翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ユーザー、グループ、ロールにアクセス許可を追加するには、自分でポリシーを作成するよりも、 AWS 管理ポリシーを使用する方が簡単です。必要なアクセス許可のみをチームに付与するように IAM カスタマー管理ポリシーを作成するには、時間と専門知識が必要です。すぐに開始するには、 AWS マネージドポリシーを使用できます。これらのポリシーは一般的なユースケースを対象としており、 AWS アカウントで利用できます。 AWS 管理ポリシーの詳細については、「 IAMユーザーガイド」の「 AWS 管理ポリシー」を参照してください。
AWS サービスは、 AWS 管理ポリシーを維持および更新します。 AWS 管理ポリシーのアクセス許可は変更できません。サービスでは、新しい機能を利用できるようにするために、 AWS マネージドポリシーに権限が追加されることがあります。この種類の更新は、ポリシーがアタッチされている、すべてのアイデンティティ (ユーザー、グループおよびロール) に影響を与えます。新しい機能が立ち上げられた場合や、新しいオペレーションが使用可能になった場合に、各サービスが AWS マネージドポリシーを更新する可能性が最も高くなります。サービスは AWS 管理ポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が損なわれることはありません。
さらに、 は、複数の サービスにまたがる職務機能の マネージドポリシー AWS をサポートしています。例えば、 ReadOnlyAccess AWS 管理ポリシーは、すべての AWS サービスとリソースへの読み取り専用アクセスを提供します。サービスが新機能を起動すると、 は新しいオペレーションとリソースに読み取り専用アクセス許可 AWS を追加します。職務機能ポリシーのリストと説明については、IAM「 ユーザーガイド」のAWS 「職務機能用の 管理ポリシー」を参照してください。
AWS 管理ポリシー: MemoryDBServiceRolePolicy
アカウントの ID に M emoryDBServiceRolePolicy AWS 管理ポリシーをアタッチすることはできません。このポリシーは、 AWS MemoryDB サービスにリンクされたロールの一部です。このロールにより、サービスはアカウント内のネットワークインターフェイスとセキュリティグループを管理できます。
MemoryDB は、このポリシーのアクセス許可を使用して、EC2セキュリティグループとネットワークインターフェイスを管理します。これは MemoryDB クラスターを管理するために必要です。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateMemoryDBTagsOnNetworkInterfaces",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"AmazonMemoryDBManaged"
]
}
}
},
{
"Sid": "CreateNetworkInterfaces",
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*",
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Sid": "DeleteMemoryDBTaggedNetworkInterfaces",
"Effect": "Allow",
"Action": [
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/AmazonMemoryDBManaged": "true"
}
}
},
{
"Sid": "DeleteNetworkInterfaces",
"Effect": "Allow",
"Action": [
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "arn:aws:ec2:*:*:security-group/*"
},
{
"Sid": "DescribeEC2Resources",
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs"
],
"Resource": "*"
},
{
"Sid": "PutCloudWatchMetricData",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/MemoryDB"
}
}
},
{
"Sid": "ReplicateMemoryDBMultiRegionClusterData",
"Effect": "Allow",
"Action": [
"memorydb:ReplicateMultiRegionClusterData"
],
"Resource": "arn:aws:memorydb:*:*:cluster/*"
}
]
}
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws-cn:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"AmazonMemoryDBManaged"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws-cn:ec2:*:*:network-interface/*",
"arn:aws-cn:ec2:*:*:subnet/*",
"arn:aws-cn:ec2:*:*:security-group/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "arn:aws-cn:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/AmazonMemoryDBManaged": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "arn:aws-cn:ec2:*:*:security-group/*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/MemoryDB"
}
}
}
]
}
MemoryDB のAWS管理 (事前定義) ポリシー
AWS は、 によって作成および管理されるスタンドアロンIAMポリシーを提供することで、多くの一般的なユースケースに対処します AWS。マネージドポリシーは、一般的ユースケースに必要な許可を付与することで、どの許可が必要なのかをユーザーが調査する必要をなくすることができます。詳細については、「 IAMユーザーガイド」のAWS 「 管理ポリシー」を参照してください。
アカウントのユーザーにアタッチできる以下の AWS 管理ポリシーは、MemoryDB に固有のものです。
AmazonMemoryDBReadOnlyAccess
AmazonMemoryDBReadOnlyAccess
ポリシーを IAM ID にアタッチできます。このポリシーは、すべての読み取り専用アクセスを許可する管理者権限を付与します。
AmazonMemoryDBReadOnlyAccess - MemoryDB リソースへの読み取り専用アクセスを許可します。
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"memorydb:Describe*",
"memorydb:List*"
],
"Resource": "*"
}]
}
AmazonMemoryDBFullAccess
AmazonMemoryDBFullAccess
ポリシーを IAM ID にアタッチできます。このポリシーは、すべてのMemoryDBリソースへのフルアクセスを許可する管理者権限を付与します。
AmazonMemoryDBFullAccess - MemoryDB リソースへのフルアクセスを許可します。
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "memorydb:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "memorydb.amazonaws.com"
}
}
}
]
}
独自のカスタムIAMポリシーを作成して、MemoryDB APIアクションのアクセス許可を許可することもできます。こうしたカスタムポリシーは、該当するアクセス許可が必要な IAM ユーザーまたはグループにアタッチできます。
AWS 管理ポリシーに対する MemoryDB の更新
MemoryDB の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページの変更に関する自動通知については、MemoryDB ドキュメント履歴ページのRSSフィードにサブスクライブしてください。
変更 | 説明 | 日付 |
---|---|---|
AWS 管理ポリシー: MemoryDBServiceRolePolicy - ポリシーの追加 |
M は memorydb のアクセス許可emoryDBServiceRolePolicy を追加しましたReplicateMultiRegionClusterData。このアクセス許可により、サービスにリンクされたロールは MemoryDB マルチリージョンクラスターのデータをレプリケートできます。 |
12/01/2024 |
AmazonMemoryDBFullAccess - ポリシーの追加 |
MemoryDB では、サポートされているリソースを記述して一覧表示するための新しいアクセス許可が追加されました。これらのアクセス許可は、MemoryDB がアカウント内のサポートされているすべてのリソースをクエリするために必要です。 |
10/07/2021 |
AmazonMemoryDBReadOnlyAccess - ポリシーの追加 |
MemoryDB では、サポートされているリソースを記述して一覧表示するための新しいアクセス許可が追加されました。これらのアクセス許可は、MemoryDB がアカウント内のサポートされているすべてのリソースをクエリしてアカウントベースのアプリケーションを作成するために必要です。 |
10/07/2021 |
MemoryDB が変更の追跡を開始しました |
サービスの起動 |
8/19/2021 |