Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Panoramica sulla gestione delle autorizzazioni di accesso alle risorse di MemoryDB
Ogni AWS risorsa è di proprietà di un AWS account e le autorizzazioni per creare o accedere a una risorsa sono regolate dalle politiche di autorizzazione. Un amministratore dell'account è in grado di collegare le policy relative alle autorizzazioni alle identità IAM (ovvero utenti, gruppi e ruoli). Inoltre, MemoryDB supporta anche l'associazione di politiche di autorizzazione alle risorse.
**Nota**
Un *amministratore account* (o un utente amministratore) è un utente con privilegi di amministratore. Per ulteriori informazioni, consulta [Best practice IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l'utente di IAM*.
Per fornire l’accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
+ Utenti e gruppi in: AWS IAM Identity Center
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) (Creazione di un set di autorizzazioni) nella *Guida per l’utente di AWS IAM Identity Center *.
+ Utenti gestiti in IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) della *Guida per l’utente IAM*.
+ Utenti IAM:
+ Crea un ruolo che l’utente possa assumere. Segui le istruzioni riportate nella pagina [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) della *Guida per l’utente IAM*.
+ (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina [Aggiunta di autorizzazioni a un utente (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente IAM*.
**Topics**
+ [Risorse e operazioni di MemoryDB](#iam.overview.resourcesandoperations)
+ [Informazioni sulla proprietà delle risorse](#access-control-resource-ownership)
+ [Gestione dell'accesso alle risorse](#iam.overview.managingaccess)
+ [Utilizzo di politiche basate sull'identità (politiche IAM) per MemoryDB](iam.identitybasedpolicies.md)
+ [Autorizzazioni a livello di risorsa](iam.resourcelevelpermissions.md)
+ [Utilizzo dei ruoli collegati ai servizi per MemoryDB](using-service-linked-roles.md)
+ [AWS politiche gestite per MemoryDB](security-iam-awsmanpol.md)
+ [Autorizzazioni API MemoryDB: riferimento ad azioni, risorse e condizioni](iam.APIReference.md)
## Risorse e operazioni di MemoryDB
*In MemoryDB, la risorsa principale è un cluster.*
A queste risorse sono associati Amazon Resource Names (ARNs) univoci, come illustrato di seguito.
**Nota**
Affinché le autorizzazioni a livello di risorsa siano efficaci, il nome della risorsa nella stringa ARN deve essere minuscolo.
****
| Tipo di risorsa | Formato ARN |
| --- | --- |
| Utente | arn:aws:memorydb ::user/user1 *us-east-1:123456789012* |
| Elenco di controllo degli accessi (ACL) | arn:aws:memorydb ::acl/myacl *us-east-1:123456789012* |
| Cluster | arn:aws:memorydb ::cluster/mio-cluster *us-east-1:123456789012* |
| Istantanea | arn:aws:memorydb ::snapshot/my-snapshot *us-east-1:123456789012* |
| Gruppo di parametri | arn:aws:memorydb: :parametergroup/ *us-east-1:123456789012* my-parameter-group |
| Gruppo di sottoreti | arn:aws:memorydb ::subnetgroup/ *us-east-1:123456789012* my-subnet-group |
MemoryDB fornisce una serie di operazioni per lavorare con le risorse di MemoryDB. [Per un elenco delle operazioni disponibili, vedere MemoryDB Actions.](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_Operations.html)
## Informazioni sulla proprietà delle risorse
*Il proprietario della risorsa* è l' AWS account che ha creato la risorsa. In altre parole, il proprietario della risorsa è l' AWS account dell'entità principale che autentica la richiesta che crea la risorsa. Un'*entità principale* può essere l'account root, un utente IAM o un ruolo IAM. Negli esempi seguenti viene illustrato il funzionamento:
+ Supponiamo di utilizzare le credenziali dell'account root del proprio AWS account per creare un cluster. In questo caso, il tuo AWS account è il proprietario della risorsa. In MemoryDB, la risorsa è il cluster.
+ Supponiamo di creare un utente IAM nel tuo AWS account e di concedere a quell'utente le autorizzazioni per creare un cluster. In questo caso, l'utente può creare un cluster. Tuttavia, l' AWS account a cui appartiene l'utente è proprietario della risorsa del cluster.
+ Supponiamo che tu crei un ruolo IAM nel tuo AWS account con le autorizzazioni per creare un cluster. In questo caso, chiunque possa assumere il ruolo può creare un cluster. Il tuo AWS account, a cui appartiene il ruolo, possiede la risorsa del cluster.
## Gestione dell'accesso alle risorse
La *policy delle autorizzazioni* descrive chi ha accesso a cosa. Nella sezione seguente vengono descritte le opzioni disponibili per la creazione di policy relative alle autorizzazioni.
**Nota**
Questa sezione illustra l'utilizzo di IAM nel contesto di MemoryDB. Non vengono fornite informazioni dettagliate sul servizio IAM. Per la documentazione di IAM completa, consulta [Che cos'è IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) nella *Guida per l'utente di IAM*. Per informazioni sulla sintassi delle policy IAM e le rispettive descrizioni, consulta [Riferimento alle policy IAM di AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella *Guida per l'utente di IAM*.
Le policy collegate a un'identità IAM vengono definite *policy basate su identità* (policy IAM). Le policy collegate a una risorsa vengono definite *policy basate sulle risorse*.
**Topics**
+ [Policy basate su identità (policy IAM)](#iam.overview.managingaccess.identitybasedpolicies)
+ [Specifica degli elementi delle policy: operazioni, effetti, risorse ed entità](#iam.overview.policyelements)
+ [Specifica delle condizioni in una policy](#iam.specifyconditions)
### Policy basate su identità (policy IAM)
Puoi collegare le policy alle identità IAM. Ad esempio, puoi eseguire le operazioni seguenti:
+ **Collegare una policy di autorizzazione a un utente o a un gruppo nell'account** – Per assegnare le autorizzazioni un amministratore di account può utilizzare una policy di autorizzazione associata a un utente specifico. In questo caso, l'utente ha il permesso di creare una risorsa MemoryDB, come un cluster, un gruppo di parametri o un gruppo di sicurezza.
