Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation de politiques basées sur l'identité (IAMpolitiques) pour Amazon ElastiCache
Cette rubrique fournit des exemples de politiques basées sur l'identité dans lesquelles un administrateur de compte peut associer des politiques d'autorisation aux IAM identités (c'est-à-dire aux utilisateurs, aux groupes et aux rôles).
Important
Nous vous recommandons de lire d'abord les rubriques qui expliquent les concepts de base et les options de gestion de l'accès aux ElastiCache ressources Amazon. Pour de plus amples informations, veuillez consulter Vue d'ensemble de la gestion des autorisations d'accès à vos ElastiCache ressources.
Les sections de cette rubrique couvrent les sujets suivants :
Voici un exemple de politique d'autorisation lors de l'utilisation de RedisOSS.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowClusterPermissions", "Effect": "Allow", "Action": [ "elasticache:CreateServerlessCache", "elasticache:CreateCacheCluster", "elasticache:DescribeServerlessCaches", "elasticache:DescribeReplicationGroups", "elasticache:DescribeCacheClusters", "elasticache:ModifyServerlessCache", "elasticache:ModifyReplicationGroup", "elasticache:ModifyCacheCluster" ], "Resource": "*" }, { "Sid": "AllowUserToPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::123456789012:role/EC2-roles-for-cluster" } ] }
Voici un exemple de politique d'autorisation lors de l'utilisation de Memcached.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowClusterPermissions", "Effect": "Allow", "Action": [ "elasticache:CreateServerlessCache", "elasticache:CreateCacheCluster", "elasticache:DescribeServerlessCaches", "elasticache:DescribeCacheClusters", "elasticache:ModifyServerlessCache", "elasticache:ModifyCacheCluster" ], "Resource": "*" }, { "Sid": "AllowUserToPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::123456789012:role/EC2-roles-for-cluster" } ] }
La politique possède deux énoncés:
-
La première déclaration accorde des autorisations pour les ElastiCache actions Amazon (
elasticache:Create*,elasticache:Describe*,elasticache:Modify*) -
La deuxième instruction accorde des autorisations pour l'IAMaction (
iam:PassRole) sur le nom de IAM rôle spécifié à la fin de laResourcevaleur.
La politique ne spécifie pas l'élément Principal, car dans une politique basée sur une identité, vous ne spécifiez pas le principal qui obtient l'autorisation. Quand vous attachez une politique à un utilisateur, l'utilisateur est le principal implicite. Lorsque vous associez une politique d'autorisation à un IAM rôle, le principal identifié dans la politique de confiance du rôle obtient les autorisations.
Pour un tableau présentant toutes les ElastiCache API actions Amazon et les ressources auxquelles elles s'appliquent, consultezElastiCache APIautorisations : référence aux actions, aux ressources et aux conditions.
Exemples de politiques gérées par le client
Si vous n'utilisez pas de politique par défaut et que vous choisissez d'utiliser une politique gérée personnalisée, vous devez assurer l'un des deux points suivants. Vous devez soit avoir les autorisations d'appeler iam:createServiceLinkedRole (pour plus d'informations, veuillez consulter Exemple 4 : Autoriser un utilisateur à appeler IAM CreateServiceLinkedRole API). Ou vous auriez dû créer un rôle ElastiCache lié à un service.
Associés aux autorisations minimales requises pour utiliser la ElastiCache console Amazon, les exemples de politiques présentés dans cette section accordent des autorisations supplémentaires. Les exemples sont également pertinents pour le AWS SDKs et le AWS CLI.
Pour obtenir des instructions sur la configuration des IAM utilisateurs et des groupes, consultez la section Création de votre premier groupe IAM d'utilisateurs et d'administrateurs dans le guide de IAM l'utilisateur.
Important
Testez toujours soigneusement vos IAM politiques avant de les utiliser en production. Certaines ElastiCache actions qui semblent simples peuvent nécessiter d'autres actions pour les prendre en charge lorsque vous utilisez la ElastiCache console. Par exemple, elasticache:CreateCacheCluster accorde des autorisations pour créer des clusters de ElastiCache cache. Toutefois, pour effectuer cette opération, la ElastiCache console utilise un certain nombre d'Listactions Describe et pour remplir les listes de consoles.
