ElastiCache Recursos e operações da Amazon Informações sobre propriedade de recursos Gerenciamento de acesso aos recursos

Visão geral do gerenciamento de permissões de acesso aos seus ElastiCache recursos

Cada AWS recurso pertence a uma AWS conta, e as permissões para criar ou acessar um recurso são regidas por políticas de permissões. Um administrador de conta pode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e funções). Além disso, a Amazon ElastiCache também oferece suporte para anexar políticas de permissões aos recursos.

nota

Um administrador da conta (ou usuário administrador) é um usuário com privilégios de administrador. Para obter mais informações, consulte Práticas recomendadas de segurança no IAM no Guia do usuário do IAM.

Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:

Usuários e grupos em AWS IAM Identity Center:

Crie um conjunto de permissões. Siga as instruções em Criação de um conjunto de permissões no Guia do usuário do AWS IAM Identity Center .
Usuários gerenciados no IAM com provedor de identidades:

Crie um perfil para a federação de identidades. Siga as instruções em Criando um perfil para um provedor de identidades de terceiros (federação) no Guia do Usuário do IAM.
Usuários do IAM:
- Crie um perfil que seu usuário possa assumir. Siga as instruções em Criação de um perfil para um usuário do IAM no Guia do usuário do IAM.
- (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em Adição de permissões a um usuário (console) no Guia do usuário do IAM.

Tópicos

ElastiCache Recursos e operações da Amazon

Para ver uma lista dos tipos de ElastiCache recursos e seus ARNs, consulte Recursos definidos pela Amazon ElastiCache na Referência de autorização de serviço. Para saber com quais ações você pode especificar o ARN de cada recurso, consulte Ações definidas pela Amazon. ElastiCache

Informações sobre propriedade de recursos

O proprietário do recurso é a AWS conta que criou o recurso. Ou seja, o proprietário do recurso é a AWS conta da entidade principal que autentica a solicitação que cria o recurso. Uma entidade principal pode ser a conta raiz, um usuário do IAM ou uma função do IAM. Os seguintes exemplos mostram como isso funciona:

Suponha que você use as credenciais da conta raiz da sua AWS conta para criar um cluster de cache. Nesse caso, sua AWS conta é a proprietária do recurso. No ElastiCache, o recurso é o cluster de cache.
Suponha que você crie um usuário do IAM em sua AWS conta e conceda permissões para criar um cluster de cache para esse usuário. Nesse caso, o usuário pode criar um cluster de cache. No entanto, sua AWS conta, à qual o usuário pertence, é proprietária do recurso de cluster de cache.
Suponha que você crie uma função do IAM em sua AWS conta com permissões para criar um cluster de cache. Nesse caso, qualquer pessoa que possa assumir a função poderá criar um cluster de cache. Sua AWS conta, à qual a função pertence, é proprietária do recurso de cluster de cache.

Gerenciamento de acesso aos recursos

Uma política de permissões descreve quem tem acesso a quê. A seção a seguir explica as opções disponíveis para a criação das políticas de permissões.

nota

Esta seção discute o uso do IAM no contexto da Amazon ElastiCache. Não são fornecidas informações detalhadas sobre o serviço IAM. Para obter a documentação completa do IAM, consulte O que é o IAM? no Guia do usuário do IAM. Para obter mais informações sobre a sintaxe e as descrições da política do IAM, consulte a Referência de políticas do AWS IAM no Guia do usuário do IAM.

As políticas anexadas a uma identidade do IAM são conhecidas como políticas baseadas em identidade (políticas do IAM). As políticas anexadas a um recurso são chamadas de políticas baseadas em recursos.

Tópicos

Políticas baseadas em identidade (políticas do IAM)
Especificar elementos da política: ações, efeitos, recursos e entidades principais
Especificar condições em uma política

Políticas baseadas em identidade (políticas do IAM)

Você pode anexar políticas a identidades do IAM. Por exemplo, você pode fazer o seguinte:

Anexar uma política de permissões a um usuário ou grupo na sua conta: um administrador de conta pode usar uma política de permissões associada a determinado usuário para conceder permissões. Nesse caso, as permissões são para que o usuário crie um ElastiCache recurso, como um cluster de cache, um grupo de parâmetros ou um grupo de segurança.
Anexar uma política de permissões a uma função: você pode anexar uma política de permissões baseada em identidade a um perfil do IAM para conceder permissões entre contas. Por exemplo, o administrador na Conta A pode criar uma função para conceder permissões entre contas a outra AWS conta (por exemplo, Conta B) ou a um AWS serviço da seguinte forma:
1. Um administrador da Conta A cria uma função do IAM e anexa uma política de permissões à função que concede permissões em recursos da Conta A.
2. Um administrador da Conta A anexa uma política de confiança à função identificando a Conta B como a entidade principal, que pode assumir a função.
3. O administrador da Conta B pode então delegar permissões para assumir a função a qualquer usuário na Conta B. Isso permite que os usuários da Conta B criem ou acessem recursos na Conta A. Em alguns casos, talvez você queira conceder permissões a um AWS serviço para assumir a função. Para oferecer suporte a essa abordagem, o principal da política de confiança também pode ser um principal de serviço da AWS .
Para obter mais informações sobre o uso do IAM para delegar permissões, consulte Gerenciamento de acesso no Guia do usuário do IAM.

Veja a seguir um exemplo de política que permite que um usuário execute a DescribeCacheClusters ação AWS em sua conta. ElastiCache também suporta a identificação de recursos específicos usando o recurso ARNs para ações de API. Essa abordagem também é chamada de permissões no nível do recurso.


{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "DescribeCacheClusters",
      "Effect": "Allow",
      "Action": [
         "elasticache:DescribeCacheClusters"],
      "Resource": resource-arn
      }
   ]
}

Para obter mais informações sobre o uso de políticas baseadas em identidade com ElastiCache, consulte. Usando políticas baseadas em identidade (políticas do IAM) para a Amazon ElastiCache Para obter mais informações sobre usuários, grupos, funções e permissões, consulte Identidades (usuários, grupos e funções) no Guia do usuário do IAM.

Especificar elementos da política: ações, efeitos, recursos e entidades principais

Para cada ElastiCache recurso da Amazon (consulte ElastiCache Recursos e operações da Amazon), o serviço define um conjunto de operações de API (consulte Ações). Para conceder permissões para essas operações de API, ElastiCache defina um conjunto de ações que você pode especificar em uma política. Por exemplo, para o recurso de ElastiCache cluster, as seguintes ações são definidas: CreateCacheClusterDeleteCacheCluster, DescribeCacheCluster e. A execução de uma operação de API pode exigir permissões para mais de uma ação.

Estes são os elementos de política mais básicos:

Recurso: em uma política, você usa um Amazon Resource Name (ARN – Nome do recurso da Amazon) para identificar o recurso a que a política se aplica. Para obter mais informações, consulte ElastiCache Recursos e operações da Amazon.
Ação: você usa palavras-chave de ação para identificar operações de recursos que deseja permitir ou negar. Por exemplo, dependendo do especificadoEffect, a elasticache:CreateCacheCluster permissão permite ou nega ao usuário permissões para realizar a ElastiCache CreateCacheCluster operação da Amazon.
Efeito: você especifica o efeito quando o usuário solicita a ação específica, que pode ser permitir ou negar. Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar acesso explicitamente a um recurso. Por exemplo, você poderia fazer isso para garantir que um usuário não possa acessar o recurso, mesmo se uma política diferente conceder o acesso.
Entidade principal: em políticas baseadas em identidade (políticas do IAM), o usuário ao qual a política é anexada é a entidade principal implícita. Para as políticas baseadas em recursos, você especifica quais usuários, contas, serviços ou outras entidades deseja que recebam permissões (isso se aplica somente a políticas baseadas em recursos).

Para saber mais sobre a sintaxe e as descrições de políticas do IAM, consulte a Referência de políticas do AWS IAM da no Guia do usuário do IAM.

Para ver uma tabela mostrando todas as ações de ElastiCache API da Amazon, consulteElastiCache Permissões de API: referência de ações, recursos e condições.

Especificar condições em uma política

Ao conceder permissões, você pode usar a linguagem da política do IAM para especificar as condições de quando uma política deverá entrar em vigor. Por exemplo, é recomendável aplicar uma política somente após uma data específica. Para obter mais informações sobre como especificar condições em uma linguagem de política, consulte Condition no Guia do usuário do IAM.

Para expressar condições, você usa chaves de condição predefinidas. Para usar chaves ElastiCache de condição específicas, consulteUso de chaves de condição. Existem chaves AWS de condição abrangentes que você pode usar conforme apropriado. Para obter uma lista completa AWS de chaves abrangentes, consulte Chaves disponíveis para condições no Guia do usuário do IAM.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Solução de problemas

AWS políticas gerenciadas