+ **Collega una policy di autorizzazione a un ruolo (assegnazione di autorizzazioni tra account)**: per concedere autorizzazioni tra più account, è possibile collegare una policy di autorizzazione basata su identità a un ruolo IAM. Ad esempio, l'amministratore dell'account A può creare un ruolo per concedere autorizzazioni su più account a un altro account (ad esempio, l' AWS account B) o a un servizio nel modo seguente: AWS
1. L'amministratore dell'account A crea un ruolo IAM e attribuisce una policy di autorizzazione al ruolo che concede le autorizzazioni sulle risorse per l'account A.
1. L'amministratore dell'account A attribuisce una policy di attendibilità al ruolo, identificando l'account B come il principale per tale ruolo.
1. L'amministratore dell'Account B può quindi delegare le autorizzazioni per assumere il ruolo a qualsiasi utente dell'Account B. In questo modo gli utenti dell'Account B possono creare o accedere alle risorse dell'Account A. In alcuni casi, potresti voler concedere a un AWS servizio le autorizzazioni per assumere il ruolo. Per supportare tale approccio, l'entità principale nella policy di trust può anche essere un'entità principale di un servizio AWS .
Per ulteriori informazioni sull'uso di IAM per delegare le autorizzazioni, consulta [Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) nella *IAM User Guide* (Guida per l'utente di IAM).
Di seguito è riportato un esempio di politica che consente a un utente di eseguire l'`DescribeClusters`azione per il tuo account. AWS MemoryDB supporta anche l'identificazione di risorse specifiche utilizzando la risorsa ARNs per le azioni API. (questo approccio è anche noto come autorizzazioni a livello di risorsa).
Per ulteriori informazioni sull'utilizzo di politiche basate sull'identità con MemoryDB, vedere. [Utilizzo di politiche basate sull'identità (politiche IAM) per MemoryDB](iam.identitybasedpolicies.md) Per ulteriori informazioni su utenti, gruppi, ruoli e autorizzazioni, consulta [Identità (utenti, gruppi e ruoli)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) nella *Guida per l'utente di IAM*.
### Specifica degli elementi delle policy: operazioni, effetti, risorse ed entità
[Per ogni risorsa MemoryDB (vedi[Risorse e operazioni di MemoryDB](#iam.overview.resourcesandoperations)), il servizio definisce un insieme di operazioni API (vedi Azioni).](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_Operations.html) Per concedere le autorizzazioni per queste operazioni API, MemoryDB definisce una serie di azioni che è possibile specificare in una politica. Ad esempio, per la risorsa del cluster MemoryDB, vengono definite le seguenti azioni:, e. `CreateCluster` `DeleteCluster` `DescribeClusters` L'esecuzione di un'operazione API può richiedere le autorizzazioni per più di un'operazione.
Di seguito sono elencati gli elementi di base di una policy:
+ **Risorsa**: in una policy si utilizza il nome della risorsa Amazon (ARN) per identificare la risorsa a cui si applica la policy stessa. Per ulteriori informazioni, consulta [Risorse e operazioni di MemoryDB](#iam.overview.resourcesandoperations).
+ **Operazione**: utilizzi le parole chiave per identificare le operazioni sulla risorsa da permettere o rifiutare. Ad esempio, a seconda di quanto specificato`Effect`, l'`memorydb:CreateCluster`autorizzazione consente o nega all'utente le autorizzazioni per eseguire l'operazione MemoryDB. `CreateCluster`
+ **Effetto**: l'effetto prodotto quando l'utente richiede l'operazione specifica, ovvero un'autorizzazione o un rifiuto. USe non concedi esplicitamente (consenti) l'accesso a una risorsa, l'accesso viene implicitamente rifiutato. È anche possibile negare esplicitamente l'accesso a una risorsa. Ad esempio, è possibile eseguire questa operazione per accertarsi che un utente non sia in grado di accedere a una risorsa, anche se l'accesso viene concesso da un'altra policy.
+ **Principale**: nelle policy basate su identità (policy IAM), l'utente a cui la policy è collegata è il principale implicito. Per policy basate su risorse, specifichi l'utente, l'account, il servizio o un'altra entità che desideri riceva le autorizzazioni (si applica solo alle policy basate su risorse).
Per ulteriori informazioni sulla sintassi e le descrizioni delle policy IAM, consulta [AWS Riferimento alle policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) nella *Guida per l'utente di IAM*.
Per una tabella che mostra tutte le azioni dell'API MemoryDB, vedere. [Autorizzazioni API MemoryDB: riferimento ad azioni, risorse e condizioni](iam.APIReference.md)
### Specifica delle condizioni in una policy
Quando si concedono le autorizzazioni, è possibile utilizzare il linguaggio della policy IAM per specificare le condizioni in base a cui la policy deve essere applicata. Ad esempio, potresti decidere che una policy venga applicata solo dopo una data specifica. Per ulteriori informazioni su come specificare le condizioni in un linguaggio di policy, consulta la sezione [Condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) nella *Guida per l'utente di IAM*.
# Utilizzo di politiche basate sull'identità (politiche IAM) per MemoryDB
In questo argomento vengono forniti esempi di policy basate su identità in cui un amministratore account può collegare policy di autorizzazione a identità IAM, ovvero utenti, gruppi e ruoli.
**Importante**
Ti consigliamo di leggere prima gli argomenti che spiegano i concetti e le opzioni di base per gestire l'accesso alle risorse di MemoryDB. Per ulteriori informazioni, consulta [Panoramica sulla gestione delle autorizzazioni di accesso alle risorse di MemoryDB](iam.overview.md).
In questa sezione vengono trattati gli argomenti seguenti:
+ [Autorizzazioni necessarie per utilizzare la console MemoryDB](#iam.identitybasedpolicies.minconpolicies)
+ [AWS-politiche gestite (predefinite) per MemoryDB](security-iam-awsmanpol.md#iam.identitybasedpolicies.predefinedpolicies)
+ [Esempi di policy gestite dal cliente](#iam.identitybasedpolicies.customermanagedpolicies)
Di seguito viene illustrato un esempio di policy di autorizzazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowClusterPermissions",
"Effect": "Allow",
"Action": [
"memorydb:CreateCluster",
"memorydb:DescribeClusters",
"memorydb:UpdateCluster"],
"Resource": "*"
},
{
"Sid": "AllowUserToPassRole",
"Effect": "Allow",
"Action": [ "iam:PassRole" ],
"Resource": "arn:aws:iam::123456789012:role/EC2-roles-for-cluster"
}
]
}
```
------
La policy include due dichiarazioni:
+ La prima istruzione concede le autorizzazioni per le azioni di MemoryDB (`memorydb:CreateCluster``memorydb:DescribeClusters`, e`memorydb:UpdateCluster`) su qualsiasi cluster di proprietà dell'account.
