Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di politiche (politiche) IAM basate sull'identità per MemoryDB
Questo argomento fornisce esempi di politiche basate sull'identità in cui un amministratore di account può associare politiche di autorizzazione alle IAM identità (ovvero utenti, gruppi e ruoli).
Importante
Si consiglia di leggere innanzitutto gli argomenti che spiegano i concetti e le opzioni di base per gestire l'accesso alle risorse di MemoryDB. Per ulteriori informazioni, consulta Panoramica sulla gestione delle autorizzazioni di accesso alle risorse di MemoryDB.
In questa sezione vengono trattati gli argomenti seguenti:
Di seguito viene illustrato un esempio di policy di autorizzazione.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowClusterPermissions", "Effect": "Allow", "Action": [ "memorydb:CreateCluster", "memorydb:DescribeClusters", "memorydb:UpdateCluster"], "Resource": "*" }, { "Sid": "AllowUserToPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::123456789012:role/EC2-roles-for-cluster" } ] }
La policy include due dichiarazioni:
-
La prima istruzione concede le autorizzazioni per le azioni di MemoryDB (
memorydb:CreateClustermemorydb:DescribeClusters, ememorydb:UpdateCluster) su qualsiasi cluster di proprietà dell'account. -
La seconda istruzione concede le autorizzazioni per l'IAMazione (
iam:PassRole) sul nome del IAM ruolo specificato alla fine del valore.Resource
La policy non specifica l'elemento Principal poiché in una policy basata su identità l'entità che ottiene l'autorizzazione non viene specificata. Quando si collega una policy a un utente, quest'ultimo è l'entità implicita. Quando si associa una politica di autorizzazioni a un IAM ruolo, il principale identificato nella politica di fiducia del ruolo ottiene le autorizzazioni.
Per una tabella che mostra tutte le API azioni di MemoryDB e le risorse a cui si applicano, vedi. APIAutorizzazioni MemoryDB: riferimento ad azioni, risorse e condizioni
Autorizzazioni necessarie per utilizzare la console MemoryDB
La tabella di riferimento delle autorizzazioni elenca le API operazioni di MemoryDB e mostra le autorizzazioni richieste per ciascuna operazione. Per ulteriori informazioni sulle operazioni di API MemoryDB, vedere. APIAutorizzazioni MemoryDB: riferimento ad azioni, risorse e condizioni
Per utilizzare la console MemoryDB, concedi innanzitutto le autorizzazioni per azioni aggiuntive, come illustrato nella seguente politica di autorizzazione.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "MinPermsForMemDBConsole", "Effect": "Allow", "Action": [ "memorydb:Describe*", "memorydb:List*", "ec2:DescribeAvailabilityZones", "ec2:DescribeVpcs", "ec2:DescribeAccountAttributes", "ec2:DescribeSecurityGroups", "cloudwatch:GetMetricStatistics", "cloudwatch:DescribeAlarms", "s3:ListAllMyBuckets", "sns:ListTopics", "sns:ListSubscriptions" ], "Resource": "*" } ] }
La console MemoryDB necessita di queste autorizzazioni aggiuntive per i seguenti motivi:
-
Le autorizzazioni per le azioni MemoryDB consentono alla console di visualizzare le risorse MemoryDB nell'account.
-
La console necessita delle autorizzazioni per le
ec2azioni di interrogazione di Amazon EC2 in modo da poter visualizzare zone di disponibilitàVPCs, gruppi di sicurezza e attributi dell'account. -
Le
cloudwatchautorizzazioni per le azioni consentono alla console di recuperare CloudWatch metriche e allarmi di Amazon e di visualizzarli nella console. -
Le
snsautorizzazioni per le azioni consentono alla console di recuperare gli argomenti e gli abbonamenti di Amazon Simple Notification Service SNS (Amazon) e di visualizzarli nella console.
Esempi di policy gestite dal cliente
Se non si utilizza una policy predefinita e si sceglie di utilizzare una policy gestita in modo personalizzato, assicurarsi di trovarsi in una delle due seguenti situazioni. O si dispone delle autorizzazioni per richiamare iam:createServiceLinkedRole (Per ulteriori informazioni, consultaEsempio 4: consentire a un utente di chiamare IAM CreateServiceLinkedRole API). Oppure avresti dovuto creare un ruolo collegato al servizio MemoryDB.