Exemples
- Exemple 1 : autoriser un utilisateur à accéder aux ressources en lecture seule ElastiCache
- Exemple 2 : autoriser un utilisateur à effectuer des tâches ElastiCache d'administrateur système courantes
- Exemple 3 : Autoriser un utilisateur à accéder à toutes les ElastiCache API actions
- Exemple 4 : Autoriser un utilisateur à appeler IAM CreateServiceLinkedRole API
- Exemple 5 : Autoriser un utilisateur à se connecter au cache sans serveur à l'aide IAM de l'authentification
Exemple 1 : autoriser un utilisateur à accéder aux ressources en lecture seule ElastiCache
La politique suivante accorde des autorisations à ElastiCache des actions qui permettent à un utilisateur de répertorier des ressources. En général, vous attachez ce type de politique d'autorisations à un groupe de gestionnaires.
{ "Version": "2012-10-17", "Statement":[{ "Sid": "ECReadOnly", "Effect":"Allow", "Action": [ "elasticache:Describe*", "elasticache:List*"], "Resource":"*" } ] }
Exemple 2 : autoriser un utilisateur à effectuer des tâches ElastiCache d'administrateur système courantes
Les tâches courantes d’administrateur système incluent la modification des ressources. Un administrateur système peut également souhaiter obtenir des informations sur les ElastiCache événements. La politique suivante accorde à un utilisateur l'autorisation d'effectuer des ElastiCache actions relatives à ces tâches courantes d'administrateur système. Généralement, vous attachez ce type de politique d'autorisations au groupe d'administrateurs système.
{ "Version": "2012-10-17", "Statement":[{ "Sid": "ECAllowMutations", "Effect":"Allow", "Action":[ "elasticache:Modify*", "elasticache:Describe*", "elasticache:ResetCacheParameterGroup" ], "Resource":"*" } ] }
Exemple 3 : Autoriser un utilisateur à accéder à toutes les ElastiCache API actions
La politique suivante permet à un utilisateur d'accéder à toutes les ElastiCache actions. Nous vous conseillons d'accorder ce type de politique d'autorisations uniquement à un utilisateur administrateur.
{ "Version": "2012-10-17", "Statement":[{ "Sid": "ECAllowAll", "Effect":"Allow", "Action":[ "elasticache:*" ], "Resource":"*" } ] }
Exemple 4 : Autoriser un utilisateur à appeler IAM CreateServiceLinkedRole API
La politique suivante permet à l'utilisateur d'appeler le IAM CreateServiceLinkedRoleAPI. Nous vous recommandons d'accorder ce type de politique d'autorisations à l'utilisateur qui invoque des opérations mutatives. ElastiCache
{ "Version":"2012-10-17", "Statement":[ { "Sid":"CreateSLRAllows", "Effect":"Allow", "Action":[ "iam:CreateServiceLinkedRole" ], "Resource":"*", "Condition":{ "StringLike":{ "iam:AWS ServiceName":"elasticache.amazonaws.com" } } } ] }
Exemple 5 : Autoriser un utilisateur à se connecter au cache sans serveur à l'aide IAM de l'authentification
La politique suivante permet à tout utilisateur de se connecter à n'importe quel cache sans serveur à l'aide de l'IAMauthentification entre le 01/04/2023 et le 30/06/2023.
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" : ["elasticache:Connect"], "Resource" : [ "arn:aws:elasticache:us-east-1:123456789012:serverlesscache:*" ], "Condition": { "DateGreaterThan": {"aws:CurrentTime": "2023-04-01T00:00:00Z"}, "DateLessThan": {"aws:CurrentTime": "2023-06-30T23:59:59Z"} } }, { "Effect" : "Allow", "Action" : ["elasticache:Connect"], "Resource" : [ "arn:aws:elasticache:us-east-1:123456789012:user:*" ] } ] }