+ La seconda istruzione concede le autorizzazioni per l'operazione IAM (`iam:PassRole`) sul nome del ruolo IAM specificato alla fine del valore `Resource`.
La policy non specifica l'elemento `Principal` poiché in una policy basata su identità l'entità che ottiene l'autorizzazione non viene specificata. Quando si collega una policy a un utente, quest'ultimo è l'entità implicita. Quando colleghi una policy di autorizzazioni a un ruolo IAM, il principale identificato nella policy di attendibilità del ruolo ottiene le autorizzazioni.
Per una tabella che mostra tutte le azioni dell'API MemoryDB e le risorse a cui si applicano, vedere. [Autorizzazioni API MemoryDB: riferimento ad azioni, risorse e condizioni](iam.APIReference.md)
## Autorizzazioni necessarie per utilizzare la console MemoryDB
La tabella di riferimento delle autorizzazioni elenca le operazioni dell'API MemoryDB e mostra le autorizzazioni richieste per ciascuna operazione. Per ulteriori informazioni sulle operazioni dell'API MemoryDB, vedere. [Autorizzazioni API MemoryDB: riferimento ad azioni, risorse e condizioni](iam.APIReference.md)
Per utilizzare la console MemoryDB, concedi innanzitutto le autorizzazioni per azioni aggiuntive, come mostrato nella seguente politica di autorizzazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "MinPermsForMemDBConsole",
"Effect": "Allow",
"Action": [
"memorydb:Describe*",
"memorydb:List*",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeVpcs",
"ec2:DescribeAccountAttributes",
"ec2:DescribeSecurityGroups",
"cloudwatch:GetMetricStatistics",
"cloudwatch:DescribeAlarms",
"s3:ListAllMyBuckets",
"sns:ListTopics",
"sns:ListSubscriptions" ],
"Resource": "*"
}
]
}
```
------
La console MemoryDB necessita di queste autorizzazioni aggiuntive per i seguenti motivi:
+ Le autorizzazioni per le azioni MemoryDB consentono alla console di visualizzare le risorse MemoryDB nell'account.
+ La console necessita delle autorizzazioni per le `ec2` azioni di interrogazione di Amazon EC2 in modo da poter visualizzare zone di disponibilità VPCs, gruppi di sicurezza e attributi dell'account.
+ Le `cloudwatch` autorizzazioni per le azioni consentono alla console di recuperare CloudWatch metriche e allarmi di Amazon e di visualizzarli nella console.
+ Le autorizzazioni per le operazioni `sns` consentono alla console di recuperare argomenti e sottoscrizioni di Amazon Simple Notification Service (Amazon SNS) e mostrarli.
## Esempi di policy gestite dal cliente
Se non si utilizza una policy predefinita e si sceglie di utilizzare una policy gestita in modo personalizzato, assicurarsi di trovarsi in una delle due seguenti situazioni. O si dispone delle autorizzazioni per richiamare `iam:createServiceLinkedRole` (Per ulteriori informazioni, consulta[Esempio 4: consentire a un utente di chiamare l'API IAM CreateServiceLinkedRole](#create-service-linked-role-policy)). Oppure avresti dovuto creare un ruolo collegato al servizio MemoryDB.
Se combinate con le autorizzazioni minime necessarie per utilizzare la console MemoryDB, le politiche di esempio in questa sezione concedono autorizzazioni aggiuntive. Gli esempi sono rilevanti anche per il e il. AWS SDKs AWS CLI Per ulteriori informazioni sulle autorizzazioni necessarie per utilizzare la console MemoryDB, vedere. [Autorizzazioni necessarie per utilizzare la console MemoryDB](#iam.identitybasedpolicies.minconpolicies)
Per istruzioni su come impostare gruppi e utenti IAM, consulta [Creazione del primo utente e gruppo di amministratori IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) nella *Guida per l'utente di IAM*.
**Importante**
Testa sempre in modo approfondito le Policy IAM prima di avvalertene in fase di produzione. Alcune azioni di MemoryDB che sembrano semplici possono richiedere altre azioni per supportarle quando si utilizza la console MemoryDB. Ad esempio, `memorydb:CreateCluster` concede le autorizzazioni per creare cluster MemoryDB. Tuttavia, per eseguire questa operazione, la console MemoryDB utilizza una serie di azioni per compilare gli elenchi delle `Describe` console. `List`
**Topics**
+ [Esempio 1: consentire a un utente l'accesso in sola lettura alle risorse di MemoryDB](#example-allow-list-current-memorydb-resources)
+ [Esempio 2: consentire a un utente di eseguire attività comuni di amministratore del sistema MemoryDB](#example-allow-specific-memorydb-actions)
+ [Esempio 3: consentire a un utente di accedere a tutte le azioni dell'API MemoryDB](#allow-unrestricted-access)
+ [Esempio 4: consentire a un utente di chiamare l'API IAM CreateServiceLinkedRole](#create-service-linked-role-policy)
### Esempio 1: consentire a un utente l'accesso in sola lettura alle risorse di MemoryDB
La seguente politica concede le autorizzazioni per le azioni di MemoryDB che consentono a un utente di elencare le risorse. In genere, si collega questo tipo di policy di autorizzazione a un gruppo di gestori.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[{
"Sid": "MemDBUnrestricted",
"Effect":"Allow",
"Action": [
"memorydb:Describe*",
"memorydb:List*"],
"Resource":"*"
}
]
}
```
------
### Esempio 2: consentire a un utente di eseguire attività comuni di amministratore del sistema MemoryDB
Le attività comuni dell'amministratore di sistema includono la modifica di cluster, parametri e gruppi di parametri. Un amministratore di sistema può anche voler ottenere informazioni sugli eventi di MemoryDB. La seguente politica concede a un utente le autorizzazioni per eseguire azioni di MemoryDB per queste attività comuni dell'amministratore di sistema. In genere, si collega questo tipo di policy di autorizzazione al gruppo degli amministratori di sistema.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MDBAllowSpecific",
"Effect": "Allow",
"Action": [
"memorydb:UpdateCluster",
"memorydb:DescribeClusters",
"memorydb:DescribeEvents",
"memorydb:UpdateParameterGroup",
"memorydb:DescribeParameterGroups",
"memorydb:DescribeParameters",
"memorydb:ResetParameterGroup"
],
"Resource": "*"
}
]
}
```
------
