翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ElastiCache リソースへのアクセス許可の管理の概要
すべての AWS リソースは AWS アカウントによって所有され、リソースを作成またはアクセスするためのアクセス許可はアクセス許可ポリシーによって管理されます。アカウント管理者は、アクセス許可ポリシーを ID (ユーザー、グループ、ロール) IAM にアタッチできます。さらに、Amazon はリソースへのアクセス許可ポリシーのアタッチ ElastiCache もサポートしています。
注記
アカウント管理者 (または管理者ユーザー) は、管理者権限を持つユーザーです。詳細については、「 ユーザーガイド」のIAM「ベストプラクティス」を参照してください。 IAM
アクセス権限を付与するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
-
のユーザーとグループ AWS IAM Identity Center:
アクセス許可セットを作成します。「AWS IAM Identity Center ユーザーガイド」の「権限設定を作成する」の手順に従ってください。
-
ID プロバイダーIAMを介して で管理されるユーザー:
ID フェデレーションのロールを作成します。IAM ユーザーガイドの「サードパーティー ID プロバイダーのロールの作成 (フェデレーション)」の指示に従います。
-
IAM ユーザー:
-
ユーザーが担当できるロールを作成します。「 ユーザーガイド」のIAM「ユーザーのロールを作成する」の手順に従います。 IAM
-
(お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加する。IAM ユーザーガイドの「ユーザー (コンソール) へのアクセス許可を追加する」の手順に従います。
-
トピック
Amazon ElastiCache リソースとオペレーション
ElastiCache リソースタイプとその のリストを確認するにはARNs、「サービス認証リファレンス」の「Amazon によって定義されるリソース ElastiCache」を参照してください。各リソースARNの を指定できるアクションについては、「Amazon で定義されるアクション ElastiCache」を参照してください。
リソース所有権について
リソース所有者は、リソースを作成した AWS アカウントです。つまり、リソース所有者は、リソースを作成するリクエストを認証するプリンシパルエンティティの AWS アカウントです。プリンシパルエンティティは、ルートアカウント、IAMユーザー、またはIAMロールです)。次の例は、この仕組みを示しています。
-
AWS アカウントのルートアカウント認証情報を使用してキャッシュクラスターを作成するとします。この場合、 AWS アカウントはリソースの所有者です。では ElastiCache、リソースはキャッシュクラスターです。
-
AWS アカウントにIAMユーザーを作成し、そのユーザーにキャッシュクラスターを作成するアクセス許可を付与するとします。この場合、ユーザーはキャッシュクラスターを作成できます。ただし、ユーザーが属する AWS アカウントは、キャッシュクラスターリソースを所有します。
-
キャッシュクラスターを作成するアクセス許可を持つIAMロールを AWS アカウントに作成するとします。この場合、ロールを引き受けることができるいずれのユーザーもキャッシュクラスターを作成できます。ロールが属する AWS アカウントは、キャッシュクラスターリソースを所有します。
リソースへのアクセスの管理
アクセス権限ポリシー では、誰が何にアクセスできるかを記述します。以下のセクションで、アクセス許可ポリシーを作成するために使用可能なオプションについて説明します。
注記
このセクションでは、Amazon のコンテキストIAMでの の使用について説明します ElastiCache。IAM サービスに関する詳細情報は提供されません。詳細なIAMドキュメントについては、IAM「 ユーザーガイド」の「 とはIAM」を参照してください。IAM ポリシーの構文と説明については、「 ユーザーガイド」のAWS IAM「ポリシーリファレンス」を参照してください。 IAM
IAM ID にアタッチされたポリシーは、ID ベースのポリシー (IAM ポリシー) と呼ばれます。リソースに添付されたポリシーは、リソースベースのポリシーと呼ばれます。
ID ベースのポリシー (IAM ポリシー)
IAM ID にポリシーをアタッチできます。例えば、次のオペレーションを実行できます。
-
アカウントのユーザーまたはグループにアクセス許可ポリシーをアタッチする – アカウント管理者は、特定のユーザーに関連付けられるアクセス許可ポリシーを使用して、アクセス許可を付与できます。この場合、アクセス許可は、そのユーザーがキャッシュクラスター、パラメータグループ、セキュリティグループなどの ElastiCache リソースを作成するためのものです。
-
アクセス許可ポリシーをロールにアタッチする (クロスアカウントアクセス許可を付与する) – ID ベースのアクセス許可ポリシーをIAMロールにアタッチして、クロスアカウントアクセス許可を付与できます。例えば、アカウント A の管理者は、次のように、別の AWS アカウント (アカウント B など) または AWS サービスにクロスアカウントアクセス許可を付与するロールを作成できます。
-
