Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Panoramica sulla gestione delle autorizzazioni di accesso alle risorse di MemoryDB
Ogni AWS risorsa è di proprietà di un AWS account e le autorizzazioni per creare o accedere a una risorsa sono regolate dalle politiche di autorizzazione. Un amministratore dell'account è in grado di collegare le policy relative alle autorizzazioni alle identità IAM (ovvero utenti, gruppi e ruoli). Inoltre, MemoryDB supporta anche l'associazione di politiche di autorizzazione alle risorse.
Nota
Un amministratore account (o un utente amministratore) è un utente con privilegi di amministratore. Per ulteriori informazioni, consulta IAMBest Practices nella Guida per l'utente. IAM
Per fornire l'accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
-
Utenti e gruppi in AWS IAM Identity Center:
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l'utente di AWS IAM Identity Center .
-
Utenti gestiti IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate in Creare un ruolo per un provider di identità di terze parti (federazione) nella Guida per l'IAMutente.
-
IAMutenti:
-
Crea un ruolo che l'utente possa assumere. Segui le istruzioni riportate in Creare un ruolo per un IAM utente nella Guida per l'IAMutente.
-
(Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate in Aggiungere autorizzazioni a un utente (console) nella Guida per l'IAMutente.
-
Argomenti
- Risorse e operazioni di MemoryDB
- Informazioni sulla proprietà delle risorse
- Gestione dell'accesso alle risorse
- Utilizzo di politiche (politiche) IAM basate sull'identità per MemoryDB
- Autorizzazioni a livello di risorsa
- Utilizzo dei ruoli collegati ai servizi per MemoryDB
- AWS politiche gestite per MemoryDB
- APIAutorizzazioni MemoryDB: riferimento ad azioni, risorse e condizioni
Risorse e operazioni di MemoryDB
In MemoryDB, la risorsa principale è un cluster.
A queste risorse sono associati Amazon Resource Names (ARNs) univoci, come illustrato di seguito.
Nota
Affinché le autorizzazioni a livello di risorsa siano efficaci, il nome della risorsa sulla ARN stringa deve essere minuscolo.
| Tipo di risorsa | ARN formato |
|---|---|
Utente |
|
Elenco di controllo degli accessi () ACL | arn:aws:memorydb ::acl/myacl |
Cluster | arn:aws:memorydb ::cluster/mio-cluster |
Snapshot | arn:aws:memorydb ::snapshot/mia-istantanea |
Gruppo di parametri | arn:aws:memorydb: :parametergroup/ |
Subnet group (Gruppo di sottoreti) | arn:aws:memorydb ::subnetgroup/ |
MemoryDB fornisce una serie di operazioni per lavorare con le risorse di MemoryDB. Per un elenco delle operazioni disponibili, vedere MemoryDB Actions.
Informazioni sulla proprietà delle risorse
Il proprietario della risorsa è l' AWS account che ha creato la risorsa. In altre parole, il proprietario della risorsa è l' AWS account dell'entità principale che autentica la richiesta che crea la risorsa. Un'entità principale può essere l'account root, un IAM utente o un IAM ruolo. Negli esempi seguenti viene illustrato il funzionamento:
-
Supponiamo di utilizzare le credenziali dell'account root del proprio AWS account per creare un cluster. In questo caso, il tuo AWS account è il proprietario della risorsa. In MemoryDB, la risorsa è il cluster.
-
Supponiamo di creare un IAM utente nel AWS proprio account e di concedere a quell'utente le autorizzazioni per creare un cluster. In questo caso, l'utente può creare un cluster. Tuttavia, l' AWS account a cui appartiene l'utente è proprietario della risorsa del cluster.
-
Supponiamo che tu crei un IAM ruolo nel tuo AWS account con le autorizzazioni per creare un cluster. In questo caso, chiunque possa assumere il ruolo può creare un cluster. Il tuo AWS account, a cui appartiene il ruolo, possiede la risorsa del cluster.
Gestione dell'accesso alle risorse
La policy delle autorizzazioni descrive chi ha accesso a cosa. Nella sezione seguente vengono descritte le opzioni disponibili per la creazione di policy relative alle autorizzazioni.
Nota
Questa sezione illustra l'utilizzo IAM nel contesto di MemoryDB. Non fornisce informazioni dettagliate sul servizio IAM. Per la IAM documentazione completa, vedi What Is? IAM nella Guida IAM per l'utente. Per informazioni sulla sintassi e le descrizioni delle IAM policy, vedere AWS IAMPolicy Reference nella Guida per l'IAMutente.
Le policy collegate a un'identità IAM vengono definite policy basate sulle identità (policy IAM). Le policy collegate a una risorsa vengono definite policy basate sulle risorse.
Argomenti
Politiche basate sull'identità (politiche) IAM
Puoi collegare le policy alle identità IAM. Ad esempio, puoi eseguire le operazioni seguenti:
-
Collegare una policy di autorizzazione a un utente o a un gruppo nell'account – Per assegnare le autorizzazioni un amministratore di account può utilizzare una policy di autorizzazione associata a un utente specifico. In questo caso, l'utente è autorizzato a creare una risorsa MemoryDB, ad esempio un cluster, un gruppo di parametri o un gruppo di sicurezza.