### Esempio 3: consentire a un utente di accedere a tutte le azioni dell'API MemoryDB
La seguente politica consente a un utente di accedere a tutte le azioni di MemoryDB. Consigliamo di concedere questo tipo di policy di autorizzazione solo a un utente amministratore.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[{
"Sid": "MDBAllowAll",
"Effect":"Allow",
"Action":[
"memorydb:*" ],
"Resource":"*"
}
]
}
```
------
### Esempio 4: consentire a un utente di chiamare l'API IAM CreateServiceLinkedRole
La policy seguente permette a un utente di chiamare l'API IAM `CreateServiceLinkedRole` . Si consiglia di concedere questo tipo di politica di autorizzazione all'utente che richiama operazioni mutative di MemoryDB.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"CreateSLRAllows",
"Effect":"Allow",
"Action":[
"iam:CreateServiceLinkedRole"
],
"Resource":"*",
"Condition":{
"StringLike":{
"iam:AWS ServiceName":"memorydb.amazonaws.com"
}
}
}
]
}
```
------
# Autorizzazioni a livello di risorsa
È possibile limitare la portata delle autorizzazioni specificando le risorse in una policy IAM. Molte azioni AWS CLI API supportano un tipo di risorsa che varia a seconda del comportamento dell'azione. Ogni dichiarazione di policy IAM concede l'autorizzazione a un'operazione eseguita su una risorsa. Quando l'operazione non agisce su una risorsa designata oppure quando concedi l'autorizzazione per eseguire l'operazione su tutte le risorse, il valore della risorsa nella policy è un carattere jolly (\$1). Per molte operazioni API è possibile limitare le risorse che un utente può modificare specificando l'Amazon Resource Name (ARN) di una risorsa o un modello ARN che soddisfa più risorse. Per limitare le autorizzazioni in base alla risorsa, specifica la risorsa in base all'ARN.
**Formato ARN delle risorse MemoryDB**
**Nota**
Affinché le autorizzazioni a livello di risorsa siano efficaci, il nome della risorsa nella stringa ARN deve essere minuscolo.
+ Utente — *us-east-1:123456789012* arn:aws:memorydb ::user/user1
+ ACL — arn:aws:memorydb ::acl/my-acl *us-east-1:123456789012*
+ Cluster — arn:aws:memorydb ::cluster/my-cluster *us-east-1:123456789012*
+ Istantanea — arn:aws:memorydb ::snapshot/my-snapshot *us-east-1:123456789012*
+ Gruppo di parametri — arn:aws:memorydb ::parametergroup/ *us-east-1:123456789012* my-parameter-group
+ Gruppo di sottoreti — arn:aws:memorydb ::subnetgroup/ *us-east-1:123456789012* my-subnet-group
**Topics**
+ [Esempio 1: consentire a un utente l'accesso completo a tipi di risorse MemoryDB specifici](#example-allow-list-current-memorydb-resources-resource)
+ [Esempio 2: negare a un utente l'accesso a un cluster.](#example-allow-specific-memorydb-actions-resource)
## Esempio 1: consentire a un utente l'accesso completo a tipi di risorse MemoryDB specifici
La seguente politica consente esplicitamente l'accesso `account-id` completo specificato a tutte le risorse di tipo gruppo di sottorete, gruppo di sicurezza e cluster.
```
{
"Sid": "Example1",
"Effect": "Allow",
"Action": "memorydb:*",
"Resource": [
"arn:aws:memorydb:us-east-1:account-id:subnetgroup/*",
"arn:aws:memorydb:us-east-1:account-id:securitygroup/*",
"arn:aws:memorydb:us-east-1:account-id:cluster/*"
]
}
```
## Esempio 2: negare a un utente l'accesso a un cluster.
L'esempio seguente nega esplicitamente l'`account-id`accesso specificato a un particolare cluster.
```
{
"Sid": "Example2",
"Effect": "Deny",
"Action": "memorydb:*",
"Resource": [
"arn:aws:memorydb:us-east-1:account-id:cluster/name"
]
}
```
# Utilizzo dei ruoli collegati ai servizi per MemoryDB
[MemoryDB utilizza AWS Identity and Access Management ruoli collegati ai servizi (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un ruolo collegato al servizio è un tipo unico di ruolo IAM collegato direttamente a un AWS servizio, come MemoryDB. I ruoli collegati ai servizi MemoryDB sono predefiniti da MemoryDB. Includono tutte le autorizzazioni necessarie al servizio per richiamare servizi AWS per conto dei cluster.
Un ruolo collegato al servizio semplifica la configurazione di MemoryDB perché non è necessario aggiungere manualmente le autorizzazioni necessarie. I ruoli esistono già all'interno dell' AWS account ma sono collegati ai casi d'uso di MemoryDB e dispongono di autorizzazioni predefinite. Solo MemoryDB può assumere questi ruoli e solo questi ruoli possono utilizzare la politica di autorizzazioni predefinita. È possibile eliminare i ruoli solo dopo aver eliminato le risorse correlate. Ciò protegge le risorse di MemoryDB perché non è possibile rimuovere inavvertitamente le autorizzazioni necessarie per accedere alle risorse.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Sì** nella colonna **Ruolo associato ai servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
**Contents**
+ [Autorizzazioni del ruolo collegato ai servizi](#service-linked-role-permissions)
+ [Creazione di un ruolo collegato ai servizi (IAM)](#create-service-linked-role-iam)
+ [Utilizzo della console di IAM](#create-service-linked-role-iam-console)
+ [Utilizzo della CLI di IAM](#create-service-linked-role-iam-cli)
+ [Utilizzo dell'API di IAM](#create-service-linked-role-iam-api)
+ [Modifica della descrizione di un ruolo collegato ai servizi](#edit-service-linked-role)
+ [Utilizzo della console di IAM](#edit-service-linked-role-iam-console)
+ [Utilizzo della CLI di IAM](#edit-service-linked-role-iam-cli)
+ [Utilizzo dell'API di IAM](#edit-service-linked-role-iam-api)
+ [Eliminazione di un ruolo collegato ai servizi per MemoryDB](#delete-service-linked-role)
+ [Pulizia di un ruolo collegato ai servizi](#service-linked-role-review-before-delete)
+ [Eliminazione di un ruolo collegato ai servizi (console di IAM)](#delete-service-linked-role-iam-console)
+ [Eliminazione di un ruolo collegato ai servizi (CLI di IAM)](#delete-service-linked-role-iam-cli)
+ [Eliminazione di un ruolo collegato ai servizi (API di IAM)](#delete-service-linked-role-iam-api)
## Autorizzazioni di ruolo collegate ai servizi per MemoryDB
MemoryDB utilizza il ruolo collegato al servizio denominato DB: questa politica consente a **AWSServiceRoleForMemoryMemoryDB** di gestire le risorse per conto dell'utente, se necessario per la gestione AWS dei cluster.
