms",
"s3:ListAllMyBuckets",
"sns:ListTopics",
"sns:ListSubscriptions" ],
"Resource": "*"
}
]
}
```
------
La consola de MemoryDB necesita estos permisos adicionales por las siguientes razones:
+ Los permisos para las acciones de MemoryDB habilitan la consola para mostrar los recursos de MemoryDB de la cuenta.
+ La consola necesita permisos para que las `ec2` acciones consulten Amazon EC2 para poder mostrar las zonas de disponibilidad VPCs, los grupos de seguridad y los atributos de la cuenta.
+ Los permisos para `cloudwatch` las acciones permiten a la consola recuperar CloudWatch las métricas y alarmas de Amazon y mostrarlas en la consola.
+ Los permisos para las acciones de `sns` permiten a la consola recuperar suscripciones y temas de Amazon Simple Notification Service (Amazon SNS) y mostrarlos en la consola.
## Ejemplos de políticas administradas por los clientes
Si no está utilizando una política predeterminada y elige utilizar una política administrada de forma personalizada, asegúrese de una de las dos cosas. Debería tener permisos para llamar a `iam:createServiceLinkedRole` (para obtener más información, consulte [Ejemplo 4: Permitir que un usuario llame a la API de IAM CreateServiceLinkedRole](#create-service-linked-role-policy)). También puede haber creado un rol vinculado a un servicio de MemoryDB.
Combinadas con los permisos mínimos necesarios para usar la consola de MemoryDB, las políticas de ejemplo de esta sección conceden permisos adicionales. Los ejemplos también son relevantes para el AWS SDKs y el AWS CLI. Para obtener más información acerca de los permisos necesarios para usar la consola de MemoryDB, consulte [Permisos necesarios para usar la consola de MemoryDB](#iam.identitybasedpolicies.minconpolicies).
Para obtener instrucciones sobre la configuración de grupos y usuarios de IAM, consulte [Creación del primer grupo y usuario administrador de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) en la *Guía del usuario de IAM*.
**importante**
Pruebe siempre sus políticas de IAM antes de utilizarlas en entornos de producción. Algunas acciones de MemoryDB que parecen sencillas pueden requerir otras acciones de apoyo cuando se usa la consola de MemoryDB. Por ejemplo, `memorydb:CreateCluster` concede permisos para crear clústeres de MemoryDB. Sin embargo, para realizar esta operación, la consola de MemoryDB usa varias acciones `Describe` y `List` para rellenar las listas de la consola.
**Topics**
+ [Ejemplo 1: Permitir al usuario acceso de solo lectura a los recursos de MemoryDB](#example-allow-list-current-memorydb-resources)
+ [Ejemplo 2: Concesión de permiso a un usuario para realizar tareas comunes de administrador del sistema de MemoryDB](#example-allow-specific-memorydb-actions)
+ [Ejemplo 3: Permitir a un usuario obtener acceso a todas las acciones de la API de MemoryDB](#allow-unrestricted-access)
+ [Ejemplo 4: Permitir que un usuario llame a la API de IAM CreateServiceLinkedRole](#create-service-linked-role-policy)
### Ejemplo 1: Permitir al usuario acceso de solo lectura a los recursos de MemoryDB
La política siguiente concede permisos para usar acciones de MemoryDB que permiten a un usuario mostrar recursos. Normalmente, este tipo de política de permisos se adjunta a un grupo de administradores.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[{
"Sid": "MemDBUnrestricted",
"Effect":"Allow",
"Action": [
"memorydb:Describe*",
"memorydb:List*"],
"Resource":"*"
}
]
}
```
------
### Ejemplo 2: Concesión de permiso a un usuario para realizar tareas comunes de administrador del sistema de MemoryDB
Entre las tareas comunes de administrador del sistema se incluyen la modificación de clústeres, parámetros y grupos de parámetros. También es posible que el administrador del sistema quiera obtener información acerca de los eventos de MemoryDB. La siguiente política concede a un usuario permisos para realizar acciones de MemoryDB para estas tareas comunes de administrador del sistema. Normalmente, este tipo de política de permisos se adjunta al grupo de administradores del sistema.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MDBAllowSpecific",
"Effect": "Allow",
"Action": [
"memorydb:UpdateCluster",