アカウント 管理者はIAMロールを作成し、アカウント A のリソースに対するアクセス許可を付与するアクセス許可ポリシーをロールにアタッチします。
-
アカウント A の管理者は、アカウント B をそのロールを引き受けるプリンシパルとして識別するロールに、信頼ポリシーをアタッチします。
-
アカウント B 管理者は、アカウント B の任意のユーザーにロールを引き受けるアクセス許可を委任できます。これにより、アカウント B のユーザーがアカウント A のリソースを作成またはアクセスできるようになります。場合によっては、ロールを引き受ける AWS サービスアクセス許可を付与することもできます。このアプローチをサポートするために、信頼ポリシーのプリンシパルを AWS のサービスのプリンシパルにすることもできます。
を使用してアクセス許可IAMを委任する方法の詳細については、「 ユーザーガイド」の「アクセス管理」を参照してください。 IAM
-
以下は、ユーザーが AWS アカウントのDescribeCacheClusters
アクションを実行できるようにするポリシーの例です。 は、 API アクションARNsのリソースを使用した特定のリソースの識別 ElastiCache もサポートしています。(このアプローチは、リソースレベルのアクセス許可とも呼ばれます)。
{ "Version": "2012-10-17", "Statement": [{ "Sid": "DescribeCacheClusters", "Effect": "Allow", "Action": [ "elasticache:DescribeCacheClusters"], "Resource":
resource-arn
} ] }
でのアイデンティティベースのポリシーの使用の詳細については ElastiCache、「」を参照してくださいAmazon でのアイデンティティベースのポリシー (IAM ポリシー) の使用 ElastiCache。ユーザー、グループ、ロール、およびアクセス許可の詳細については、 IAM ユーザーガイドの「アイデンティティ (ユーザー、グループ、ロール」を参照してください。
ポリシー要素の指定: アクション、効果、リソース、プリンシパル
Amazon ElastiCache リソース (「」を参照Amazon ElastiCache リソースとオペレーション) ごとに、サービスは一連のAPIオペレーションを定義します (「アクション」を参照)。これらのAPIオペレーションのアクセス許可を付与するには、ポリシーで指定できる一連のアクション ElastiCache を定義します。例えば、クラスターリソースでは ElastiCache、、CreateCacheCluster
、DeleteCacheCluster
および のアクションが定義されますDescribeCacheCluster
。API オペレーションを実行するには、複数のアクションに対するアクセス許可が必要になる場合があります。
最も基本的なポリシーの要素を次に示します。
-
リソース – ポリシーでは、Amazon リソースネーム (ARN) を使用して、ポリシーが適用されるリソースを識別します。詳細については、「Amazon ElastiCache リソースとオペレーション」を参照してください。
-
アクション – アクションキーワードを使用して、許可または拒否するリソース操作を特定します。例えば、指定された に応じて
Effect
、アクセスelasticache:CreateCacheCluster
許可は Amazon ElastiCacheCreateCacheCluster
オペレーションを実行するためのユーザーアクセス許可を許可または拒否します。 -
効果 – ユーザーが特定のアクションを要求する際の効果を指定します。許可または拒否のいずれかになります。リソースへのアクセスを明示的に付与 (許可) していない場合、アクセスは暗黙的に拒否されます。リソースへのアクセスを明示的に拒否することもできます。たとえば、別のポリシーでリソースへのアクセスが許可されているユーザーに対して、そのリソースへのアクセスを禁止できます。
-
プリンシパル – ID ベースのポリシー (IAM ポリシー) では、ポリシーがアタッチされているユーザーが暗黙的なプリンシパルです。リソースベースのポリシーでは、権限 (リソースベースのポリシーにのみ適用)を受け取りたいユーザー、アカウント、サービス、またはその他のエンティティを指定します。
IAM ポリシーの構文と説明の詳細については、「 ユーザーガイド」のAWS IAM「ポリシーリファレンス」を参照してください。 IAM
すべての Amazon ElastiCache API アクションを示す表については、「」を参照してくださいElastiCache API アクセス許可: アクション、リソース、および条件リファレンス。
ポリシーでの条件の指定
アクセス許可を付与する場合、IAMポリシー言語を使用して、ポリシーを有効にする条件を指定できます。例えば、特定の日付の後にのみ適用されるポリシーが必要になる場合があります。ポリシー言語で条件を指定する方法の詳細については、IAM「 ユーザーガイド」の「 条件」を参照してください。
条件を表すには、あらかじめ定義された条件キーを使用します。 ElastiCache固有の条件キーを使用するには、「」を参照してください条件キーの使用。必要に応じて使用できる AWS全体の条件キーがあります。 AWS全体のキーの完全なリストについては、 IAM ユーザーガイドの「条件に使用可能なキー」を参照してください。