La politica di autorizzazione dei ruoli collegati al servizio AWSService RoleForMemory DB consente a MemoryDB di completare le seguenti azioni sulle risorse specificate:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws-cn:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"AmazonMemoryDBManaged"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws-cn:ec2:*:*:network-interface/*",
"arn:aws-cn:ec2:*:*:subnet/*",
"arn:aws-cn:ec2:*:*:security-group/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "arn:aws-cn:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/AmazonMemoryDBManaged": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "arn:aws-cn:ec2:*:*:security-group/*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/MemoryDB"
}
}
}
]
}
```
------
Per ulteriori informazioni, consulta [AWS politica gestita: memoria DBService RolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-memorydbServiceRolePolicy).
**Per consentire a un'entità IAM di creare ruoli collegati ai servizi DB AWSService RoleForMemory**
Aggiungi la seguente istruzione di policy alle autorizzazioni per l'entità IAM.
```
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB*",
"Condition": {"StringLike": {"iam:AWS ServiceName": "memorydb.amazonaws.com"}}
}
```
**Per consentire a un'entità IAM di eliminare i ruoli collegati ai servizi AWSService RoleForMemory DB**
Aggiungi la seguente istruzione di policy alle autorizzazioni per l'entità IAM.
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB*",
"Condition": {"StringLike": {"iam:AWS ServiceName": "memorydb.amazonaws.com"}}
}
```
In alternativa, puoi utilizzare una policy AWS gestita per fornire l'accesso completo a MemoryDB.
## Creazione di un ruolo collegato ai servizi (IAM)
È possibile creare un ruolo collegato ai servizi utilizzando la console di IAM, la CLI o l'API.
### Creazione di un ruolo collegato ai servizi (Console di IAM)
Puoi utilizzare la console IAM per creare un ruolo collegato ai servizi.
**Come creare un ruolo collegato ai servizi (console)**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Nel riquadro di navigazione a sinistra della console IAM, scegli **Ruoli**. Quindi seleziona **Create new role (Crea nuovo ruolo)**.
1. In **Select type of trusted entity (Seleziona tipo di entità attendibile)**, scegli **Service AWS **.
1. In **Oppure seleziona un servizio per visualizzarne i casi d'uso**, scegli **MemoryDB**.
1. Scegli **Successivo: autorizzazioni**.
1. In **Policy name (Nome policy)**, si noti che `MemoryDBServiceRolePolicy` è necessario per questo ruolo. Scegli **Successivo: Tag**.
1. Si noti che i tag non sono supportati per i ruoli collegati al servizio. Scegliere **Next:Review** (Successivo:Rivedi).
1. (Facoltativo) In **Role description** (Descrizione ruolo) modifica la descrizione per il nuovo ruolo collegato ai servizi.
1. Rivedere il ruolo e scegliere **Crea ruolo**.
### Creazione di un ruolo collegato ai servizi (CLI di IAM)
Puoi utilizzare le operazioni IAM di AWS Command Line Interface per creare un ruolo collegato al servizio. Questo ruolo può includere la policy di attendibilità e le policy inline che il servizio richiede per assumere il ruolo.
**Per creare un ruolo collegato ai servizi (CLI)**
Attenersi alle operazioni seguenti:
```
$ aws iam [create-service-linked-role](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) --aws-service-name memorydb.amazonaws.com
```
### Creazione di un ruolo collegato ai servizi (API di IAM)
È possibile utilizzare l'API di IAM per creare un ruolo collegato ai servizi. Questo ruolo può contenere la policy di attendibilità e le policy inline che il servizio richiede per assumere il ruolo.
**Per creare un ruolo collegato ai servizi (API)**
Utilizzare la chiamata API [CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html). Nella richiesta, specificare un nome del servizio di `memorydb.amazonaws.com`.
## Modifica della descrizione di un ruolo collegato ai servizi per MemoryDB
MemoryDB non consente di modificare il ruolo collegato al servizio DB. AWSService RoleForMemory Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM.
### Modifica della descrizione di un ruolo collegato ai servizi (console di IAM)
È possibile utilizzare la console di IAM per modificare la descrizione di un ruolo collegato ai servizi.
**Per modificare la descrizione di un ruolo collegato ai servizi (console)**
1. **Nel riquadro di navigazione a sinistra della console IAM, scegli Ruoli.**
1. Scegliere il nome del ruolo da modificare.
1. Nella parte destra di **Role description** (Descrizione ruolo), scegliere **Edit** (Modifica).
1. Digita una nuova descrizione nella casella e scegli **Save (Salva)**.
### Modifica della descrizione di un ruolo collegato ai servizi (CLI di IAM)
Puoi utilizzare le operazioni IAM da AWS Command Line Interface per modificare una descrizione del ruolo collegato al servizio.
**Per modificare la descrizione di un ruolo collegato ai servizi (CLI)**
1. (Facoltativo) Per visualizzare la descrizione corrente di un ruolo, utilizza l'operazione AWS CLI for IAM. `[get-role](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)`
**Example**
```
$ aws iam [get-role](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html) --role-name AWSServiceRoleForMemoryDB
```
Utilizzare il nome del ruolo, non l'ARN, per fare riferimento ai ruoli con le operazioni CLI. Ad esempio, per fare riferimento a un ruolo il cui ARN è `arn:aws:iam::123456789012:role/myrole`, puoi usare **myrole**.
1. Per aggiornare la descrizione di un ruolo collegato al servizio, utilizza l'operazione AWS CLI for IAM. `[update-role-description](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)`
Per Linux, macOS o Unix:
```
$ aws iam [update-role-description](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html) \
--role-name AWSServiceRoleForMemoryDB \
--description "new description"
```
Per Windows:
```
$ aws iam [update-role-description](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html) ^
--role-name AWSServiceRoleForMemoryDB ^
--description "new description"
```
### Modifica della descrizione di un ruolo collegato ai servizi (API di IAM)
È possibile utilizzare l'API di IAM per modificare la descrizione di un ruolo collegato ai servizi.