"memorydb:DescribeClusters",
"memorydb:DescribeEvents",
"memorydb:UpdateParameterGroup",
"memorydb:DescribeParameterGroups",
"memorydb:DescribeParameters",
"memorydb:ResetParameterGroup"
],
"Resource": "*"
}
]
}
```
------
### Ejemplo 3: Permitir a un usuario obtener acceso a todas las acciones de la API de MemoryDB
La siguiente política permite a un usuario obtener acceso a todas las acciones de MemoryDB. Recomendamos que conceda este tipo de política de permisos solo a un usuario administrador.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[{
"Sid": "MDBAllowAll",
"Effect":"Allow",
"Action":[
"memorydb:*" ],
"Resource":"*"
}
]
}
```
------
### Ejemplo 4: Permitir que un usuario llame a la API de IAM CreateServiceLinkedRole
La siguiente política permite al usuario llamar a la API `CreateServiceLinkedRole` de IAM. Le recomendamos que conceda este tipo de política de permisos al usuario que invoca las operaciones de MemoryDB mutantes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"CreateSLRAllows",
"Effect":"Allow",
"Action":[
"iam:CreateServiceLinkedRole"
],
"Resource":"*",
"Condition":{
"StringLike":{
"iam:AWS ServiceName":"memorydb.amazonaws.com"
}
}
}
]
}
```
------
# Permisos de nivel de recursos
Puede restringir el alcance de los permisos de un usuario mediante la especificación de recursos en una política de IAM. Muchas acciones de la AWS CLI API admiten un tipo de recurso que varía en función del comportamiento de la acción. Cada instrucción de una política de IAM concede permiso para realizar una acción en un recurso. Cuando la acción no actúa sobre un recurso nombrado, o cuando se concede permiso para realizar la acción sobre todos los recursos, el valor del recurso en la política es un comodín (\$1). Para muchas acciones de API, puede restringir los recursos que un usuario puede modificar si especifica el nombre de recurso de Amazon (ARN) de un recurso o un patrón de ARN que coincida con varios recursos. Para restringir los permisos por recurso, especifique el recurso por ARN.
**Formato ARN de recursos de MemoryDB**
**nota**
Para que los permisos a nivel de recurso sean efectivos, el nombre del recurso en la cadena ARN debe estar en minúsculas.
+ Usuario: *us-east-1:123456789012* arn:aws:memorydb ::user/user1
+ ACL — arn:aws:memorydb :acl/my-acl *us-east-1:123456789012*
+ Clúster: arn:aws:memorydb ::cluster/my-cluster *us-east-1:123456789012*
+ Instantánea: arn:aws:memorydb ::snapshot/my-snapshot *us-east-1:123456789012*
+ Grupo de parámetros: arn:aws:memorydb ::parametergroup/ *us-east-1:123456789012* my-parameter-group
+ Grupo de subredes: arn:aws:memorydb *us-east-1:123456789012* ::subnetgroup/ my-subnet-group
**Topics**
+ [Ejemplo 1: Permitir a un usuario obtener acceso completo a tipos de recursos de MemoryDB específicos](#example-allow-list-current-memorydb-resources-resource)
+ [Ejemplo 2: Denegarle a un usuario el acceso a un clúster.](#example-allow-specific-memorydb-actions-resource)
## Ejemplo 1: Permitir a un usuario obtener acceso completo a tipos de recursos de MemoryDB específicos
La siguiente política permite de forma explícita el acceso completo del `account-id` especificado a todos los recursos de tipo grupo de subredes, grupo de seguridad y clúster.
```
{
"Sid": "Example1",
"Effect": "Allow",
"Action": "memorydb:*",
"Resource": [
"arn:aws:memorydb:us-east-1:account-id:subnetgroup/*",
"arn:aws:memorydb:us-east-1:account-id:securitygroup/*",
"arn:aws:memorydb:us-east-1:account-id:cluster/*"
]
}
```
## Ejemplo 2: Denegarle a un usuario el acceso a un clúster.
En el siguiente ejemplo se deniega de forma explícita el acceso del `account-id` especificado a un determinado clúster.
```
{
"Sid": "Example2",
"Effect": "Deny",
"Action": "memorydb:*",
"Resource": [
"arn:aws:memorydb:us-east-1:account-id:cluster/name"
]
}
```
# Uso de roles vinculados a servicios para MemoryDB
[MemoryDB utiliza funciones vinculadas al servicio AWS Identity and Access Management (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a un servicio, como MemoryDB. AWS MemoryDB predefine los roles vinculados a servicios de MemoryDB. Incluyen todos los permisos que requiere el servicio para llamar a otros servicios de AWS en nombre de los clústeres.
