As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Visão geral do gerenciamento de permissões de acesso aos seus ElastiCache recursos
Cada AWS recurso pertence a uma AWS conta, e as permissões para criar ou acessar um recurso são regidas por políticas de permissões. Um administrador de conta pode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e funções). Além disso, a Amazon ElastiCache também oferece suporte para anexar políticas de permissões aos recursos.
**nota**
Um *administrador da conta* (ou usuário administrador) é um usuário com privilégios de administrador. Para obter mais informações, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
+ Usuários e grupos em Centro de Identidade do AWS IAM:
Crie um conjunto de permissões. Siga as instruções em [Criação de um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) no *Guia do usuário do Centro de Identidade do AWS IAM*.
+ Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em [Criando um perfil para um provedor de identidades de terceiros (federação)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do Usuário do IAM*.
+ Usuários do IAM:
+ Crie um perfil que seu usuário possa assumir. Siga as instruções em [Criação de um perfil para um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*.
+ (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em [Adição de permissões a um usuário (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
**Topics**
+ [ElastiCache Recursos e operações da Amazon](#IAM.Overview.ResourcesAndOperations)
+ [Informações sobre propriedade de recursos](#access-control-resource-ownership)
+ [Gerenciar acesso aos recursos da](#IAM.Overview.ManagingAccess)
+ [AWS políticas gerenciadas para a Amazon ElastiCache](IAM.IdentityBasedPolicies.PredefinedPolicies.md)
+ [Usando políticas baseadas em identidade (políticas do IAM) para a Amazon ElastiCache](IAM.IdentityBasedPolicies.md)
+ [Permissões em nível de recurso](IAM.ResourceLevelPermissions.md)
+ [Uso de chaves de condição](IAM.ConditionKeys.md)
+ [Uso de funções vinculadas ao serviço para o Amazon ElastiCache](using-service-linked-roles.md)
+ [Permissões da API do ElastiCache: referência de ações, recursos e condições](IAM.APIReference.md)
## ElastiCache Recursos e operações da Amazon
Para ver uma lista dos tipos de ElastiCache recursos e seus ARNs, consulte [Recursos definidos pela Amazon ElastiCache](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticache.html#amazonelasticache-resources-for-iam-policies) na *Referência de autorização de serviço*. Para saber com quais ações você pode especificar o ARN de cada recurso, consulte [Ações definidas pela Amazon](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticache.html#amazonelasticache-actions-as-permissions). ElastiCache
## Informações sobre propriedade de recursos
*O proprietário do recurso* é a AWS conta que criou o recurso. Ou seja, o proprietário do recurso é a AWS conta da entidade principal que autentica a solicitação que cria o recurso. Uma *entidade principal* pode ser a conta raiz, um usuário do IAM ou uma função do IAM. Os seguintes exemplos mostram como isso funciona:
+ Suponha que você use as credenciais da conta raiz da sua AWS conta para criar um cluster de cache. Nesse caso, sua AWS conta é a proprietária do recurso. Em ElastiCache, o recurso é o cluster.
+ Suponha que você crie um usuário do IAM em sua AWS conta e conceda permissões para criar um cluster para esse usuário. Nesse caso, o usuário pode criar um cluster. No entanto, sua AWS conta, à qual o usuário pertence, é proprietária do recurso de cluster.
+ Suponha que você crie uma função do IAM em sua AWS conta com permissões para criar um cluster. Nesse caso, qualquer pessoa que possa assumir a função poderá criar um cluster. Sua AWS conta, à qual a função pertence, é proprietária do recurso de cluster de cache.
## Gerenciar acesso aos recursos da
Uma *política de permissões* descreve quem tem acesso a quê. A seção a seguir explica as opções disponíveis para a criação de políticas de permissões.
**nota**
Esta seção discute o uso do IAM no contexto da Amazon ElastiCache. Não são fornecidas informações detalhadas sobre o serviço IAM. Para obter a documentação completa do IAM, consulte [O que é o IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) no *Guia do usuário do IAM*. Para obter mais informações sobre a sintaxe e as descrições da política do IAM, consulte a [Referência de políticas do AWS IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) no *Guia do usuário do IAM*.
As políticas anexadas a uma identidade do IAM são conhecidas como políticas *baseadas em identidade* (políticas do IAM). As políticas anexadas a um recurso são chamadas de *políticas baseadas em recursos*.
**Topics**
+ [Políticas baseadas em identidade (políticas do IAM)](#IAM.Overview.ManagingAccess.IdentityBasedPolicies)
+ [Especificar elementos da política: ações, efeitos, recursos e entidades principais](#IAM.Overview.PolicyElements)
+ [Especificar condições em uma política](#IAM.Overview.Conditions)
### Políticas baseadas em identidade (políticas do IAM)
É possível anexar políticas a identidades do IAM. Por exemplo, você pode fazer o seguinte:
+ **Anexar uma política de permissões a um usuário ou grupo na sua conta**: um administrador de conta pode usar uma política de permissões associada a determinado usuário para conceder permissões. Nesse caso, as permissões são para que esse usuário crie um ElastiCache recurso, como um cluster, um grupo de parâmetros ou um grupo de segurança.
