Amazon でのアイデンティティベースのポリシー (IAM ポリシー) の使用 ElastiCache - Amazon ElastiCache
カスタマーマネージドポリシーの例

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon でのアイデンティティベースのポリシー (IAM ポリシー) の使用 ElastiCache

このトピックでは、アカウント管理者がアクセス許可ポリシーを ID (ユーザー、グループ、ロール) IAM にアタッチできる ID ベースのポリシーの例を示します。

重要

まず、Amazon ElastiCache リソースへのアクセスを管理するための基本的な概念とオプションを説明するトピックを読むことをお勧めします。詳細については、「 ElastiCache リソースへのアクセス許可の管理の概要」を参照してください。

このセクションでは、次のトピックを対象としています。

Redis を使用する場合のアクセス許可ポリシーの例を次に示しますOSS。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowClusterPermissions",
            "Effect": "Allow",
            "Action": [
                "elasticache:CreateServerlessCache",
                "elasticache:CreateCacheCluster",
                "elasticache:DescribeServerlessCaches",
                "elasticache:DescribeReplicationGroups",
                "elasticache:DescribeCacheClusters",
                "elasticache:ModifyServerlessCache",
                "elasticache:ModifyReplicationGroup",
                "elasticache:ModifyCacheCluster"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUserToPassRole",
            "Effect": "Allow",
            "Action": [ "iam:PassRole" ],
            "Resource": "arn:aws:iam::123456789012:role/EC2-roles-for-cluster"
        }
    ]
}

Memcached を使用する場合のアクセス許可ポリシーの例を次に示します。

{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "AllowClusterPermissions",
        "Effect": "Allow",
        "Action": [
            "elasticache:CreateServerlessCache",
            "elasticache:CreateCacheCluster",
            "elasticache:DescribeServerlessCaches",
            "elasticache:DescribeCacheClusters",
            "elasticache:ModifyServerlessCache",
            "elasticache:ModifyCacheCluster"
        ],
        "Resource": "*"
    },
    {
        "Sid": "AllowUserToPassRole",
        "Effect": "Allow",
        "Action": [ "iam:PassRole" ],
        "Resource": "arn:aws:iam::123456789012:role/EC2-roles-for-cluster"
    }
    ]
}

このポリシーには以下の 2 つのステートメントがあります。

  • 最初のステートメントは、Amazon ElastiCache アクション (elasticache:Create*elasticache:Describe*elasticache:Modify*) のアクセス許可を付与します。

  • 2 番目のステートメントは、Resource値の最後に指定されたIAMロール名に対するIAMアクション (iam:PassRole) のアクセス許可を付与します。

ID ベースのポリシーでアクセス許可を得るプリンシパルを指定していないため、ポリシーでは Principal 要素を指定していません。ユーザーにポリシーをアタッチすると、そのユーザーが暗黙のプリンシパルになります。アクセス許可ポリシーをIAMロールにアタッチすると、ロールの信頼ポリシーで識別されたプリンシパルがアクセス許可を取得します。

すべての Amazon ElastiCache API アクションとそれらが適用されるリソースを示す表については、「」を参照してくださいElastiCache API アクセス許可: アクション、リソース、および条件リファレンス

カスタマーマネージドポリシーの例

デフォルトポリシーを使用せず、カスタム管理ポリシーを使用することを選択した場合は、以下の 2 点のいずれかを確認してください。iam:createServiceLinkedRole を呼び出すためのアクセス許可があることが必要です (詳細については、「例 4: ユーザーに通話を許可する IAM CreateServiceLinkedRole API」を参照)。または、 ElastiCache サービスにリンクされたロールを作成する必要があります。

Amazon ElastiCache コンソールを使用するために必要な最小限のアクセス許可と組み合わせると、このセクションのポリシーの例は追加のアクセス許可を付与します。例は、 AWS SDKsと にも関連しています AWS CLI。