Un rol vinculado a un servicio simplifica la configuración de MemoryDB porque ya no tendrá que agregar manualmente los permisos necesarios. Los roles ya existen en su AWS cuenta, pero están vinculados a casos de uso de MemoryDB y tienen permisos predefinidos. Solo MemoryDB puede asumir estos roles, y solo estos roles pueden usar la política de permisos predefinida. Las funciones se pueden eliminar únicamente después de eliminar primero sus recursos relacionados. De esta forma se protegen los recursos de MemoryDB, ya que evita que se puedan eliminar accidentalmente permisos necesarios de acceso a los recursos.
Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestran **Sí** en la columna **Rol vinculado a un servicio**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
**Contents**
+ [Permisos de roles vinculados a servicios](#service-linked-role-permissions)
+ [Creación de un rol vinculado a servicios (IAM)](#create-service-linked-role-iam)
+ [Uso de la consola de IAM](#create-service-linked-role-iam-console)
+ [Uso de la CLI de IAM](#create-service-linked-role-iam-cli)
+ [Uso de la API de IAM](#create-service-linked-role-iam-api)
+ [Edición de la descripción de un rol vinculado a servicio](#edit-service-linked-role)
+ [Uso de la consola de IAM](#edit-service-linked-role-iam-console)
+ [Uso de la CLI de IAM](#edit-service-linked-role-iam-cli)
+ [Uso de la API de IAM](#edit-service-linked-role-iam-api)
+ [Eliminación de un rol vinculado a un servicio para MemoryDB](#delete-service-linked-role)
+ [Limpiar un rol vinculado a un servicio](#service-linked-role-review-before-delete)
+ [Eliminación de un rol vinculado a servicios (consola de IAM)](#delete-service-linked-role-iam-console)
+ [Eliminación de un rol vinculado a servicios (CLI de IAM)](#delete-service-linked-role-iam-cli)
+ [Eliminación de un rol vinculado a servicios (API de IAM)](#delete-service-linked-role-iam-api)
## Permisos de roles vinculados a servicios para MemoryDB
MemoryDB usa el rol vinculado al servicio denominado **AWSServiceRoleForMemoryDB. Esta política permite a MemoryDB** administrar los AWS recursos en su nombre según sea necesario para administrar sus clústeres.
La política de permisos de roles vinculados al servicio de AWSService RoleForMemory base de datos permite a MemoryDB realizar las siguientes acciones en los recursos especificados:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws-cn:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"AmazonMemoryDBManaged"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws-cn:ec2:*:*:network-interface/*",
"arn:aws-cn:ec2:*:*:subnet/*",
"arn:aws-cn:ec2:*:*:security-group/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "arn:aws-cn:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/AmazonMemoryDBManaged": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "arn:aws-cn:ec2:*:*:security-group/*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/MemoryDB"
}
}
}
]
}
```
------
Para obtener más información, consulte [AWS política gestionada: memoria DBService RolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-memorydbServiceRolePolicy).
**Para permitir que una entidad de IAM cree funciones vinculadas al servicio de base de datos AWSService RoleForMemory**
Agregue la siguiente instrucción de política a los permisos para esa entidad de IAM:
```
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB*",
"Condition": {"StringLike": {"iam:AWS ServiceName": "memorydb.amazonaws.com"}}
}
```
**Para permitir que una entidad de IAM elimine funciones vinculadas al servicio de base de datos AWSService RoleForMemory**
Agregue la siguiente instrucción de política a los permisos para esa entidad de IAM:
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB*",
"Condition": {"StringLike": {"iam:AWS ServiceName": "memorydb.amazonaws.com"}}
}
```
Como alternativa, puede utilizar una política AWS gestionada para proporcionar acceso completo a MemoryDB.
## Creación de un rol vinculado a servicios (IAM)
Puede crear un rol vinculado a servicios mediante la consola de IAM, la CLI o la API.
### Creación de un rol vinculado a servicios (consola de IAM)
Puede utilizar la consola de IAM para crear un rol vinculado a un servicio.