+ **Anexar uma política de permissões a uma função**: você pode anexar uma política de permissões baseada em identidade a um perfil do IAM para conceder permissões entre contas. Por exemplo, o administrador na Conta A pode criar uma função para conceder permissões entre contas a outra AWS conta (por exemplo, Conta B) ou a um AWS serviço da seguinte forma:
1. Um administrador da Conta A cria uma função do IAM e anexa uma política de permissões à função que concede permissões em recursos da Conta A.
1. Um administrador da Conta A anexa uma política de confiança à função identificando a Conta B como a entidade principal, que pode assumir a função.
1. O administrador da Conta B pode então delegar permissões para assumir a função a qualquer usuário na Conta B. Isso permite que os usuários da Conta B criem ou acessem recursos na Conta A. Em alguns casos, talvez você queira conceder permissões a um AWS serviço para assumir a função. Para oferecer suporte a essa abordagem, o principal da política de confiança também pode ser um principal de serviço da AWS.
Para obter mais informações sobre o uso do IAM para delegar permissões, consulte [Gerenciamento de acesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) no *Guia do usuário do IAM*.
Veja a seguir um exemplo de política que permite que um usuário execute a `DescribeCacheClusters` ação AWS em sua conta. ElastiCache também suporta a identificação de recursos específicos usando o recurso ARNs para ações de API. Essa abordagem também é chamada de permissões no nível do recurso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DescribeCacheClusters",
"Effect": "Allow",
"Action": [
"elasticache:DescribeCacheClusters"
],
"Resource": "arn:aws:iam::*:role/*"
}
]
}
```
------
Para obter mais informações sobre o uso de políticas baseadas em identidade com ElastiCache, consulte. [Usando políticas baseadas em identidade (políticas do IAM) para a Amazon ElastiCache](IAM.IdentityBasedPolicies.md) Para obter mais informações sobre usuários, grupos, funções e permissões, consulte [Identidades (usuários, grupos e funções)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) no *Guia do usuário do IAM*.
### Especificar elementos da política: ações, efeitos, recursos e entidades principais
Para cada ElastiCache recurso da Amazon (consulte[ElastiCache Recursos e operações da Amazon](#IAM.Overview.ResourcesAndOperations)), o serviço define um conjunto de operações de API (consulte [Ações](https://docs.aws.amazon.com/AmazonElastiCache/latest/APIReference/API_Operations.html)). Para conceder permissões para essas operações de API, ElastiCache defina um conjunto de ações que você pode especificar em uma política. Por exemplo, para o recurso de ElastiCache cluster, as seguintes ações são definidas: `CreateCacheCluster``DeleteCacheCluster`, `DescribeCacheCluster` e. A execução de uma operação de API pode exigir permissões para mais de uma ação.
Estes são os elementos de política mais básicos:
+ **Recurso**: em uma política, você usa um Amazon Resource Name (ARN – Nome do recurso da Amazon) para identificar o recurso a que a política se aplica. Para obter mais informações, consulte [ElastiCache Recursos e operações da Amazon](#IAM.Overview.ResourcesAndOperations).
+ **Ação**: você usa palavras-chave de ação para identificar operações de recursos que deseja permitir ou negar. Por exemplo, dependendo do especificado`Effect`, a `elasticache:CreateCacheCluster` permissão permite ou nega ao usuário permissões para realizar a ElastiCache `CreateCacheCluster` operação da Amazon.
+ **Efeito**: você especifica o efeito quando o usuário solicita a ação específica, que pode ser permitir ou negar. Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar acesso explicitamente a um recurso. Por exemplo, você poderia fazer isso para garantir que um usuário não possa acessar o recurso, mesmo se uma política diferente conceder o acesso.
+ **Entidade principal**: em políticas baseadas em identidade (políticas do IAM), o usuário ao qual a política é anexada é a entidade principal implícita. Para as políticas baseadas em recursos, você especifica quais usuários, contas, serviços ou outras entidades deseja que recebam permissões (isso se aplica somente a políticas baseadas em recursos).
Para saber mais sobre a sintaxe e as descrições de políticas do IAM, consulte a [Referência de políticas do AWS IAM da ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) no *Guia do usuário do IAM*.
Para ver uma tabela mostrando todas as ações de ElastiCache API da Amazon, consulte[Permissões da API do ElastiCache: referência de ações, recursos e condições](IAM.APIReference.md).
### Especificar condições em uma política
Ao conceder permissões, você pode usar a linguagem da política do IAM para especificar as condições de quando uma política deverá entrar em vigor. Por exemplo, é recomendável aplicar uma política somente após uma data específica. Para obter mais informações sobre como especificar condições em uma linguagem de política, consulte [Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) no *Guia do usuário do IAM*.
Para expressar condições, você usa chaves de condição predefinidas. Para usar chaves ElastiCache de condição específicas, consulte[Uso de chaves de condição](IAM.ConditionKeys.md). Existem chaves AWS de condição abrangentes que você pode usar conforme apropriado. Para obter uma lista completa AWS de chaves abrangentes, consulte [Chaves disponíveis para condições](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#AvailableKeys) no *Guia do usuário do IAM*.