**Per modificare la descrizione di un ruolo collegato ai servizi (API)**
1. (Facoltativo) Per visualizzare la descrizione corrente di un ruolo, utilizzare l'operazione API di IAM [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html).
**Example**
```
https://iam.amazonaws.com/
?Action=[GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)
&RoleName=AWSServiceRoleForMemoryDB
&Version=2010-05-08
&AUTHPARAMS
```
1. Per aggiornare la descrizione di un ruolo, utilizzare l'operazione API di IAM [UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html).
**Example**
```
https://iam.amazonaws.com/
?Action=[UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)
&RoleName=AWSServiceRoleForMemoryDB
&Version=2010-05-08
&Description="New description"
```
## Eliminazione di un ruolo collegato ai servizi per MemoryDB
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare.
MemoryDB non elimina automaticamente il ruolo collegato al servizio.
### Pulizia di un ruolo collegato ai servizi
Prima di poter utilizzare IAM per eliminare un ruolo collegato al servizio, verifica innanzitutto che al ruolo non siano associate risorse (cluster).
**Per verificare se il ruolo collegato ai servizi dispone di una sessione attiva nella console IAM**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Nel riquadro di navigazione a sinistra della console IAM, scegli **Ruoli**. Quindi scegli il nome (non la casella di controllo) del ruolo AWSService RoleForMemory DB.
1. Nella pagina **Summary** (Riepilogo) per il ruolo selezionato, scegliere la scheda **Access Advisor (Consulente accessi)**.
1. Nella scheda **Access Advisor** (Consulente accessi), esamina l'attività recente per il ruolo collegato ai servizi.
**Per eliminare le risorse MemoryDB che richiedono AWSService RoleForMemory DB (console)**
+ Per eliminare un cluster, consultare i seguenti argomenti:
+ [Utilizzando il Console di gestione AWS](getting-started.md#clusters.deleteclusters.viewdetails)
+ [Usando il AWS CLI](getting-started.md#clusters.delete.cli)
+ [Utilizzo dell'API MemoryDB](getting-started.md#clusters.delete.api)
### Eliminazione di un ruolo collegato ai servizi (console di IAM)
È possibile utilizzare la console IAM per eliminare un ruolo collegato ai servizi.
**Per eliminare un ruolo collegato ai servizi (console)**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Nel riquadro di navigazione a sinistra della console IAM, scegli **Ruoli**. Quindi, seleziona la casella di controllo accanto al nome del ruolo che desideri eliminare, non il nome o la riga stessa.
1. In operazioni **Role (Ruolo)** nella parte superiore della pagina, seleziona **Delete (Elimina)** ruolo.
1. Nella pagina di conferma, esamina i dati dell'ultimo accesso al servizio, che mostrano l'ultima volta che ciascuno dei ruoli selezionati ha effettuato l'ultimo accesso a un AWS servizio. In questo modo potrai verificare se il ruolo è attualmente attivo. Se desideri procedere, seleziona **Yes, Delete (Sì, elimina)** per richiedere l'eliminazione del ruolo collegato ai servizi.
1. Controlla le notifiche della console IAM per monitorare lo stato dell'eliminazione del ruolo collegato ai servizi. Poiché l'eliminazione del ruolo collegato ai servizi IAM è asincrona, una volta richiesta l'eliminazione del ruolo, il task di eliminazione può essere eseguito correttamente o meno. Se il task non viene eseguito correttamente, puoi scegliere **View details (Visualizza dettagli)** o **View Resources (Visualizza risorse)** dalle notifiche per capire perché l'eliminazione non è stata effettuata.
### Eliminazione di un ruolo collegato ai servizi (CLI di IAM)
Puoi utilizzare le operazioni IAM da AWS Command Line Interface per eliminare un ruolo collegato al servizio.
**Per eliminare un ruolo collegato ai servizi (CLI)**
1. Se non conosci il nome del ruolo collegato ai servizi da eliminare, inserisci il comando seguente: Questo comando elenca i ruoli e i relativi Amazon Resource Names (ARNs) nel tuo account.
```
$ aws iam [get-role](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html) --role-name role-name
```
Utilizzare il nome del ruolo, non l'ARN, per fare riferimento ai ruoli con le operazioni CLI. Ad esempio, per fare riferimento a un ruolo il cui ARN è `arn:aws:iam::123456789012:role/myrole`, puoi usare **myrole**.
1. Poiché un ruolo collegato ai servizi non può essere eliminato se è in uso o se a esso sono associate delle risorse, occorre inviare una richiesta di eliminazione. Se queste condizioni non sono soddisfatte, la richiesta può essere rifiutata. Acquisisci il valore di `deletion-task-id`dalla risposta per controllare lo stato del task di eliminazione. Per inviare una richiesta di eliminazione per un ruolo collegato ai servizi, inserire quanto segue:
```
$ aws iam [delete-service-linked-role](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html) --role-name role-name
```
1. Inserire quanto segue per verificare lo stato del processo di eliminazione:
```
$ aws iam [get-service-linked-role-deletion-status](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html) --deletion-task-id deletion-task-id
```
Lo stato di un task di eliminazione può essere `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`o `FAILED`. Se l'eliminazione non viene eseguita correttamente, la chiamata restituisce il motivo dell'errore per consentire all'utente di risolvere il problema.
### Eliminazione di un ruolo collegato ai servizi (API di IAM)
È possibile utilizzare l'API di IAM; per eliminare un ruolo collegato ai servizi.
**Per eliminare un ruolo collegato ai servizi (API)**
1. Per inviare una richiesta di eliminazione per un ruolo collegato ai servizi, chiamare [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html). Nella richiesta, specifica il nome del ruolo.
Poiché un ruolo collegato ai servizi non può essere eliminato se è in uso o se a esso sono associate delle risorse, occorre inviare una richiesta di eliminazione. Se queste condizioni non sono soddisfatte, la richiesta può essere rifiutata. Acquisisci il valore di `DeletionTaskId`dalla risposta per controllare lo stato del task di eliminazione.
1. Chiamare [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html) per controllare lo stato dell'eliminazione. Nella richiesta, specificare il `DeletionTaskId`.
