As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usando políticas baseadas em identidade (IAMpolíticas) para a Amazon ElastiCache
Este tópico fornece exemplos de políticas baseadas em identidade nas quais um administrador de conta pode anexar políticas de permissões a IAM identidades (ou seja, usuários, grupos e funções).
Importante
Recomendamos que você leia primeiro os tópicos que explicam os conceitos básicos e as opções para gerenciar o acesso aos ElastiCache recursos da Amazon. Para obter mais informações, consulte Visão geral do gerenciamento de permissões de acesso aos seus ElastiCache recursos.
As seções neste tópico abrangem o seguinte:
Veja a seguir um exemplo de uma política de permissões ao usar o RedisOSS.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowClusterPermissions", "Effect": "Allow", "Action": [ "elasticache:CreateServerlessCache", "elasticache:CreateCacheCluster", "elasticache:DescribeServerlessCaches", "elasticache:DescribeReplicationGroups", "elasticache:DescribeCacheClusters", "elasticache:ModifyServerlessCache", "elasticache:ModifyReplicationGroup", "elasticache:ModifyCacheCluster" ], "Resource": "*" }, { "Sid": "AllowUserToPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::123456789012:role/EC2-roles-for-cluster" } ] }
Veja a seguir um exemplo de uma política de permissões ao usar o Memcached.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowClusterPermissions", "Effect": "Allow", "Action": [ "elasticache:CreateServerlessCache", "elasticache:CreateCacheCluster", "elasticache:DescribeServerlessCaches", "elasticache:DescribeCacheClusters", "elasticache:ModifyServerlessCache", "elasticache:ModifyCacheCluster" ], "Resource": "*" }, { "Sid": "AllowUserToPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::123456789012:role/EC2-roles-for-cluster" } ] }
A política tem duas instruções:
-
A primeira declaração concede permissões para as ElastiCache ações da Amazon (
elasticache:Create*
,elasticache:Describe*
,elasticache:Modify*
) -
A segunda instrução concede permissões para a IAM ação (
iam:PassRole
) no nome da IAM função especificado no final doResource
valor.
A política não especifica o elemento Principal
porque, em uma política baseada em identidade, a entidade principal que obtém as permissões não é especificada. Quando você anexar uma política um usuário, o usuário será a entidade principal implícita. Quando você anexa uma política de permissões a uma IAM função, o principal identificado na política de confiança da função obtém as permissões.
Para ver uma tabela mostrando todas as ElastiCache API ações da Amazon e os recursos aos quais elas se aplicam, consulteElastiCache APIpermissões: referência de ações, recursos e condições.
Exemplos de política gerenciada pelo cliente
Se você não estiver usando uma política padrão e optar por usar uma política gerenciada personalizada, realize uma destas ações: Você deve ter permissões para chamar iam:createServiceLinkedRole
(para obter mais informações, consulte Exemplo 4: Permitir que um usuário ligue IAM CreateServiceLinkedRole API). Ou você deveria ter criado uma função ElastiCache vinculada ao serviço.
Quando combinadas com as permissões mínimas necessárias para usar o ElastiCache console da Amazon, as políticas de exemplo nesta seção concedem permissões adicionais. Os exemplos também são relevantes para o AWS SDKs e AWS CLI o.
Para obter instruções sobre como configurar IAM usuários e grupos, consulte Como criar seu primeiro grupo de IAM usuários e administradores no Guia do IAM usuário.
Importante
Sempre teste suas IAM políticas minuciosamente antes de usá-las na produção. Algumas ElastiCache ações que parecem simples podem exigir outras ações para apoiá-las quando você estiver usando o ElastiCache console. Por exemplo, elasticache:CreateCacheCluster
concede permissões para criar clusters de ElastiCache cache. No entanto, para realizar essa operação, o ElastiCache console usa várias List
ações Describe
para preencher as listas do console.
Exemplos
- Exemplo 1: permitir que um usuário tenha acesso somente de leitura aos recursos ElastiCache
- Exemplo 2: Permitir que um usuário execute tarefas comuns de administrador do ElastiCache sistema
- Exemplo 3: permitir que um usuário acesse todas as ElastiCache API ações
- Exemplo 4: Permitir que um usuário ligue IAM CreateServiceLinkedRole API
- Exemplo 5: Permitir que um usuário se conecte ao cache sem servidor usando autenticação IAM
Exemplo 1: permitir que um usuário tenha acesso somente de leitura aos recursos ElastiCache
A política a seguir concede ElastiCache ações de permissões que permitem ao usuário listar recursos. Normalmente, você anexa esse tipo de política de permissões a um grupo de gerentes.
{ "Version": "2012-10-17", "Statement":[{ "Sid": "ECReadOnly", "Effect":"Allow", "Action": [ "elasticache:Describe*", "elasticache:List*"], "Resource":"*" } ] }
Exemplo 2: Permitir que um usuário execute tarefas comuns de administrador do ElastiCache sistema
Entre as tarefas do administrador do sistema comuns estão a modificação de recursos. Um administrador do sistema também pode querer obter informações sobre os ElastiCache eventos. A política a seguir concede permissões ao usuário para realizar ElastiCache ações para essas tarefas comuns do administrador do sistema. Normalmente, você anexa esse tipo de política de permissões ao grupo de administradores do sistema.
{ "Version": "2012-10-17", "Statement":[{ "Sid": "ECAllowMutations", "Effect":"Allow", "Action":[ "elasticache:Modify*", "elasticache:Describe*", "elasticache:ResetCacheParameterGroup" ], "Resource":"*" } ] }
Exemplo 3: permitir que um usuário acesse todas as ElastiCache API ações
A política a seguir permite que um usuário acesse todas as ElastiCache ações. Recomendamos que você conceda esse tipo de política de permissões apenas a um usuário administrador.
{ "Version": "2012-10-17", "Statement":[{ "Sid": "ECAllowAll", "Effect":"Allow", "Action":[ "elasticache:*" ], "Resource":"*" } ] }
Exemplo 4: Permitir que um usuário ligue IAM CreateServiceLinkedRole API
A política a seguir permite que o usuário chame IAM CreateServiceLinkedRole
API o. Recomendamos que você conceda esse tipo de política de permissões ao usuário que invoca operações ElastiCache mutativas.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"CreateSLRAllows", "Effect":"Allow", "Action":[ "iam:CreateServiceLinkedRole" ], "Resource":"*", "Condition":{ "StringLike":{ "iam:AWS ServiceName":"elasticache.amazonaws.com" } } } ] }
Exemplo 5: Permitir que um usuário se conecte ao cache sem servidor usando autenticação IAM
A política a seguir permite que qualquer usuário se conecte a qualquer cache sem servidor usando IAM autenticação entre 2023-04-01 e 2023-06-30.
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" : ["elasticache:Connect"], "Resource" : [ "arn:aws:elasticache:us-east-1:123456789012:serverlesscache:*" ], "Condition": { "DateGreaterThan": {"aws:CurrentTime": "2023-04-01T00:00:00Z"}, "DateLessThan": {"aws:CurrentTime": "2023-06-30T23:59:59Z"} } }, { "Effect" : "Allow", "Action" : ["elasticache:Connect"], "Resource" : [ "arn:aws:elasticache:us-east-1:123456789012:user:*" ] } ] }