**Para crear un rol vinculado a un servicio (consola)**
1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. En el panel de navegación izquierdo de la consola de IAM, elija **Roles**. A continuación, elija **Create new role (Crear nuevo rol)**.
1. En **Select type of trusted entity** (Seleccionar el tipo de entidad de confianza), elija **AWS Service** (Servicio de ).
1. En **O seleccione un servicio para ver los casos de uso**, elija **MemoryDB**.
1. Elija **Siguiente: permisos**.
1. En **Policy name** (Nombre de la política), tenga en cuenta que `MemoryDBServiceRolePolicy` es necesario para este rol. Elija **Siguiente:Etiquetas**.
1. Tenga en cuenta que las etiquetas no son compatibles con los roles vinculados a servicios. Elija **Next: Review**.
1. (Opcional) En **Descripción del rol**, edite la descripción del nuevo rol vinculado al servicio.
1. Revise el rol y, a continuación, seleccione **Crear rol**.
### Creación de un rol vinculado a servicios (CLI de IAM)
Puede utilizar las operaciones de IAM desde el AWS Command Line Interface para crear un rol vinculado a un servicio. Este rol puede incluir la política de confianza y las políticas insertadas que el servicio necesita para asumir el rol.
**Para crear un rol vinculado a un servicio (CLI)**
Use la operación siguiente:
```
$ aws iam [create-service-linked-role](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) --aws-service-name memorydb.amazonaws.com
```
### Creación de un rol vinculado a servicios (API de IAM)
Puede utilizar la API de IAM para crear un rol vinculado a servicios. Este rol puede contener la política de confianza y las políticas insertadas que el servicio necesita para asumir el rol.
**Para crear un rol vinculado a un servicio (API)**
Use la llamada de API de [CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html). En la solicitud, especifique el nombre del servicio de `memorydb.amazonaws.com`.
## Edición de la descripción de un rol vinculado a servicio para MemoryDB
MemoryDB no permite editar el rol vinculado al servicio de base de datos. AWSService RoleForMemory Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM.
### Edición de la descripción de un rol vinculado a servicios (consola de IAM)
Puede utilizar la consola de IAM para editar una descripción de rol vinculado a servicios.
**Para editar la descripción de un rol vinculado a un servicio (consola)**
1. En el panel de navegación izquierdo de la consola de IAM, elija **Roles**.
1. Seleccione el nombre del rol que desea modificar.
1. En el extremo derecho de **Role description**, seleccione **Edit**.
1. Ingrese una descripción nueva en el cuadro **Save** (Guardar).
### Edición de la descripción de un rol vinculado a servicios (CLI de IAM)
Puede utilizar las operaciones de IAM desde el para editar la descripción de un rol vinculado AWS Command Line Interface a un servicio.
**Para cambiar la descripción de un rol vinculado a un servicio (CLI)**
1. (Opcional) Para ver la descripción actual de un rol, utilice la operación AWS CLI for IAM. `[get-role](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)`
**Example**
```
$ aws iam [get-role](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html) --role-name AWSServiceRoleForMemoryDB
```
Utilice el nombre del rol, no el ARN, para hacer referencia a los roles con las operaciones de la CLI. Por ejemplo, si una función tiene el ARN `arn:aws:iam::123456789012:role/myrole`, debe referirse a él como **myrole**.
1. Para actualizar la descripción de un rol vinculado a un servicio, utilice la operación AWS CLI for IAM. `[update-role-description](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)`
Para Linux, macOS o Unix:
```
$ aws iam [update-role-description](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html) \
--role-name AWSServiceRoleForMemoryDB \
--description "new description"
```
Para Windows:
```
$ aws iam [update-role-description](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html) ^
--role-name AWSServiceRoleForMemoryDB ^
--description "new description"
```
### Edición de la descripción de un rol vinculado a servicios (API de IAM)
Puede utilizar la API de IAM para editar una descripción de rol vinculado a servicios.
**Para cambiar la descripción de un rol vinculado a un servicio (API)**
1. (Opcional) Para ver la descripción actual de un rol, utilice la operación de la API de IAM [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html).
**Example**
```
https://iam.amazonaws.com/
?Action=[GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)
&RoleName=AWSServiceRoleForMemoryDB
&Version=2010-05-08
&AUTHPARAMS
```
1. Para actualizar la descripción de un rol, utilice la operación de la API de IAM [UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html).
