Vue d'ensemble de la gestion des autorisations d'accès à vos ressources MemoryDB - Amazon MemoryDB

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Vue d'ensemble de la gestion des autorisations d'accès à vos ressources MemoryDB

Chaque AWS ressource appartient à un AWS compte, et les autorisations de création ou d'accès à une ressource sont régies par des politiques d'autorisation. Un administrateur de compte peut associer des politiques d'autorisation aux IAM identités (c'est-à-dire aux utilisateurs, aux groupes et aux rôles). En outre, MemoryDB prend également en charge l'attachement de politiques d'autorisation aux ressources.

Note

Un administrateur de compte (ou utilisateur administrateur) est un utilisateur doté des privilèges d’administrateur. Pour plus d'informations, consultez la section IAMBonnes pratiques du guide de IAM l'utilisateur.

Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :

Ressources et opérations de MemoryDB

Dans MemoryDB, la ressource principale est un cluster.

Ces ressources sont associées à des noms de ressources Amazon uniques (ARNs), comme indiqué ci-dessous.

Note

Pour que les autorisations au niveau des ressources soient effectives, le nom de la ressource sur la ARN chaîne doit être en minuscules.

Type de ressource ARNformat

Utilisateur

arn:aws:memorydb :us-east-1:123456789012:utilisateur/utilisateur1

Liste de contrôle d'accès (ACL)

arn:aws:memorydb :us-east-1:123456789012:acl/myacl

Cluster

arn:aws:memorydb :us-east-1:123456789012:cluster/mon-cluster

Instantané

arn:aws:memorydb :us-east-1:123456789012:snapshot/mon-instantané

Groupe de paramètres

arn:aws:memorydb :us-east-1:123456789012:groupe de paramètres/ my-parameter-group

Groupe de sous-réseaux

arn:aws:memorydb :us-east-1:123456789012:groupe de sous-réseaux/ my-subnet-group

MemoryDB fournit un ensemble d'opérations permettant de travailler avec les ressources MemoryDB. Pour une liste des opérations disponibles, consultez la section Actions MemoryDB.

Présentation de la propriété des ressources

Le propriétaire d'une ressource est le AWS compte qui a créé la ressource. En d'autres termes, le propriétaire de la ressource est le AWS compte de l'entité principale qui authentifie la demande qui crée la ressource. Une entité principale peut être le compte root, un IAM utilisateur ou un IAM rôle. Les exemples suivants illustrent comment cela fonctionne :

  • Supposons que vous utilisiez les informations d'identification du compte root de votre AWS compte pour créer un cluster. Dans ce cas, votre AWS compte est le propriétaire de la ressource. Dans MemoryDB, la ressource est le cluster.

  • Supposons que vous créiez un IAM utilisateur dans votre AWS compte et que vous accordiez des autorisations pour créer un cluster à cet utilisateur. Dans ce cas, l'utilisateur peut créer un cluster. Toutefois, votre AWS compte, auquel appartient l'utilisateur, est propriétaire de la ressource du cluster.

  • Supposons que vous créiez un IAM rôle dans votre AWS compte avec les autorisations nécessaires pour créer un cluster. Dans ce cas, toute personne capable d'assumer ce rôle peut créer un cluster. Votre AWS compte, auquel appartient le rôle, est propriétaire de la ressource du cluster.

Gestion de l’accès aux ressources

Une politique d'autorisation décrit qui a accès à quoi. La section suivante explique les options disponibles pour créer des politiques d'autorisations.

Note

Cette section traite de l'utilisation IAM dans le contexte de MemoryDB. Il ne fournit pas d'informations détaillées sur le IAM service. Pour une IAM documentation complète, voir Qu'est-ce que c'est IAM ? dans le guide de IAM l'utilisateur. Pour plus d'informations sur la syntaxe et les descriptions des IAM politiques, reportez-vous à la section Référence des AWS IAM politiques dans le Guide de IAM l'utilisateur.

Les politiques associées à une IAM identité sont appelées politiques basées sur l'identité (IAMpolitiques). Les stratégies attachées à une ressource sont appelées stratégies basées sur une ressource.

Politiques basées sur l'identité (politiques) IAM

Vous pouvez associer des politiques aux IAM identités. Par exemple, vous pouvez effectuer les opérations suivantes :

  • Attacher une politique d'autorisations à un utilisateur ou à un groupe dans votre compte : un administrateur de compte peut utiliser une politique d'autorisations associée à un utilisateur particulier pour accorder des autorisations. Dans ce cas, les autorisations permettent à cet utilisateur de créer une ressource MemoryDB, telle qu'un cluster, un groupe de paramètres ou un groupe de sécurité.