IAM ユーザーとグループの設定手順については、 IAM ユーザーガイド「最初のIAMユーザーと管理者グループの作成」を参照してください。

重要

IAM ポリシーは、本番環境で使用する前に、必ず徹底的にテストしてください。シンプルに見える一部の ElastiCache アクションでは、 ElastiCache コンソールの使用時にサポートする他のアクションが必要になる場合があります。例えば、 は ElastiCache キャッシュクラスターを作成するアクセス許可elasticache:CreateCacheClusterを付与します。ただし、このオペレーションを実行するために、 ElastiCache コンソールは多数の アクションDescribeListアクションを使用してコンソールリストを入力します。

例 1: ElastiCache リソースへの読み取り専用アクセスをユーザーに許可する

次のポリシーは、ユーザーがリソースを一覧表示できるようにするアクセス許可 ElastiCache アクションを付与します。通常、このタイプのアクセス権限ポリシーは管理者グループにアタッチします。

{
   "Version": "2012-10-17",
   "Statement":[{
      "Sid": "ECReadOnly",
      "Effect":"Allow",
      "Action": [
          "elasticache:Describe*",
          "elasticache:List*"],
      "Resource":"*"
      }
   ]
}

例 2: ユーザーに一般的な ElastiCache システム管理者タスクの実行を許可する

一般的なシステム管理者タスクには、リソースの変更が含まれます。システム管理者は、 ElastiCache イベントに関する情報を取得することもできます。次のポリシーは、これらの一般的なシステム管理者タスクに対して ElastiCache アクションを実行するアクセス許可をユーザーに付与します。通常、このタイプのアクセス権限ポリシーはシステム管理者グループにアタッチします。

{
   "Version": "2012-10-17",
   "Statement":[{
      "Sid": "ECAllowMutations",
      "Effect":"Allow",
      "Action":[
          "elasticache:Modify*",
          "elasticache:Describe*",
          "elasticache:ResetCacheParameterGroup"
      ],
      "Resource":"*"
      }
   ]
}

例 3: ユーザーにすべての ElastiCache APIアクションへのアクセスを許可する

次のポリシーは、ユーザーにすべての ElastiCache アクションへのアクセスを許可します。このタイプのアクセス権限ポリシーは管理者ユーザーにのみ付与することをお勧めします。

{
   "Version": "2012-10-17",
   "Statement":[{
      "Sid": "ECAllowAll",
      "Effect":"Allow",
      "Action":[
          "elasticache:*" 
      ],
      "Resource":"*"
      }
   ]
}

例 4: ユーザーに通話を許可する IAM CreateServiceLinkedRole API

次のポリシーでは、ユーザーが IAM CreateServiceLinkedRole を呼び出すことを許可しますAPI。このタイプのアクセス許可ポリシーは、ミュータティブ ElastiCache オペレーションを呼び出すユーザーに付与することをお勧めします。

{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"CreateSLRAllows",
      "Effect":"Allow",
      "Action":[
        "iam:CreateServiceLinkedRole"
      ],
      "Resource":"*",
      "Condition":{
        "StringLike":{
          "iam:AWS ServiceName":"elasticache.amazonaws.com"
        }
      }
    }
  ]
}

例 5: IAM認証を使用してサーバーレスキャッシュへの接続をユーザーに許可する

次のポリシーでは、すべてのユーザーが 2023-04-01 から までのIAM認証を使用して任意のサーバーレスキャッシュに接続できます2023-06-30。

{
  "Version" : "2012-10-17",
  "Statement" :
  [
    {
      "Effect" : "Allow",
      "Action" : ["elasticache:Connect"],
      "Resource" : [
        "arn:aws:elasticache:us-east-1:123456789012:serverlesscache:*"
      ],
      "Condition": {
        "DateGreaterThan": {"aws:CurrentTime": "2023-04-01T00:00:00Z"},
        "DateLessThan": {"aws:CurrentTime": "2023-06-30T23:59:59Z"}
      }
    },
    {
      "Effect" : "Allow",
      "Action" : ["elasticache:Connect"],
      "Resource" : [
        "arn:aws:elasticache:us-east-1:123456789012:user:*"
      ]
    }
  ]
}