Se combinate con le autorizzazioni minime necessarie per utilizzare la console MemoryDB, le politiche di esempio in questa sezione concedono autorizzazioni aggiuntive. Gli esempi sono rilevanti anche per il e il. AWS SDKs AWS CLI Per ulteriori informazioni sulle autorizzazioni necessarie per utilizzare la console MemoryDB, vedere. Autorizzazioni necessarie per utilizzare la console MemoryDB
Per istruzioni sulla configurazione di IAM utenti e gruppi, vedere Creazione del primo gruppo di utenti e amministratori nella Guida per IAM l'utente. IAM
Importante
Verifica sempre accuratamente IAM le tue politiche prima di utilizzarle in produzione. Alcune azioni di MemoryDB che sembrano semplici possono richiedere altre azioni per supportarle quando si utilizza la console di MemoryDB. Ad esempio, memorydb:CreateCluster concede le autorizzazioni per creare cluster MemoryDB. Tuttavia, per eseguire questa operazione, la console MemoryDB utilizza una serie di azioni per compilare gli elenchi delle Describe console. List
Esempi
- Esempio 1: consentire a un utente l'accesso in sola lettura alle risorse di MemoryDB
- Esempio 2: consentire a un utente di eseguire attività comuni di amministratore del sistema MemoryDB
- Esempio 3: consentire a un utente di accedere a tutte le azioni di MemoryDB API
- Esempio 4: consentire a un utente di chiamare IAM CreateServiceLinkedRole API
Esempio 1: consentire a un utente l'accesso in sola lettura alle risorse di MemoryDB
La seguente politica concede le autorizzazioni per le azioni di MemoryDB che consentono a un utente di elencare le risorse. In genere, si collega questo tipo di policy di autorizzazione a un gruppo di gestori.
{ "Version": "2012-10-17", "Statement":[{ "Sid": "MemDBUnrestricted", "Effect":"Allow", "Action": [ "memorydb:Describe*", "memorydb:List*"], "Resource":"*" } ] }
Esempio 2: consentire a un utente di eseguire attività comuni di amministratore del sistema MemoryDB
Le attività comuni dell'amministratore di sistema includono la modifica di cluster, parametri e gruppi di parametri. Un amministratore di sistema può anche voler ottenere informazioni sugli eventi di MemoryDB. La seguente politica concede a un utente le autorizzazioni per eseguire azioni di MemoryDB per queste attività comuni dell'amministratore di sistema. In genere, si collega questo tipo di policy di autorizzazione al gruppo degli amministratori di sistema.
{ "Version": "2012-10-17", "Statement":[{ "Sid": "MDBAllowSpecific", "Effect":"Allow", "Action":[ "memorydb:UpdateCluster", "memorydb:DescribeClusters", "memorydb:DescribeEvents", "memorydb:UpdateParameterGroup", "memorydb:DescribeParameterGroups", "memorydb:DescribeParameters", "memorydb:ResetParameterGroup",], "Resource":"*" } ] }
Esempio 3: consentire a un utente di accedere a tutte le azioni di MemoryDB API
La seguente politica consente a un utente di accedere a tutte le azioni di MemoryDB. Consigliamo di concedere questo tipo di policy di autorizzazione solo a un utente amministratore.
{ "Version": "2012-10-17", "Statement":[{ "Sid": "MDBAllowAll", "Effect":"Allow", "Action":[ "memorydb:*" ], "Resource":"*" } ] }
Esempio 4: consentire a un utente di chiamare IAM CreateServiceLinkedRole API
La seguente politica consente all'utente di chiamare il IAM CreateServiceLinkedRoleAPI. Si consiglia di concedere questo tipo di politica di autorizzazione all'utente che richiama operazioni mutative di MemoryDB.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"CreateSLRAllows", "Effect":"Allow", "Action":[ "iam:CreateServiceLinkedRole" ], "Resource":"*", "Condition":{ "StringLike":{ "iam:AWS ServiceName":"memorydb.amazonaws.com" } } } ] }