-
Collega una policy di autorizzazione a un ruolo (assegnazione di autorizzazioni tra account). Per concedere autorizzazioni multi-account, puoi collegare una policy di autorizzazione basata su identità a un ruolo IAM. Ad esempio, l'amministratore dell'account A può creare un ruolo per concedere autorizzazioni su più account a un altro account (ad esempio, l' AWS account B) o a un servizio nel modo seguente: AWS
-
L'amministratore dell'account A crea un ruolo IAM e collega una policy di autorizzazioni al ruolo che concede le autorizzazioni per le risorse nell'account A.
-
L'amministratore dell'account A attribuisce una policy di attendibilità al ruolo, identificando l'account B come il principale per tale ruolo.
-
L'amministratore dell'Account B può quindi delegare le autorizzazioni per assumere il ruolo a qualsiasi utente dell'Account B. In questo modo gli utenti dell'Account B possono creare o accedere alle risorse dell'Account A. In alcuni casi, potresti voler concedere a un AWS servizio le autorizzazioni per assumere il ruolo. Per supportare tale approccio, l'entità principale nella policy di trust può anche essere un'entità principale di un servizio AWS .
Per ulteriori informazioni sull'utilizzo per IAM delegare le autorizzazioni, vedere Gestione degli accessi nella Guida per l'utente. IAM
-
Di seguito è riportato un esempio di politica che consente a un utente di eseguire l'DescribeClustersazione per il proprio AWS account. MemoryDB supporta anche l'identificazione di risorse specifiche utilizzando la risorsa ARNs per API le azioni. (questo approccio è anche noto come autorizzazioni a livello di risorsa).
{ "Version": "2012-10-17", "Statement": [{ "Sid": "DescribeClusters", "Effect": "Allow", "Action": [ "memorydb:DescribeClusters"], "Resource":resource-arn} ] }
Per ulteriori informazioni sull'utilizzo di politiche basate sull'identità con MemoryDB, vedere. Utilizzo di politiche (politiche) IAM basate sull'identità per MemoryDB Per ulteriori informazioni su utenti, gruppi, ruoli e autorizzazioni, consulta Identità (utenti, gruppi e ruoli) nella Guida per l'utente. IAM
Specifica degli elementi delle policy: operazioni, effetti, risorse ed entità
Per ogni risorsa MemoryDB (vediRisorse e operazioni di MemoryDB), il servizio definisce un insieme di API operazioni (vedi Azioni). Per concedere le autorizzazioni per queste API operazioni, MemoryDB definisce una serie di azioni che è possibile specificare in una politica. Ad esempio, per la risorsa del cluster MemoryDB, vengono definite le seguenti azioni:, e. CreateCluster DeleteCluster DescribeClusters L'esecuzione di un'APIoperazione può richiedere autorizzazioni per più di un'azione.
Di seguito sono elencati gli elementi di base di una policy:
-
Risorsa: in una policy, utilizzi un Amazon Resource Name (ARN) per identificare la risorsa a cui si applica la policy. Per ulteriori informazioni, consulta Risorse e operazioni di MemoryDB.
-
Operazione: utilizzi le parole chiave per identificare le operazioni sulla risorsa da permettere o rifiutare. Ad esempio, a seconda di quanto specificato
Effect, l'memorydb:CreateClusterautorizzazione consente o nega all'utente le autorizzazioni per eseguire l'operazioneCreateClusterMemoryDB. -
Effetto: l'effetto prodotto quando l'utente richiede l'operazione specifica, ovvero un'autorizzazione o un rifiuto. USe non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. È anche possibile negare esplicitamente l'accesso a una risorsa. Ad esempio, è possibile eseguire questa operazione per accertarsi che un utente non sia in grado di accedere a una risorsa, anche se l'accesso viene concesso da un'altra policy.
-
Entità - nelle policy basate su identità (policy IAM), l'utente a cui la policy è collegata è l'entità implicita. Per policy basate su risorse, specifichi l'utente, l'account, il servizio o un'altra entità che desideri riceva le autorizzazioni (si applica solo alle policy basate su risorse).
Per ulteriori informazioni sulla sintassi e sulle descrizioni delle IAM policy, consulta AWS IAMPolicy Reference nella Guida per l'utente. IAM
Per una tabella che mostra tutte le API azioni di MemoryDB, vedere. APIAutorizzazioni MemoryDB: riferimento ad azioni, risorse e condizioni
Specifica delle condizioni in una policy
Quando concedi le autorizzazioni, puoi utilizzare la sintassi delle policy IAM per specificare le condizioni in base alle quali la policy deve essere applicata. Ad esempio, potresti decidere che una policy venga applicata solo dopo una data specifica. Per ulteriori informazioni sulla specificazione delle condizioni in un linguaggio di policy, vedere Condition nella Guida per l'IAMutente.