Lo stato di un task di eliminazione può essere `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`o `FAILED`. Se l'eliminazione non viene eseguita correttamente, la chiamata restituisce il motivo dell'errore per consentire all'utente di risolvere il problema.
# AWS politiche gestite per MemoryDB
Per aggiungere autorizzazioni a utenti, gruppi e ruoli, è più facile utilizzare le policy AWS gestite che scriverle da soli. La [creazione di policy gestite dai clienti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) che forniscono al team solo le autorizzazioni di cui ha bisogno richiede tempo e competenza. Per iniziare rapidamente, puoi utilizzare le nostre politiche AWS gestite. Queste politiche coprono casi d'uso comuni e sono disponibili nel tuo AWS account. Per ulteriori informazioni sulle policy AWS gestite, consulta le [policy AWS gestite](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *IAM User Guide*.
AWS i servizi mantengono e aggiornano le politiche AWS gestite. Non è possibile modificare le autorizzazioni nelle politiche AWS gestite. I servizi occasionalmente aggiungono altre autorizzazioni a una policy gestita da AWS per supportare nuove funzionalità. Questo tipo di aggiornamento interessa tutte le identità (utenti, gruppi e ruoli) a cui è collegata la policy. È più probabile che i servizi aggiornino una policy gestita da AWS quando viene avviata una nuova funzionalità o quando diventano disponibili nuove operazioni. I servizi non rimuovono le autorizzazioni da una policy AWS gestita, quindi gli aggiornamenti delle policy non comprometteranno le autorizzazioni esistenti.
Inoltre, AWS supporta politiche gestite per le funzioni lavorative che si estendono su più servizi. Ad esempio, la policy **ReadOnlyAccess** AWS gestita fornisce l'accesso in sola lettura a tutti i AWS servizi e le risorse. Quando un servizio lancia una nuova funzionalità, AWS aggiunge autorizzazioni di sola lettura per nuove operazioni e risorse. Per l’elenco e la descrizione delle policy di funzione dei processi, consultare la sezione [Policy gestite da AWS per funzioni di processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
## AWS politica gestita: memoria DBService RolePolicy
Non puoi allegare la politica di DBService RolePolicy AWS gestione della memoria alle identità del tuo account. Questa politica fa parte del ruolo collegato al servizio AWS MemoryDB. Questo ruolo consente al servizio di gestire le interfacce di rete e i gruppi di sicurezza nell'account.
MemoryDB utilizza le autorizzazioni contenute in questa politica per gestire i gruppi di sicurezza e le interfacce di rete EC2. Ciò è necessario per gestire i cluster MemoryDB.
**Dettagli delle autorizzazioni**
Questa policy include le seguenti autorizzazioni:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws-cn:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"AmazonMemoryDBManaged"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws-cn:ec2:*:*:network-interface/*",
"arn:aws-cn:ec2:*:*:subnet/*",
"arn:aws-cn:ec2:*:*:security-group/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "arn:aws-cn:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/AmazonMemoryDBManaged": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "arn:aws-cn:ec2:*:*:security-group/*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/MemoryDB"
}
}
}
]
}
```
------
## AWS-politiche gestite (predefinite) per MemoryDB
AWS affronta molti casi d'uso comuni fornendo policy IAM autonome create e amministrate da. AWS Le policy gestite concedono le autorizzazioni necessarie per i casi di utilizzo comune in modo da non dover cercare quali sono le autorizzazioni richieste. Per ulteriori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
Le seguenti politiche AWS gestite, che puoi allegare agli utenti del tuo account, sono specifiche di MemoryDB:
### AmazonMemoryDBReadOnlyAccess
È possibile allegare la policy `AmazonMemoryDBReadOnlyAccess` alle identità IAM. Questa politica concede autorizzazioni amministrative che consentono l'accesso in sola lettura a tutte le risorse MemoryDB.
**AmazonMemoryDBReadOnlyAccess**- Concede l'accesso in sola lettura alle risorse di MemoryDB.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"memorydb:Describe*",
"memorydb:List*"
],
"Resource": "*"
}]
}
```
------
### AmazonMemoryDBFull- Accesso
È possibile allegare la policy `AmazonMemoryDBFullAccess` alle identità IAM. Questa politica concede autorizzazioni amministrative che consentono l'accesso completo a tutte le risorse di MemoryDB.
**AmazonMemoryDBFullAccesso**: concede l'accesso completo alle risorse di MemoryDB.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "memorydb:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "memorydb.amazonaws.com"
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "memorydb:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws-cn:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "memorydb.amazonaws.com"
}
}
}
]
}
```
------
È inoltre possibile creare politiche IAM personalizzate per consentire le autorizzazioni per le azioni dell'API MemoryDB. Puoi associare queste policy personalizzate agli utenti o ai gruppi IAM che richiedono tali autorizzazioni.
## MemoryDB aggiorna le politiche gestite AWS
Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite per MemoryDB da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei documenti di MemoryDB.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AWS politica gestita: memoria DBService RolePolicy](#security-iam-awsmanpol-memorydbServiceRolePolicy)— Aggiungere una politica | Memory DBService RolePolicy ha aggiunto l'autorizzazione per memorydb:. ReplicateMultiRegionClusterData Questa autorizzazione consentirà al ruolo collegato al servizio di replicare i dati per i cluster multiregionali di MemoryDB. | 12/01/2024 |
| [AmazonMemoryDBFull- Accesso](#iam.identitybasedpolicies.predefinedpolicies-fullaccess)— Aggiungere una politica | MemoryDB ha aggiunto nuove autorizzazioni per descrivere ed elencare le risorse supportate. Queste autorizzazioni sono necessarie per consentire a MemoryDB di interrogare tutte le risorse supportate in un account. | 10/07/2021 |
| [AmazonMemoryDBReadOnlyAccess](#iam.identitybasedpolicies.predefinedpolicies-readonly)— Aggiungere una politica | MemoryDB ha aggiunto nuove autorizzazioni per descrivere ed elencare le risorse supportate. Queste autorizzazioni sono necessarie a MemoryDB per creare applicazioni basate su account interrogando tutte le risorse supportate in un account. | 10/07/2021 |
| MemoryDB ha iniziato a tracciare le modifiche | Avvio del servizio | 19/08/2021 |
# Autorizzazioni API MemoryDB: riferimento ad azioni, risorse e condizioni
Quando configuri le policy di [controllo degli accessi](iam.md#iam.accesscontrol) e di scrittura per le autorizzazioni da allegare a una policy IAM (basata sull'identità o basata sulle risorse), utilizza la tabella seguente come riferimento. La tabella elenca ogni operazione dell'API MemoryDB e le azioni corrispondenti per le quali è possibile concedere le autorizzazioni per eseguire l'azione. Puoi specificare le operazioni nel campo `Action` della policy e il valore di una risorsa nel campo `Resource` della policy. Se non diversamente indicato, la risorsa è obbligatoria. Alcuni campi includono sia una risorsa obbligatoria che risorse facoltative. Quando non è presente alcuna risorsa ARN, la risorsa nella policy è un carattere jolly (\$1).