  • Associer une politique d'autorisations à un rôle (accorder des autorisations entre comptes) : vous pouvez associer une politique d'autorisations basée sur l'identité à un IAM rôle pour accorder des autorisations entre comptes. Par exemple, l'administrateur du compte A peut créer un rôle pour accorder des autorisations entre comptes à un autre AWS compte (par exemple, le compte B) ou à un AWS service comme suit :

    1. Compte Un administrateur crée un IAM rôle et associe une politique d'autorisation au rôle qui accorde des autorisations sur les ressources du compte A.

    2. L'administrateur du Compte A attache une politique d'approbation au rôle identifiant le Compte B comme principal pouvant assumer ce rôle.

    3. L'administrateur du compte B peut ensuite déléguer les autorisations nécessaires pour assumer le rôle à n'importe quel utilisateur du compte B. Cela permet aux utilisateurs du compte B de créer des ressources ou d'accéder à des ressources dans le compte A. Dans certains cas, vous souhaiterez peut-être accorder à un AWS service des autorisations lui permettant d'assumer le rôle. Pour soutenir cette approche, le principal dans la politique d'approbation peut également être un mandataire du service AWS .

    Pour plus d'informations sur l'utilisation IAM pour déléguer des autorisations, consultez la section Gestion des accès dans le guide de IAM l'utilisateur.

Voici un exemple de politique qui permet à un utilisateur d'effectuer l'DescribeClustersaction pour votre AWS compte. MemoryDB prend également en charge l'identification de ressources spécifiques à l'aide de la ressource ARNs pour API les actions. (Cette approche est également appelée autorisations au niveau des ressources.)

{ "Version": "2012-10-17", "Statement": [{ "Sid": "DescribeClusters", "Effect": "Allow", "Action": [ "memorydb:DescribeClusters"], "Resource": resource-arn } ] }

Pour plus d'informations sur l'utilisation de politiques basées sur l'identité avec MemoryDB, consultez. Utilisation de politiques basées sur l'identité (IAMpolitiques) pour MemoryDB Pour plus d'informations sur les utilisateurs, les groupes, les rôles et les autorisations, consultez la section Identités (utilisateurs, groupes et rôles) du guide de IAM l'utilisateur.

Spécification des éléments d’une politique : actions, effets, ressources et principaux

Pour chaque ressource MemoryDB (voirRessources et opérations de MemoryDB), le service définit un ensemble d'APIopérations (voir Actions). Pour accorder des autorisations pour ces API opérations, MemoryDB définit un ensemble d'actions que vous pouvez spécifier dans une politique. Par exemple, pour la ressource de cluster MemoryDB, les actions suivantes sont définies : CreateClusterDeleteCluster, et. DescribeClusters L'exécution d'une API opération peut nécessiter des autorisations pour plusieurs actions.

Voici les éléments les plus élémentaires d'une politique :

  • Ressource : dans une politique, vous utilisez un nom de ressource Amazon (ARN) pour identifier la ressource à laquelle la politique s'applique. Pour de plus amples informations, veuillez consulter Ressources et opérations de MemoryDB.

  • Action : vous utilisez des mots clés d’action pour identifier les opérations de ressource que vous voulez accorder ou refuser. Par exemple, en fonction de ce qui est spécifiéEffect, l'memorydb:CreateClusterautorisation autorise ou refuse à l'utilisateur l'autorisation d'effectuer l'opération MemoryDBCreateCluster.

  • Effet – Vous spécifiez l’effet produit lorsque l’utilisateur demande l’action spécifique, qui peut être une autorisation ou un refus. Si vous n’accordez pas explicitement l’accès pour (autoriser) une ressource, l’accès est implicitement refusé. Vous pouvez également explicitement refuser l'accès à une ressource. Par exemple,vous pouvez le faire afin de vous assurer qu'un utilisateur n'y a pas accès, même si une politique différente accorde cet accès.

  • Principal — Dans les politiques basées sur l'identité (IAMpolitiques), l'utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur une ressource, vous spécifiez l’utilisateur, le compte, le service ou une autre entité qui doit recevoir les autorisations (s’applique uniquement aux politiques basées sur une ressource).

Pour en savoir plus sur la syntaxe et les descriptions des IAM politiques, consultez la section Référence des AWS IAM politiques dans le guide de IAM l'utilisateur.

Pour un tableau présentant toutes les API actions de MemoryDB, consultez. APIAutorisations MemoryDB : référence aux actions, aux ressources et aux conditions

Spécification de conditions dans une politique

Lorsque vous accordez des autorisations, vous pouvez utiliser le langage de IAM politique pour spécifier les conditions dans lesquelles une politique doit entrer en vigueur. Par exemple, il est possible d’appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification de conditions dans un langage de politique, voir Condition dans le guide de IAM l'utilisateur.