ElastiCache Risorse e operazioni Amazon Informazioni sulla proprietà delle risorse Gestione dell'accesso alle risorse

Panoramica sulla gestione delle autorizzazioni di accesso alle risorse ElastiCache

Ogni AWS risorsa è di proprietà di un AWS account e le autorizzazioni per creare o accedere a una risorsa sono regolate dalle politiche di autorizzazione. Un amministratore di account può associare politiche di autorizzazione alle IAM identità (ovvero utenti, gruppi e ruoli). Inoltre, Amazon supporta ElastiCache anche l'associazione di politiche di autorizzazione alle risorse.

Nota

Un amministratore account (o un utente amministratore) è un utente con privilegi di amministratore. Per ulteriori informazioni, consulta le IAMBest Practice nella Guida per l'IAMutente.

Per fornire l'accesso, aggiungi autorizzazioni ai tuoi utenti, gruppi o ruoli:

Utenti e gruppi in AWS IAM Identity Center:

Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .
Utenti gestiti IAM tramite un provider di identità:

Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate in Creazione di un ruolo per un provider di identità di terze parti (federazione) nella Guida per l'IAMutente.
IAMutenti:
- Crea un ruolo che l'utente possa assumere. Segui le istruzioni riportate nella sezione Creazione di un ruolo per un IAM utente nella Guida per l'IAMutente.
- (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate in Aggiungere autorizzazioni a un utente (console) nella Guida per l'IAMutente.

Argomenti

ElastiCache Risorse e operazioni Amazon

Per visualizzare un elenco dei tipi di ElastiCache risorse e relativiARNs, consulta Resources Defined by Amazon ElastiCache nel Service Authorization Reference. Per sapere con quali azioni puoi specificare le caratteristiche ARN di ogni risorsa, consulta Azioni definite da Amazon ElastiCache.

Informazioni sulla proprietà delle risorse

Il proprietario della risorsa è l' AWS account che ha creato la risorsa. In altre parole, il proprietario della risorsa è l' AWS account dell'entità principale che autentica la richiesta che crea la risorsa. Un'entità principale può essere l'account root, un IAM utente o un IAM ruolo). Negli esempi seguenti viene illustrato il funzionamento:

Supponiamo di utilizzare le credenziali dell'account root del proprio AWS account per creare un cluster di cache. In questo caso, il tuo AWS account è il proprietario della risorsa. In ElastiCache, la risorsa è il cluster di cache.
Supponiamo di creare un IAM utente nel AWS proprio account e di concedere a quell'utente le autorizzazioni per creare un cluster di cache. In questo caso, l'utente può creare un cluster di cache. Tuttavia, il tuo AWS account, a cui appartiene l'utente, possiede la risorsa del cluster di cache.
Supponiamo che tu crei un IAM ruolo nel tuo AWS account con le autorizzazioni per creare un cluster di cache. In questo caso, chiunque sia in grado di assumere il ruolo può creare un cluster di cache. Il tuo AWS account, a cui appartiene il ruolo, possiede la risorsa del cluster di cache.

Gestione dell'accesso alle risorse

La policy delle autorizzazioni descrive chi ha accesso a cosa. Nella sezione seguente vengono descritte le opzioni disponibili per la creazione di policy relative alle autorizzazioni.

Nota

Questa sezione illustra l'utilizzo IAM nel contesto di Amazon ElastiCache. Non fornisce informazioni dettagliate sul IAM servizio. Per la IAM documentazione completa, vedi Cos'èIAM? nella Guida IAM per l'utente. Per informazioni sulla sintassi e le descrizioni delle IAM policy, vedere AWS IAMPolicy Reference nella Guida per l'IAMutente.

Le politiche associate a un'IAMidentità sono denominate politiche basate sull'identità (politiche). IAM Le policy collegate a una risorsa vengono definite policy basate sulle risorse.

Argomenti

Politiche basate sull'identità (politiche) IAM
Specifica degli elementi delle policy: operazioni, effetti, risorse ed entità
Specifica delle condizioni in una policy

Politiche basate sull'identità (politiche) IAM

È possibile allegare politiche alle identità. IAM Ad esempio, puoi eseguire le operazioni seguenti:

Collegare una policy di autorizzazione a un utente o a un gruppo nell'account – Per assegnare le autorizzazioni un amministratore di account può utilizzare una policy di autorizzazione associata a un utente specifico. In questo caso, l'utente è autorizzato a creare una ElastiCache risorsa, ad esempio un cluster di cache, un gruppo di parametri o un gruppo di sicurezza.
Associare una politica di autorizzazioni a un ruolo (concedere autorizzazioni per più account): è possibile allegare una politica di autorizzazioni basata sull'identità a un ruolo per concedere autorizzazioni su più account. IAM Ad esempio, l'amministratore dell'Account A può creare un ruolo per concedere autorizzazioni su più account a un altro account (ad esempio, Account B) o a un AWS servizio come segue: AWS
1. L'amministratore dell'account A crea un IAM ruolo e attribuisce una politica di autorizzazioni al ruolo che concede le autorizzazioni sulle risorse nell'Account A.
2. L'amministratore dell'account A attribuisce una policy di attendibilità al ruolo, identificando l'account B come il principale per tale ruolo.
3. L'amministratore dell'Account B può quindi delegare le autorizzazioni per assumere il ruolo a qualsiasi utente dell'Account B. In questo modo gli utenti dell'Account B possono creare o accedere a risorse nell'Account A. In alcuni casi, potresti voler concedere a un AWS servizio le autorizzazioni per assumere il ruolo. Per supportare tale approccio, l'entità principale nella policy di trust può anche essere un'entità principale di un servizio AWS .
Per ulteriori informazioni sull'utilizzo per IAM delegare le autorizzazioni, vedere Gestione degli accessi nella Guida per l'utente. IAM

Di seguito è riportato un esempio di politica che consente a un utente di eseguire l'DescribeCacheClustersazione per il proprio AWS account. ElastiCache supporta anche l'identificazione di risorse specifiche utilizzando la risorsa ARNs per API le azioni. (questo approccio è anche noto come autorizzazioni a livello di risorsa).


{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "DescribeCacheClusters",
      "Effect": "Allow",
      "Action": [
         "elasticache:DescribeCacheClusters"],
      "Resource": resource-arn
      }
   ]
}

Per ulteriori informazioni sull'utilizzo di politiche basate sull'identità con ElastiCache, vedere. Utilizzo di politiche (IAMpolitiche) basate sull'identità per Amazon ElastiCache Per ulteriori informazioni su utenti, gruppi, ruoli e autorizzazioni, consulta Identità (utenti, gruppi e ruoli) nella Guida per l'utente. IAM

Specifica degli elementi delle policy: operazioni, effetti, risorse ed entità

Per ogni ElastiCache risorsa Amazon (vedi ElastiCache Risorse e operazioni Amazon), il servizio definisce una serie di API operazioni (vedi Azioni). Per concedere le autorizzazioni per queste API operazioni, ElastiCache definisce una serie di azioni che puoi specificare in una politica. Ad esempio, per la risorsa ElastiCache cluster, vengono definite le seguenti azioni:CreateCacheCluster,DeleteCacheCluster, eDescribeCacheCluster. L'esecuzione di un'APIoperazione può richiedere autorizzazioni per più di un'azione.

Di seguito sono elencati gli elementi di base di una policy:

Risorsa: in una policy, utilizzi un Amazon Resource Name (ARN) per identificare la risorsa a cui si applica la policy. Per ulteriori informazioni, consulta ElastiCache Risorse e operazioni Amazon.
Operazione: utilizzi le parole chiave per identificare le operazioni sulla risorsa da permettere o rifiutare. Ad esempio, a seconda di quanto specificatoEffect, l'elasticache:CreateCacheClusterautorizzazione consente o nega all'utente le autorizzazioni per eseguire l'operazione Amazon ElastiCacheCreateCacheCluster.
Effetto: l'effetto prodotto quando l'utente richiede l'operazione specifica, ovvero un'autorizzazione o un rifiuto. USe non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. È anche possibile negare esplicitamente l'accesso a una risorsa. Ad esempio, è possibile eseguire questa operazione per accertarsi che un utente non sia in grado di accedere a una risorsa, anche se l'accesso viene concesso da un'altra policy.
Principal: nelle politiche basate sull'identità (IAMpolicy), l'utente a cui è associata la policy è il principale implicito. Per policy basate su risorse, specifichi l'utente, l'account, il servizio o un'altra entità che desideri riceva le autorizzazioni (si applica solo alle policy basate su risorse).

Per ulteriori informazioni sulla sintassi e sulle descrizioni delle IAM policy, consulta AWS IAMPolicy Reference nella Guida per l'utente. IAM

Per una tabella che mostra tutte le ElastiCache API azioni di Amazon, consultaElastiCache APIautorizzazioni: riferimento ad azioni, risorse e condizioni.

Specifica delle condizioni in una policy

Quando concedi le autorizzazioni, puoi utilizzare il linguaggio della IAM policy per specificare le condizioni in cui una politica deve avere effetto. Ad esempio, potresti decidere che una policy venga applicata solo dopo una data specifica. Per ulteriori informazioni sulla specificazione delle condizioni in un linguaggio di policy, consulta Condition nella Guida per l'IAMutente.

Per esprimere le condizioni è necessario utilizzare chiavi di condizione predefinite. Per utilizzare i tasti ElastiCache di condizione specifici, vedere. Utilizzo delle chiavi di condizione Esistono tasti di condizione AWS-wide che è possibile utilizzare a seconda delle esigenze. Per un elenco completo delle chiavi AWS-wide, consulta Available Keys for Conditions nella Guida per l'IAMutente.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Risoluzione dei problemi

AWS politiche gestite