Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di politiche (IAMpolitiche) basate sull'identità per Amazon ElastiCache
Questo argomento fornisce esempi di politiche basate sull'identità in cui un amministratore di account può associare politiche di autorizzazione alle IAM identità (ovvero utenti, gruppi e ruoli).
Importante
Ti consigliamo di leggere prima gli argomenti che spiegano i concetti e le opzioni di base per gestire l'accesso alle ElastiCache risorse di Amazon. Per ulteriori informazioni, consulta Panoramica sulla gestione delle autorizzazioni di accesso alle risorse ElastiCache .
In questa sezione vengono trattati gli argomenti seguenti:
Di seguito viene mostrato un esempio di politica di autorizzazioni quando si utilizza RedisOSS.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowClusterPermissions", "Effect": "Allow", "Action": [ "elasticache:CreateServerlessCache", "elasticache:CreateCacheCluster", "elasticache:DescribeServerlessCaches", "elasticache:DescribeReplicationGroups", "elasticache:DescribeCacheClusters", "elasticache:ModifyServerlessCache", "elasticache:ModifyReplicationGroup", "elasticache:ModifyCacheCluster" ], "Resource": "*" }, { "Sid": "AllowUserToPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::123456789012:role/EC2-roles-for-cluster" } ] }
Di seguito viene mostrato un esempio di politica di autorizzazioni quando si utilizza Memcached.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowClusterPermissions", "Effect": "Allow", "Action": [ "elasticache:CreateServerlessCache", "elasticache:CreateCacheCluster", "elasticache:DescribeServerlessCaches", "elasticache:DescribeCacheClusters", "elasticache:ModifyServerlessCache", "elasticache:ModifyCacheCluster" ], "Resource": "*" }, { "Sid": "AllowUserToPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::123456789012:role/EC2-roles-for-cluster" } ] }
La policy include due dichiarazioni:
-
La prima istruzione concede le autorizzazioni per le ElastiCache azioni Amazon (
elasticache:Create*,,elasticache:Describe*)elasticache:Modify* -
La seconda istruzione concede le autorizzazioni per l'IAMazione (
iam:PassRole) sul nome del IAM ruolo specificato alla fine del valore.Resource
La policy non specifica l'elemento Principal poiché in una policy basata su identità l'entità che ottiene l'autorizzazione non viene specificata. Quando si collega una policy a un utente, quest'ultimo è l'entità implicita. Quando si associa una politica di autorizzazioni a un IAM ruolo, il principale identificato nella politica di fiducia del ruolo ottiene le autorizzazioni.
Per una tabella che mostra tutte le ElastiCache API azioni di Amazon e le risorse a cui si applicano, consultaElastiCache APIautorizzazioni: riferimento ad azioni, risorse e condizioni.
Esempi di policy gestite dal cliente
Se non si utilizza una policy predefinita e si sceglie di utilizzare una policy gestita in modo personalizzato, assicurarsi di trovarsi in una delle due seguenti situazioni. O si dispone delle autorizzazioni per richiamare iam:createServiceLinkedRole (Per ulteriori informazioni, consultaEsempio 4: consentire a un utente di chiamare IAM CreateServiceLinkedRole API). Oppure avresti dovuto creare un ruolo ElastiCache collegato al servizio.
Se combinate con le autorizzazioni minime necessarie per utilizzare la ElastiCache console Amazon, le politiche di esempio in questa sezione concedono autorizzazioni aggiuntive. Gli esempi sono rilevanti anche per il AWS SDKs e il. AWS CLI
Per istruzioni sulla configurazione di IAM utenti e gruppi, vedere Creazione del primo gruppo di IAM utenti e amministratori nella Guida per l'IAMutente.