**Example**
```
https://iam.amazonaws.com/
?Action=[UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)
&RoleName=AWSServiceRoleForMemoryDB
&Version=2010-05-08
&Description="New description"
```
## Eliminación de un rol vinculado a un servicio para MemoryDB
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar el rol vinculado al servicio antes de eliminarlo.
MemoryDB no elimina automáticamente el rol vinculado a servicio.
### Limpiar un rol vinculado a un servicio
Antes de que pueda utilizar IAM para eliminar un rol vinculado a servicios, primero confirme que el rol no tiene recursos (clústeres) asociados a él.
**Para comprobar si el rol vinculado a un servicio tiene una sesión activa en la consola de IAM**
1. Inicie sesión en la consola de Consola de administración de AWS IAM y ábrala en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. En el panel de navegación izquierdo de la consola de IAM, elija **Roles**. A continuación, seleccione el nombre (no la casilla de verificación) de la función de AWSService RoleForMemory base de datos.
1. En la página **Resumen** del rol seleccionado, seleccione la pestaña **Asesor de acceso**.
1. En la pestaña **Asesor de acceso**, revise la actividad reciente del rol vinculado a servicios.
**Para eliminar los recursos de MemoryDB que requieren AWSService RoleForMemory DB (consola)**
+ Para eliminar un clúster, consulte los siguientes temas:
+ [Usando el Consola de administración de AWS](getting-started.md#clusters.deleteclusters.viewdetails)
+ [Usando el AWS CLI](getting-started.md#clusters.delete.cli)
+ [Uso de la API de MemoryDB](getting-started.md#clusters.delete.api)
### Eliminación de un rol vinculado a servicios (consola de IAM)
Puede utilizar la consola de IAM para eliminar un rol vinculado a un servicio.
**Para eliminar un rol vinculado a un servicio (consola)**
1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. En el panel de navegación izquierdo de la consola de IAM, elija **Roles**. A continuación, seleccione la casilla junto al nombre del rol que desea eliminar, no el nombre ni la fila.
1. En **Role actions (Acciones de rol)** en la parte superior de la página, elija **Delete role (Eliminar rol)**.
1. En la página de confirmación, revise los datos del servicio al que se accedió por última vez, que muestran cuándo accedió por última vez a un AWS servicio cada uno de los roles seleccionados. Esto lo ayuda a confirmar si el rol está actualmente activo. Si desea continuar, seleccione **Yes, Delete** para enviar la solicitud de eliminación del rol vinculado al servicio.
1. Consulte las notificaciones de la consola de IAM para monitorear el progreso de la eliminación del rol vinculado al servicio. Como el proceso de eliminación del rol vinculado al servicio de IAM es asíncrono, dicha tarea puede realizarse correctamente o fallar después de que envía la solicitud de eliminación. Si la tarea no se realiza correctamente, puede seleccionar **View details (Ver detalles)** o **View Resources (Ver recursos)** desde las notificaciones para obtener información sobre el motivo por el que no se pudo eliminar el rol.
### Eliminación de un rol vinculado a servicios (CLI de IAM)
Puede utilizar las operaciones de IAM desde allí AWS Command Line Interface para eliminar un rol vinculado a un servicio.
**Para eliminar un rol vinculado a un servicio (CLI)**
1. Si no conoce el nombre del rol vinculado a servicios que desea eliminar, ingrese el siguiente comando. Este comando muestra las funciones y sus nombres de recursos de Amazon (ARNs) en su cuenta.
```
$ aws iam [get-role](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html) --role-name role-name
```
Utilice el nombre del rol, no el ARN, para hacer referencia a los roles con las operaciones de la CLI. Por ejemplo, si un rol tiene el ARN `arn:aws:iam::123456789012:role/myrole`, debe referirse a él como **myrole**.
1. Como los roles vinculados a servicios no se puede eliminar si están en uso o tienen recursos asociados, debe enviar una solicitud de eliminación. Esta solicitud puede denegarse si no se cumplen estas condiciones. Debe apuntar el valor `deletion-task-id` de la respuesta para comprobar el estado de la tarea de eliminación. Ingrese lo siguiente para enviar una solicitud de eliminación de un rol vinculado a servicios.
