ElastiCache Sumber daya dan operasi Amazon Memahami kepemilikan sumber daya Mengelola akses ke sumber daya

Ikhtisar mengelola izin akses ke sumber daya Anda ElastiCache

Setiap AWS sumber daya dimiliki oleh AWS akun, dan izin untuk membuat atau mengakses sumber daya diatur oleh kebijakan izin. Administrator akun dapat melampirkan kebijakan izin ke IAM identitas (yaitu, pengguna, grup, dan peran). Selain itu, Amazon ElastiCache juga mendukung melampirkan kebijakan izin ke sumber daya.

catatan

Administrator akun (atau pengguna administrator) adalah pengguna dengan hak akses administrator. Untuk informasi selengkapnya, lihat Praktik IAM Terbaik di Panduan IAM Pengguna.

Untuk memberikan akses, menambahkan izin ke pengguna, grup, atau peran Anda:

Pengguna dan grup di AWS IAM Identity Center:

Buat rangkaian izin. Ikuti instruksi di Buat rangkaian izin di Panduan Pengguna AWS IAM Identity Center .
Pengguna yang dikelola IAM melalui penyedia identitas:

Buat peran untuk federasi identitas. Ikuti petunjuk dalam Membuat peran untuk penyedia identitas pihak ketiga (federasi) di Panduan IAM Pengguna.
IAMpengguna:
- Buat peran yang dapat diambil pengguna Anda. Ikuti petunjuk dalam Membuat peran bagi IAM pengguna di Panduan IAM Pengguna.
- (Tidak disarankan) Pasang kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk di Menambahkan izin ke pengguna (konsol) di Panduan IAM Pengguna.

Topik

ElastiCache Sumber daya dan operasi Amazon

Untuk melihat daftar jenis sumber daya dan jenis ElastiCache sumber dayaARNs, lihat Sumber Daya yang Ditentukan oleh Amazon ElastiCache di Referensi Otorisasi Layanan. Untuk mempelajari tindakan yang dapat Anda tentukan ARN dari setiap sumber daya, lihat Tindakan yang Ditentukan oleh Amazon ElastiCache.

Memahami kepemilikan sumber daya

Pemilik sumber daya adalah AWS akun yang membuat sumber daya. Artinya, pemilik sumber daya adalah AWS akun entitas utama yang mengotentikasi permintaan yang membuat sumber daya. Entitas utama dapat berupa akun root, IAM pengguna, atau IAM peran). Contoh berikut menggambarkan cara kerjanya:

Misalkan Anda menggunakan kredensi akun root dari AWS akun Anda untuk membuat cluster cache. Dalam hal ini, AWS akun Anda adalah pemilik sumber daya. Di ElastiCache, sumber daya adalah cluster cache.
Misalkan Anda membuat IAM pengguna di AWS akun Anda dan memberikan izin untuk membuat cluster cache kepada pengguna tersebut. Dalam hal ini, pengguna tersebut dapat membuat klaster cache. Namun, AWS akun Anda, yang menjadi milik pengguna, memiliki sumber daya cluster cache.
Misalkan Anda membuat IAM peran di AWS akun Anda dengan izin untuk membuat cluster cache. Dalam hal ini, siapa pun yang dapat mengambil peran tersebut akan dapat membuat klaster cache. AWS Akun Anda, tempat peran tersebut berada, memiliki sumber daya cluster cache.

Mengelola akses ke sumber daya

Kebijakan izin menjelaskan siapa yang memiliki akses ke suatu objek. Bagian berikut menjelaskan opsi yang tersedia untuk membuat kebijakan izin.

catatan

Bagian ini membahas penggunaan IAM dalam konteks Amazon ElastiCache. Itu tidak memberikan informasi rinci tentang IAM layanan. Untuk IAM dokumentasi lengkap, lihat Apa ituIAM? dalam IAMUser Guide. Untuk informasi tentang sintaks IAM kebijakan dan deskripsi, lihat Referensi AWS IAM Kebijakan di IAMPanduan Pengguna.

Kebijakan yang melekat pada IAM identitas disebut sebagai kebijakan berbasis identitas (kebijakan)IAM. Kebijakan yang dilampirkan pada sumber daya disebut sebagai kebijakan berbasis-sumber daya.

Topik

Kebijakan berbasis identitas (kebijakan IAM)
Menentukan elemen kebijakan: Tindakan, efek, sumber daya, dan prinsipal
Menentukan kondisi dalam kebijakan

Kebijakan berbasis identitas (kebijakan IAM)

Anda dapat melampirkan kebijakan ke IAM identitas. Misalnya, Anda dapat melakukan hal berikut:

Melampirkan kebijakan izin pada pengguna atau grup dalam akun Anda – Akun administrator dapat menggunakan kebijakan izin yang terkait dengan pengguna tertentu untuk memberikan izin. Dalam hal ini, izin adalah bagi pengguna untuk membuat ElastiCache sumber daya, seperti cluster cache, grup parameter, atau grup keamanan.
Lampirkan kebijakan izin ke peran (berikan izin lintas akun) — Anda dapat melampirkan kebijakan izin berbasis identitas ke peran untuk memberikan izin lintas akun. IAM Misalnya, administrator di Akun A dapat membuat peran untuk memberikan izin lintas akun ke AWS akun lain (misalnya, Akun B) atau AWS layanan sebagai berikut:
1. Akun Administrator membuat IAM peran dan melampirkan kebijakan izin ke peran yang memberikan izin pada sumber daya di Akun A.
2. Administrator akun A melampirkan kebijakan kepercayaan ke peran yang mengidentifikasi Akun B sebagai prinsipal yang dapat mengambil peran tersebut.
3. Administrator Akun B kemudian dapat mendelegasikan izin untuk mengambil peran kepada setiap pengguna di Akun B. Melakukan hal ini memungkinkan pengguna di Akun B untuk membuat atau mengakses sumber daya di Akun A. Dalam beberapa kasus, Anda mungkin ingin memberikan izin AWS layanan untuk mengambil peran tersebut. Untuk mendukung pendekatan ini, prinsipal dalam kebijakan kepercayaan juga dapat merupakan prinsipal layanan AWS .
Untuk informasi selengkapnya tentang penggunaan IAM untuk mendelegasikan izin, lihat Manajemen Akses di IAMPanduan Pengguna.

Berikut ini adalah contoh kebijakan yang memungkinkan pengguna untuk melakukan DescribeCacheClusters tindakan untuk AWS akun Anda. ElastiCache juga mendukung mengidentifikasi sumber daya tertentu menggunakan sumber daya ARNs untuk API tindakan. (Pendekatan ini juga disebut sebagai izin tingkat sumber daya).


{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "DescribeCacheClusters",
      "Effect": "Allow",
      "Action": [
         "elasticache:DescribeCacheClusters"],
      "Resource": resource-arn
      }
   ]
}

Untuk informasi selengkapnya tentang menggunakan kebijakan berbasis identitas dengan ElastiCache, lihat. Menggunakan kebijakan (IAMkebijakan) berbasis identitas untuk Amazon ElastiCache Untuk informasi selengkapnya tentang pengguna, grup, peran, dan izin, lihat Identitas (Pengguna, Grup, dan Peran dalam IAMPanduan Pengguna.

Menentukan elemen kebijakan: Tindakan, efek, sumber daya, dan prinsipal

Untuk setiap ElastiCache sumber daya Amazon (lihat ElastiCache Sumber daya dan operasi Amazon), layanan mendefinisikan serangkaian API operasi (lihat Tindakan). Untuk memberikan izin untuk API operasi ini, ElastiCache tentukan serangkaian tindakan yang dapat Anda tentukan dalam kebijakan. Misalnya, untuk sumber daya ElastiCache cluster, tindakan berikut didefinisikan:CreateCacheCluster,DeleteCacheCluster, danDescribeCacheCluster. Melakukan API operasi dapat memerlukan izin untuk lebih dari satu tindakan.

Berikut adalah elemen-elemen kebijakan yang paling dasar:

Sumber Daya — Dalam kebijakan, Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang diterapkan kebijakan tersebut. Untuk informasi selengkapnya, lihat ElastiCache Sumber daya dan operasi Amazon.
Tindakan – Anda menggunakan kata kunci tindakan untuk mengidentifikasi operasi sumber daya yang ingin Anda izinkan atau tolak. Misalnya, tergantung pada yang ditentukanEffect, elasticache:CreateCacheCluster izin mengizinkan atau menolak izin pengguna untuk melakukan operasi Amazon ElastiCacheCreateCacheCluster.
Efek – Anda menentukan efek ketika pengguna meminta tindakan tertentu—efek ini dapat berupa pemberian izin atau penolakan. Jika Anda tidak secara eksplisit memberikan akses ke (mengizinkan) sumber daya, akses akan ditolak secara implisit. Anda juga dapat secara eksplisit menolak akses ke sumber daya. Misalnya, Anda mungkin melakukannya untuk memastikan agar pengguna tidak dapat mengakses sumber daya, meskipun jika ada kebijakan berbeda yang memberikan akses.
Principal — Dalam kebijakan (IAMkebijakan) berbasis identitas, pengguna yang melekat pada kebijakan tersebut adalah prinsipal implisit. Untuk kebijakan berbasis sumber daya, Anda menentukan pengguna, akun, layanan, atau entitas lain yang diinginkan untuk menerima izin (berlaku hanya untuk kebijakan berbasis sumber daya).

Untuk mempelajari lebih lanjut tentang sintaks dan deskripsi IAM kebijakan, lihat Referensi AWS IAM Kebijakan di IAMPanduan Pengguna.

Untuk tabel yang menunjukkan semua ElastiCache API tindakan Amazon, lihatElastiCache APIizin: Referensi tindakan, sumber daya, dan kondisi.

Menentukan kondisi dalam kebijakan

Saat memberikan izin, Anda dapat menggunakan bahasa IAM kebijakan untuk menentukan kondisi kapan kebijakan harus diterapkan. Misalnya, Anda mungkin ingin kebijakan diterapkan hanya setelah tanggal tertentu. Untuk informasi selengkapnya tentang menentukan kondisi dalam bahasa kebijakan, lihat Kondisi di Panduan IAM Pengguna.

Untuk menyatakan kondisi, Anda menggunakan kunci kondisi standar. Untuk menggunakan tombol kondisi ElastiCache khusus, lihatMenggunakan kunci kondisi. Ada tombol kondisi AWS-wide yang dapat Anda gunakan sesuai kebutuhan. Untuk daftar lengkap tombol AWS-wide, lihat Kunci yang Tersedia untuk Ketentuan di Panduan IAM Pengguna.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Pemecahan Masalah

AWS kebijakan terkelola