Amazon ElastiCache リソースとオペレーションリソース所有権についての理解リソースへのアクセスの管理

ElastiCache リソースへのアクセス許可の管理の概要

すべての AWS リソースは AWS アカウントによって所有され、リソースを作成またはアクセスするアクセス許可はアクセス許可ポリシーによって管理されます。アカウント管理者は、IAM ID (ユーザー、グループ、ロール) にアクセス許可ポリシーをアタッチできます。さらに、Amazon はリソースへのアクセス許可ポリシーのアタッチ ElastiCache もサポートしています。

注記

アカウント管理者 (または管理者ユーザー) は、管理者権限を持つユーザーです。詳細については、「 IAMユーザーガイド」のIAM「ベストプラクティス」を参照してください。

アクセス権限を付与するには、ユーザー、グループ、またはロールにアクセス許可を追加します。

以下のユーザーとグループ AWS IAM Identity Center：

アクセス許可セットを作成します。「AWS IAM Identity Center ユーザーガイド」の「権限設定を作成する」の手順に従ってください。
ID プロバイダーIAMを介してで管理されるユーザー：

ID フェデレーションのロールを作成します。IAM 「ユーザーガイド」の「サードパーティー ID プロバイダー (フェデレーション) のロールを作成する」の手順に従います。
IAM ユーザー：
- ユーザーが担当できるロールを作成します。「 IAMユーザーガイド」の「 IAMユーザーのロールを作成する」の手順に従います。
- (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加する。「 IAMユーザーガイド」の「ユーザーへのアクセス許可の追加 (コンソール）」の手順に従います。

トピック

Amazon ElastiCache リソースとオペレーション

ElastiCache リソースタイプとそののリストを確認するにはARNs、「サービス認可リファレンス」の「Amazon で定義されるリソース ElastiCache」を参照してください。各リソースARNのを指定できるアクションについては、「Amazon で定義されるアクション ElastiCache」を参照してください。

リソース所有権についての理解

リソース所有者は、リソースを作成した AWS アカウントです。つまり、リソース所有者は、リソースを作成するリクエストを認証するプリンシパルエンティティの AWS アカウントです。プリンシパルエンティティはルートアカウント、IAM ユーザー、または IAM ロールです。次の例は、この仕組みを示しています。

AWS アカウントのルートアカウントの認証情報を使用してキャッシュクラスターを作成するとします。この場合、 AWS アカウントはリソースの所有者です。 ElastiCache では、リソースはキャッシュクラスターです。
AWS アカウントに IAM ユーザーを作成し、そのユーザーにキャッシュクラスターを作成するアクセス許可を付与するとします。この場合、ユーザーはキャッシュクラスターを作成できます。ただし、ユーザーが属する AWS アカウントはキャッシュクラスターリソースを所有しています。
キャッシュクラスターを作成するアクセス許可を持つ IAMロールを AWS アカウントに作成するとします。この場合、ロールを引き受けることができるいずれのユーザーもキャッシュクラスターを作成できます。ロールが属する AWS アカウントは、キャッシュクラスターリソースを所有しています。

リソースへのアクセスの管理

アクセス権限ポリシー では、誰が何にアクセスできるかを記述します。以下のセクションで、アクセス許可ポリシーを作成するために使用可能なオプションについて説明します。

注記

このセクションでは、Amazon のコンテキストIAMでのの使用について説明します ElastiCache。これは、IAM サービスに関する詳細情報を取得できません。詳細なIAMドキュメントについては、「 IAMユーザーガイド」の「 IAMとは」を参照してください。IAM ポリシーの構文と説明については、「 IAMユーザーガイド」のAWS IAM「ポリシーリファレンス」を参照してください。

IAM アイデンティティにアタッチされているポリシーは、アイデンティティベースのポリシー (IAM ポリシー) と呼ばれます。リソースに添付されたポリシーは、リソースベースのポリシーと呼ばれます。

アイデンティティベースのポリシー (IAM ポリシー)