```
$ aws iam [delete-service-linked-role](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html) --role-name role-name
```
1. Ingrese lo siguiente para verificar el estado de la tarea de eliminación.
```
$ aws iam [get-service-linked-role-deletion-status](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html) --deletion-task-id deletion-task-id
```
El estado de la tarea de eliminación puede ser `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` o `FAILED`. Si ocurre un error durante la eliminación, la llamada devuelve el motivo del error para que pueda resolver el problema.
### Eliminación de un rol vinculado a servicios (API de IAM)
Puede utilizar la API de IAM para eliminar un rol vinculado a un servicio.
**Para eliminar un rol vinculado a un servicio (API)**
1. Para enviar una solicitud de eliminación de un rol vinculado a un servicio, llame a [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html). En la solicitud, especifique el nombre del rol.
Como los roles vinculados a servicios no se puede eliminar si están en uso o tienen recursos asociados, debe enviar una solicitud de eliminación. Esta solicitud puede denegarse si no se cumplen estas condiciones. Debe apuntar el valor `DeletionTaskId` de la respuesta para comprobar el estado de la tarea de eliminación.
1. Para comprobar el estado de la tarea de eliminación, realice una llamada a [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html). En la solicitud, especifique el valor de `DeletionTaskId`.
El estado de la tarea de eliminación puede ser `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` o `FAILED`. Si ocurre un error durante la eliminación, la llamada devuelve el motivo del error para que pueda resolver el problema.
# AWS políticas administradas para MemoryDB
Para añadir permisos a usuarios, grupos y roles, es más fácil usar políticas AWS administradas que escribirlas usted mismo. Se necesita tiempo y experiencia para [crear políticas administradas por el cliente de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que proporcionen a su equipo solo los permisos necesarios. Para empezar rápidamente, puedes usar nuestras políticas AWS gestionadas. Estas políticas cubren casos de uso comunes y están disponibles en tu AWS cuenta. Para obtener más información sobre las políticas AWS administradas, consulte las [políticas AWS administradas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
AWS los servicios mantienen y AWS actualizan las políticas gestionadas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios agregan permisos adicionales a una política administrada de AWS para admitir características nuevas. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Es más probable que los servicios actualicen una política administrada de AWS cuando se lanza una nueva característica o cuando se ponen a disposición nuevas operaciones. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.
Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política **ReadOnlyAccess** AWS gestionada proporciona acceso de solo lectura a todos los AWS servicios y recursos. Cuando un servicio lanza una nueva función, AWS agrega permisos de solo lectura para nuevas operaciones y recursos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte [Políticas administradas de AWS para funciones de trabajo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía del usuario de IAM*.
## AWS política gestionada: memoria DBService RolePolicy
No puede adjuntar la política de DBService RolePolicy AWS gestión de memoria a las identidades de su cuenta. Esta política forma parte de la función vinculada al servicio de AWS MemoryDB. Este rol permite al servicio administrar las interfaces de red y los grupos de seguridad de su cuenta.
MemoryDB usa los permisos de esta política para administrar los grupos de seguridad y las interfaces de red de EC2. Esto es necesario para administrar los clústeres de MemoryDB.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws-cn:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"AmazonMemoryDBManaged"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws-cn:ec2:*:*:network-interface/*",
"arn:aws-cn:ec2:*:*:subnet/*",
"arn:aws-cn:ec2:*:*:security-group/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "arn:aws-cn:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/AmazonMemoryDBManaged": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "arn:aws-cn:ec2:*:*:security-group/*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/MemoryDB"
}
}
}
]
}
```
------
## Políticas (predefinidas) administradas de AWS para MemoryDB
AWS aborda muchos casos de uso comunes al proporcionar políticas de IAM independientes que son creadas y administradas por. AWS Las políticas administradas conceden los permisos necesarios para casos de uso comunes, lo que le evita tener que investigar los permisos que se necesitan. Para más información, consulte[ Políticas administradas de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
Las siguientes políticas AWS gestionadas, que puede adjuntar a los usuarios de su cuenta, son específicas de MemoryDB:
### AmazonMemoryDBReadOnlyAccess
Puede asociar la política `AmazonMemoryDBReadOnlyAccess` a las identidades de IAM. Esta política concede permisos administrativos que permiten acceso de solo lectura a todos los recursos de MemoryDB.