Importante
Verifica sempre accuratamente IAM le tue politiche prima di utilizzarle in produzione. Alcune ElastiCache azioni che sembrano semplici possono richiedere altre azioni per supportarle quando si utilizza la ElastiCache console. Ad esempio, elasticache:CreateCacheCluster concede le autorizzazioni per creare cluster di ElastiCache cache. Tuttavia, per eseguire questa operazione, la ElastiCache console utilizza una serie di List azioni Describe e per compilare gli elenchi delle console.
Esempi
- Esempio 1: consentire a un utente l'accesso in sola lettura alle risorse ElastiCache
- Esempio 2: consentire a un utente di eseguire attività comuni di amministratore ElastiCache di sistema
- Esempio 3: consentire a un utente di accedere a tutte le azioni ElastiCache API
- Esempio 4: consentire a un utente di chiamare IAM CreateServiceLinkedRole API
- Esempio 5: consentire a un utente di connettersi alla cache serverless utilizzando l'autenticazione IAM
Esempio 1: consentire a un utente l'accesso in sola lettura alle risorse ElastiCache
La seguente politica concede ElastiCache azioni di autorizzazione che consentono a un utente di elencare le risorse. In genere, si collega questo tipo di policy di autorizzazione a un gruppo di gestori.
{ "Version": "2012-10-17", "Statement":[{ "Sid": "ECReadOnly", "Effect":"Allow", "Action": [ "elasticache:Describe*", "elasticache:List*"], "Resource":"*" } ] }
Esempio 2: consentire a un utente di eseguire attività comuni di amministratore ElastiCache di sistema
Le attività comuni dell'amministratore di sistema includono la modifica delle risorse. Un amministratore di sistema può anche voler ottenere informazioni sugli ElastiCache eventi. La seguente politica concede a un utente le autorizzazioni per eseguire ElastiCache azioni per queste attività comuni dell'amministratore di sistema. In genere, si collega questo tipo di policy di autorizzazione al gruppo degli amministratori di sistema.
{ "Version": "2012-10-17", "Statement":[{ "Sid": "ECAllowMutations", "Effect":"Allow", "Action":[ "elasticache:Modify*", "elasticache:Describe*", "elasticache:ResetCacheParameterGroup" ], "Resource":"*" } ] }
Esempio 3: consentire a un utente di accedere a tutte le azioni ElastiCache API
La seguente politica consente a un utente di accedere a tutte le ElastiCache azioni. Consigliamo di concedere questo tipo di policy di autorizzazione solo a un utente amministratore.
{ "Version": "2012-10-17", "Statement":[{ "Sid": "ECAllowAll", "Effect":"Allow", "Action":[ "elasticache:*" ], "Resource":"*" } ] }
Esempio 4: consentire a un utente di chiamare IAM CreateServiceLinkedRole API
La seguente politica consente all'utente di chiamare il IAM CreateServiceLinkedRoleAPI. Si consiglia di concedere questo tipo di politica di autorizzazione all'utente che richiama operazioni mutative. ElastiCache
{ "Version":"2012-10-17", "Statement":[ { "Sid":"CreateSLRAllows", "Effect":"Allow", "Action":[ "iam:CreateServiceLinkedRole" ], "Resource":"*", "Condition":{ "StringLike":{ "iam:AWS ServiceName":"elasticache.amazonaws.com" } } } ] }
Esempio 5: consentire a un utente di connettersi alla cache serverless utilizzando l'autenticazione IAM
La seguente politica consente a qualsiasi utente di connettersi a qualsiasi cache serverless utilizzando l'IAMautenticazione tra il 2023-04-01 e il 2023-06-30.
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" : ["elasticache:Connect"], "Resource" : [ "arn:aws:elasticache:us-east-1:123456789012:serverlesscache:*" ], "Condition": { "DateGreaterThan": {"aws:CurrentTime": "2023-04-01T00:00:00Z"}, "DateLessThan": {"aws:CurrentTime": "2023-06-30T23:59:59Z"} } }, { "Effect" : "Allow", "Action" : ["elasticache:Connect"], "Resource" : [ "arn:aws:elasticache:us-east-1:123456789012:user:*" ] } ] }