ポリシーを IAM アイデンティティにアタッチできます。例えば、次のオペレーションを実行できます。

アカウントのユーザーまたはグループにアクセス許可ポリシーをアタッチする – アカウント管理者は、特定のユーザーに関連付けられるアクセス許可ポリシーを使用して、アクセス許可を付与できます。この場合、アクセス許可は、そのユーザーがキャッシュクラスター、パラメータグループ、セキュリティグループなどの ElastiCache リソースを作成するためのものです。
アクセス許可ポリシーをロールにアタッチする (クロスアカウントのアクセス許可を付与) – アイデンティティベースのアクセス許可ポリシーを IAM ロールにアタッチして、クロスアカウントのアクセス許可を付与することができます。たとえば、アカウント A の管理者は、次のように別の AWS アカウント (アカウント B など) または AWS サービスにクロスアカウントアクセス許可を付与するロールを作成できます。
1. アカウント A の管理者は、IAM ロールを作成して、アカウント A のリソースに権限を付与するロールに権限ポリシーをアタッチします。
2. アカウント A の管理者は、アカウント B をそのロールを引き受けるプリンシパルとして識別するロールに、信頼ポリシーをアタッチします。
3. アカウント B の管理者は、アカウント B の任意のユーザーにロールを引き受けるアクセス許可を委任できます。これにより、アカウント B のユーザーがアカウント A のリソースを作成またはアクセスできるようになります。場合によっては、ロールを引き受ける AWS サービスアクセス許可をに付与することもできます。このアプローチをサポートするために、信頼ポリシーのプリンシパルを AWS のサービスのプリンシパルにすることもできます。
を使用してアクセス許可IAMを委任する方法の詳細については、「 IAMユーザーガイド」の「アクセス管理」を参照してください。

以下は、ユーザーが AWS アカウントの DescribeCacheClustersアクションを実行できるようにするポリシーの例です。は、 API アクションARNsのリソースを使用した特定のリソースの識別 ElastiCache もサポートしています。(このアプローチは、リソースレベルのアクセス許可とも呼ばれます)。


{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "DescribeCacheClusters",
      "Effect": "Allow",
      "Action": [
         "elasticache:DescribeCacheClusters"],
      "Resource": resource-arn
      }
   ]
}

でのアイデンティティベースのポリシーの使用の詳細については ElastiCache、「」を参照してくださいAmazon ElastiCache でのアイデンティティベースのポリシー (IAM ポリシー) の使用。ユーザー、グループ、ロール、アクセス許可の詳細については、「ユーザーガイド」の「アイデンティティ (ユーザー、グループ、ロール」を参照してください。 IAM

ポリシー要素の指定: アクション、効果、リソース、プリンシパル

Amazon ElastiCache リソースごとに (「」を参照Amazon ElastiCache リソースとオペレーション）、サービスは一連のAPIオペレーションを定義します (「アクション」を参照）。これらのAPIオペレーションのアクセス許可を付与するために、はポリシーで指定できる一連のアクション ElastiCache を定義します。たとえば、クラスターリソースでは ElastiCache、、CreateCacheClusterDeleteCacheCluster、およびのアクションが定義されますDescribeCacheCluster。API オペレーションを実行するには、複数のアクションに対するアクセス許可が必要になる場合があります。

最も基本的なポリシーの要素を次に示します。

リソース – ポリシーでは、Amazon リソースネーム (ARN) を使用して、ポリシーが適用されるリソースを識別します。詳細については、「Amazon ElastiCache リソースとオペレーション」を参照してください。
アクション – アクションキーワードを使用して、許可または拒否するリソース操作を特定します。例えば、指定されたに応じてEffect、アクセスelasticache:CreateCacheCluster許可は Amazon ElastiCache CreateCacheClusterオペレーションを実行するためのユーザーアクセス許可を許可または拒否します。
効果 – ユーザーが特定のアクションを要求する際の効果を指定します。許可または拒否のいずれかになります。リソースへのアクセスを明示的に付与 (許可) していない場合、アクセスは暗黙的に拒否されます。リソースへのアクセスを明示的に拒否することもできます。例えば、別のポリシーでリソースへのアクセスが許可されているユーザーに対して、そのリソースへのアクセスを禁止できます。
プリンシパル – アイデンティティベースのポリシー (IAM ポリシー) で、ポリシーがアタッチされているユーザーが暗黙のプリンシパルとなります。リソースベースのポリシーでは、アクセス許可 (リソースベースのポリシーにのみ適用) を受け取りたいユーザー、アカウント、サービス、またはその他のエンティティを指定します。

IAM ポリシーの構文と説明の詳細については、「 IAMユーザーガイド」のAWS IAM「ポリシーリファレンス」を参照してください。

すべての Amazon ElastiCache API アクションを示す表については、「」を参照してくださいElastiCache API のアクセス許可: アクション、リソース、条件リファレンス。

ポリシーの条件の指定

アクセス権限を付与するとき、IAM ポリシー言語を使用して、ポリシーが有効になる必要がある条件を指定できます。例えば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語での条件の指定の詳細については、「 IAMユーザーガイド」の「条件」を参照してください。

条件を表すには、あらかじめ定義された条件キーを使用します。 ElastiCache固有の条件キーを使用するには、「」を参照してください条件キーの使用。必要に応じて使用できる条件キーは AWS全体にあります。 AWS全体のキーの完全なリストについては、「 IAMユーザーガイド」の「条件に使用可能なキー」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

トラブルシューティング

AWS マネージドポリシー