**AmazonMemoryDBReadOnlyAccess**- Otorga acceso de solo lectura a los recursos de MemoryDB.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"memorydb:Describe*",
"memorydb:List*"
],
"Resource": "*"
}]
}
```
------
### AmazonMemoryDBFull• Acceso
Puede asociar la política `AmazonMemoryDBFullAccess` a las identidades de IAM. Esta política otorga permisos administrativos que brindan acceso completo a todos los recursos de MemoryDB.
**AmazonMemoryDBFullAcceso**: otorga acceso completo a los recursos de MemoryDB.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "memorydb:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "memorydb.amazonaws.com"
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "memorydb:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws-cn:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "memorydb.amazonaws.com"
}
}
}
]
}
```
------
También puede crear sus propias políticas de IAM personalizadas con el fin de conceder permisos para realizar acciones de la API de MemoryDB. Puede asociar estas políticas personalizadas a los grupos o usuarios de IAM que requieran esos permisos.
## MemoryDB actualiza las políticas gestionadas AWS
Vea los detalles sobre las actualizaciones de las políticas AWS administradas para MemoryDB desde que este servicio comenzó a rastrear estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página de historial de documentos de MemoryDB.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AWS política gestionada: memoria DBService RolePolicy](#security-iam-awsmanpol-memorydbServiceRolePolicy): agregar una política | Memory DBService RolePolicy agregó el permiso para memorydb:. ReplicateMultiRegionClusterData Este permiso permitirá al rol vinculado a un servicio replicar datos para clústeres multirregionales de MemoryDB. | 12/01/2024 |
| [AmazonMemoryDBFull• Acceso](#iam.identitybasedpolicies.predefinedpolicies-fullaccess): agregar una política | MemoryDB agregó nuevos permisos para describir y enumerar los recursos compatibles. Estos permisos son necesarios para que MemoryDB consulte todos los recursos compatibles de una cuenta. | 10/07/2021 |
| [AmazonMemoryDBReadOnlyAccess](#iam.identitybasedpolicies.predefinedpolicies-readonly): agregar una política | MemoryDB agregó nuevos permisos para describir y enumerar los recursos compatibles. Estos permisos son necesarios para que MemoryDB cree aplicaciones basadas en cuentas mediante consultas a todos los recursos compatibles de una cuenta. | 10/07/2021 |
| MemoryDB comenzó a realizar un seguimiento de los cambios | Lanzamiento del servicio | 19/8/2021 |
# Permisos de la API de MemoryDB: referencia de acciones, recursos y condiciones
Cuando configure el [control de acceso](iam.md#iam.accesscontrol) y escriba políticas de permisos para adjuntar a una política de IAM (políticas basadas en identidad o recurso), utilice la siguiente tabla como referencia. En la tabla se muestran las operaciones de la API de MemoryDB y las acciones correspondientes para las que puede conceder permisos para realizar la acción. Las acciones se especifican en el campo `Action` de la política y el valor de un recurso se especifica en el campo `Resource` de la política. A menos que se indique lo contrario, el recurso es necesario. Algunos campos incluyen recursos obligatorios y opcionales. Cuando no hay ARN de recurso, el recurso de la política es un comodín (\$1).
**nota**
Para especificar una acción, use el prefijo `memorydb:` seguido del nombre de operación de la API (por ejemplo, `memorydb:DescribeClusters`).
Utilice las barras de desplazamiento para ver el resto de la tabla.