**Nota**
Per specificare un'operazione, utilizza il prefisso `memorydb:` seguito dal nome dell'operazione API (ad esempio, `memorydb:DescribeClusters`).
Utilizzare le barre di scorrimento per visualizzare il resto della tabella.
**API MemoryDB e autorizzazioni richieste per le azioni**
| Operazioni dell'API MemoryDB | Autorizzazioni necessarie (operazioni API) | Resources |
| --- | --- | --- |
| [BatchUpdateCluster](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_BatchUpdateCluster.html) | `memorydb:BatchUpdateCluster` | Cluster |
| [CopySnapshot](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CopySnapshot.html) | `memorydb:CopySnapshot` `memorydb:TagResource` `s3:GetBucketLocation` `s3:ListAllMyBuckets` | Snapshot (origine, destinazione) \$1 \$1 |
| [CreateCluster](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateCluster.html) | `memorydb:CreateCluster` `memorydb:TagResource` `s3:GetObject` Quando si utilizza il parametro `SnapshotArns`, ogni membro dell'elenco `SnapshotArns` necessita della propria autorizzazione `s3:GetObject` con l'ARN `s3` come risorsa. | Gruppo di parametri (Facoltativo) cluster, snapshot, ID del gruppo di sicurezza e gruppo di sottoreti `arn:aws:s3:::my_bucket/snapshot1.rdb` Dove*my\$1bucket*/*snapshot1*sono il bucket S3 e lo snapshot da cui si desidera creare il cluster. |
| [CreateParameterGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateParameterGroup.html) | `memorydb:CreateParameterGroup` `memorydb:TagResource` | Gruppo di parametri |
| [CreateSubnetGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateSubnetGroup.html) | `memorydb:CreateSubnetGroup` `memorydb:TagResource` | Gruppo di sottoreti | \$1 |
| [CreateSnapshot](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateSnapshot.html) | `memorydb:CreateSnapshot` `memorydb:TagResource` | Istantanea, cluster |
| [CreateUser](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateUser.html) | `memorydb:CreateUser` `memorydb:TagResource` | Utente |
| [Crea ACL](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateACL.html) | `memorydb:CreateACL` `memorydb:TagResource` | Elenco di controllo degli accessi (ACL) |
| [UpdateCluster](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateCluster.html) | `memorydb:UpdateCluster` | Cluster |
| [DeleteCluster](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteCluster.html) | `memorydb:DeleteCluster` | Cluster. (Facoltativo) Snapshot |
| [DeleteParameterGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteParameterGroup.html) | `memorydb:DeleteParameterGroup` | Gruppo di parametri |
| [DeleteSubnetGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteSubnetGroup.html) | `memorydb:DeleteSubnetGroup` | Gruppo di sottoreti |
| [DeleteSnapshot](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteSnapshot.html) | `memorydb:DeleteSnapshot` | Istantanea |
| [DeleteUser](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteUser.html) | `memorydb:DeleteUser` | Utente |
| [Elimina ACL](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteACL.html) | `memorydb:DeleteACL` | ACL |
| [DescribeClusters](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeClusters.html) | `memorydb:DescribeClusters` | Cluster |
| [DescribeEngineVersions](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeEngineVersions.html) | `memorydb:DescribeEngineVersions` | Nessuna risorsa ARN: \$1 |
| [DescribeParameterGroups](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeParameterGroups.html) | `memorydb:DescribeParameterGroups` | Gruppo di parametri |
| [DescribeParameters](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeParameters.html) | `memorydb:DescribeParameters` | Gruppo di parametri |
| [DescribeSubnetGroups](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeSubnetGroups.html) | `memorydb:DescribeSubnetGroups` | Gruppo di sottoreti | \$1 |
| [DescribeEvents](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeEvents.html) | `memorydb:DescribeEvents` | Nessuna risorsa ARN: \$1 |
| [DescribeClusters](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeClusters.html) | `memorydb:DescribeClusters` | Cluster |
| [DescribeServiceUpdates](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeServiceUpdates.html) | `memorydb:DescribeServiceUpdates` | Nessuna risorsa ARN: \$1 |
| [DescribeSnapshots](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeSnapshots.html) | `memorydb:DescribeSnapshots` | Istantanea |
| [DescribeUsers](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeUsers.html) | `memorydb:DescribeUsers` | Utente |
| [Descriva ACLs](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeACLs.html) | `memorydb:DescribeACLs` | ACLs |
| [ListAllowedNodeTypeUpdates](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_ListAllowedNodeTypeUpdates.html) | `memorydb:ListAllowedNodeTypeUpdates` | Cluster |
| [ListTags](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_ListTags.html) | `memorydb:ListTags` | (Facoltativo) cluster, istantanea |
| [UpdateParameterGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateParameterGroup.html) | `memorydb:UpdateParameterGroup` | Gruppo di parametri |
| [UpdateSubnetGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateSubnetGroup.html) | `memorydb:UpdateSubnetGroup` | Gruppo di sottoreti |
| [UpdateCluster](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateCluster.html) | `memorydb:UpdateCluster` | ammasso. (Facoltativo) Gruppo di parametri, Gruppo di sicurezza |
| [UpdateUser](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateUser.html) | `memorydb:UpdateUser` | Utente |
| [Aggiorna ACL](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateACL.html) | `memorydb:UpdateACL` | ACL |
| [UntagResource](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UntagResource.html) | `memorydb:UntagResource` | (Facoltativo) Cluster, snapshot |
| [ResetParameterGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_ResetParameterGroup.html) | `memorydb:ResetParameterGroup` | Gruppo di parametri |
| [FailoverShard](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_FailoverShard.html) | `memorydb:FailoverShard` | cluster, frammento |