**API de MemoryDB y permisos necesarios para las acciones**
| Operaciones de la API de MemoryDB | Permisos necesarios (acciones de API) | Recursos |
| --- | --- | --- |
| [BatchUpdateCluster](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_BatchUpdateCluster.html) | `memorydb:BatchUpdateCluster` | Clúster |
| [CopySnapshot](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CopySnapshot.html) | `memorydb:CopySnapshot` `memorydb:TagResource` `s3:GetBucketLocation` `s3:ListAllMyBuckets` | Instantánea (origen, destino) \$1 \$1 |
| [CreateCluster](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateCluster.html) | `memorydb:CreateCluster` `memorydb:TagResource` `s3:GetObject` Si usa el parámetro `SnapshotArns`, cada miembro de la lista `SnapshotArns` requerirá su propio permiso `s3:GetObject` con el ARN de `s3` como su recurso. | Grupo de parámetros. (Opcional) clúster, instantánea, ID de grupo de seguridad y grupo de subredes `arn:aws:s3:::my_bucket/snapshot1.rdb` Donde*my\$1bucket*/*snapshot1*es un bucket y una instantánea de S3 a partir de los que desea crear el clúster. |
| [CreateParameterGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateParameterGroup.html) | `memorydb:CreateParameterGroup` `memorydb:TagResource` | Grupo de parámetros |
| [CreateSubnetGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateSubnetGroup.html) | `memorydb:CreateSubnetGroup` `memorydb:TagResource` | Grupo de subredes | \$1 |
| [CreateSnapshot](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateSnapshot.html) | `memorydb:CreateSnapshot` `memorydb:TagResource` | Instantánea, clúster |
| [CreateUser](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateUser.html) | `memorydb:CreateUser` `memorydb:TagResource` | Usuario |
| [CreateACL](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateACL.html) | `memorydb:CreateACL` `memorydb:TagResource` | Lista de control de acceso (ACL) |
| [UpdateCluster](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateCluster.html) | `memorydb:UpdateCluster` | Clúster |
| [DeleteCluster](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteCluster.html) | `memorydb:DeleteCluster` | Clúster. (Opcional) Instantánea |
| [DeleteParameterGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteParameterGroup.html) | `memorydb:DeleteParameterGroup` | Grupo de parámetros |
| [DeleteSubnetGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteSubnetGroup.html) | `memorydb:DeleteSubnetGroup` | Grupo de subredes |
| [DeleteSnapshot](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteSnapshot.html) | `memorydb:DeleteSnapshot` | Snapshot |
| [DeleteUser](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteUser.html) | `memorydb:DeleteUser` | Usuario |
| [DeleteACL](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteACL.html) | `memorydb:DeleteACL` | ACL |
| [DescribeClusters](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeClusters.html) | `memorydb:DescribeClusters` | Clúster |
| [DescribeEngineVersions](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeEngineVersions.html) | `memorydb:DescribeEngineVersions` | Sin ARN de recursos: \$1 |
| [DescribeParameterGroups](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeParameterGroups.html) | `memorydb:DescribeParameterGroups` | Grupo de parámetros |
| [DescribeParameters](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeParameters.html) | `memorydb:DescribeParameters` | Grupo de parámetros |
| [DescribeSubnetGroups](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeSubnetGroups.html) | `memorydb:DescribeSubnetGroups` | Grupo de subredes | \$1 |
| [DescribeEvents](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeEvents.html) | `memorydb:DescribeEvents` | Sin ARN de recursos: \$1 |
| [DescribeClusters](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeClusters.html) | `memorydb:DescribeClusters` | Clúster |
| [DescribeServiceUpdates](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeServiceUpdates.html) | `memorydb:DescribeServiceUpdates` | Sin ARN de recursos: \$1 |
| [DescribeSnapshots](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeSnapshots.html) | `memorydb:DescribeSnapshots` | Snapshot |
| [DescribeUsers](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeUsers.html) | `memorydb:DescribeUsers` | Usuario |
| [DescribirACLs](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeACLs.html) | `memorydb:DescribeACLs` | ACLs |
| [ListAllowedNodeTypeUpdates](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_ListAllowedNodeTypeUpdates.html) | `memorydb:ListAllowedNodeTypeUpdates` | Clúster |
| [ListTags](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_ListTags.html) | `memorydb:ListTags` | (Opcional) clúster, instantánea |
| [UpdateParameterGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateParameterGroup.html) | `memorydb:UpdateParameterGroup` | Grupo de parámetros |
| [UpdateSubnetGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateSubnetGroup.html) | `memorydb:UpdateSubnetGroup` | Grupo de subredes |
| [UpdateCluster](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateCluster.html) | `memorydb:UpdateCluster` | clúster. (Opcional) Grupo de parámetros, grupo de seguridad |
| [UpdateUser](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateUser.html) | `memorydb:UpdateUser` | Usuario |
| [UpdateACL](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateACL.html) | `memorydb:UpdateACL` | ACL |
| [UntagResource](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UntagResource.html) | `memorydb:UntagResource` | (Opcional) Clúster, instantánea |
| [ResetParameterGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_ResetParameterGroup.html) | `memorydb:ResetParameterGroup` | Grupo de parámetros |
| [FailoverShard](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_FailoverShard.html) | `memorydb:FailoverShard` | clúster, partición |