As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Visão geral do gerenciamento de permissões de acesso aos recursos do MemoryDB
Cada AWS recurso pertence a uma AWS conta, e as permissões para criar ou acessar um recurso são regidas por políticas de permissões. Um administrador de conta pode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e funções). Além disso, o MemoryDB também oferece suporte à anexação de políticas de permissões aos recursos.
**nota**
Um *administrador da conta* (ou usuário administrador) é um usuário com privilégios de administrador. Para obter mais informações, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
+ Usuários e grupos em Centro de Identidade do AWS IAM:
Crie um conjunto de permissões. Siga as instruções em [Criação de um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
+ Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em [Criando um perfil para um provedor de identidades de terceiros (federação)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do Usuário do IAM*.
+ Usuários do IAM:
+ Crie um perfil que seu usuário possa assumir. Siga as instruções em [Criação de um perfil para um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*.
+ (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em [Adição de permissões a um usuário (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
**Topics**
+ [Recursos e operações do MemoryDB](#iam.overview.resourcesandoperations)
+ [Informações sobre propriedade de recursos](#access-control-resource-ownership)
+ [Gerenciar acesso aos recursos da](#iam.overview.managingaccess)
+ [Usar políticas baseadas em identidade (políticas do IAM) para o MemoryDB](iam.identitybasedpolicies.md)
+ [Permissões em nível de recurso](iam.resourcelevelpermissions.md)
+ [Usar perfis vinculados ao serviço para o MemoryDB](using-service-linked-roles.md)
+ [AWS políticas gerenciadas para MemoryDB](security-iam-awsmanpol.md)
+ [Permissões da API do MemoryDB: referência de condições, recursos e ações](iam.APIReference.md)
## Recursos e operações do MemoryDB
No MemoryDB, o recurso primário é um *cluster*.
Esses recursos têm nomes de recursos exclusivos da Amazon (ARNs) associados a eles, conforme mostrado a seguir.
**nota**
Para que as permissões de nível de recurso sejam efetivas, o nome do recurso na string ARN deve ser minúsculo.
****
| Tipo de atributo | Formato ARN |
| --- | --- |
| Usuário | arn:aws:memorydb ::usuário/usuário1 *us-east-1:123456789012* |
| Lista de controle de acesso (ACL) | arn: aws:memorydb ::acl/myacl *us-east-1:123456789012* |
| Cluster | arn: aws:memorydb ::cluster/my-cluster *us-east-1:123456789012* |
| Instantâneo | arn:aws:memorydb ::snapshot/my-snapshot *us-east-1:123456789012* |
| Grupo de parâmetros | arn: aws:memorydb ::grupo de parâmetros/*us-east-1:123456789012*my-parameter-group |
| Grupo de sub-redes | arn: aws:memorydb ::subnetgroup/ *us-east-1:123456789012* my-subnet-group |
O MemoryDB fornece um conjunto de operações para trabalhar com recursos do MemoryDB. Para conferir uma lista das operações disponíveis, consulte [Actions](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_Operations.html) do MemoryDB.
## Informações sobre propriedade de recursos
*O proprietário do recurso* é a AWS conta que criou o recurso. Ou seja, o proprietário do recurso é a AWS conta da entidade principal que autentica a solicitação que cria o recurso. Uma *entidade principal* pode ser a conta raiz, um usuário do IAM ou uma perfil do IAM. Os seguintes exemplos mostram como isso funciona:
+ Suponha que você use as credenciais da conta raiz da sua AWS conta para criar um cluster. Nesse caso, sua AWS conta é a proprietária do recurso. No MemoryDB, o recurso é o cluster.
+ Suponha que você crie um usuário do IAM em sua AWS conta e conceda permissões para criar um cluster para esse usuário. Nesse caso, o usuário pode criar um cluster. No entanto, sua AWS conta, à qual o usuário pertence, é proprietária do recurso de cluster.
+ Suponha que você crie uma função do IAM em sua AWS conta com permissões para criar um cluster. Nesse caso, qualquer pessoa que possa assumir a função poderá criar um cluster. Sua AWS conta, à qual a função pertence, é proprietária do recurso de cluster.
## Gerenciar acesso aos recursos da
Uma *política de permissões* descreve quem tem acesso a quê. A seção a seguir explica as opções disponíveis para a criação de políticas de permissões.
**nota**
Esta seção discute o uso do IAM no contexto do MemoryDB. Não são fornecidas informações detalhadas sobre o serviço IAM. Para obter a documentação completa do IAM, consulte [O que é o IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) no *Guia do usuário do IAM*. Para obter mais informações sobre a sintaxe e as descrições da política do IAM, consulte a [Referência de políticas do AWS IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) no *Guia do usuário do IAM*.
As políticas anexadas a uma identidade do IAM são conhecidas como políticas *baseadas em identidade* (políticas do IAM). As políticas anexadas a um recurso são chamadas de *políticas baseadas em recursos*.
**Topics**
+ [Políticas baseadas em identidade (políticas do IAM)](#iam.overview.managingaccess.identitybasedpolicies)
+ [Especificar elementos da política: ações, efeitos, recursos e entidades principais](#iam.overview.policyelements)
+ [Especificar condições em uma política](#iam.specifyconditions)
### Políticas baseadas em identidade (políticas do IAM)
É possível anexar políticas a identidades do IAM. Por exemplo, você pode fazer o seguinte:
+ **Anexar uma política de permissões a um usuário ou grupo na sua conta**: um administrador de conta pode usar uma política de permissões associada a determinado usuário para conceder permissões. Nesse caso, as permissões são para o usuário criar um recurso do MemoryDB, como um cluster, um grupo de parâmetros ou um grupo de segurança.
+ **Anexar uma política de permissões a uma função**: você pode anexar uma política de permissões baseada em identidade a um perfil do IAM para conceder permissões entre contas. Por exemplo, o administrador na Conta A pode criar uma função para conceder permissões entre contas a outra AWS conta (por exemplo, Conta B) ou a um AWS serviço da seguinte forma:
1. Um administrador da Conta A cria uma função do IAM e anexa uma política de permissões à função que concede permissões em recursos da Conta A.
1. Um administrador da Conta A anexa uma política de confiança à função identificando a Conta B como a entidade principal, que pode assumir a função.
1. O administrador da Conta B pode então delegar permissões para assumir a função a qualquer usuário na Conta B. Isso permite que os usuários da Conta B criem ou acessem recursos na Conta A. Em alguns casos, talvez você queira conceder permissões a um AWS serviço para assumir a função. Para oferecer suporte a essa abordagem, o principal da política de confiança também pode ser um principal de serviço da AWS .
Para obter mais informações sobre o uso do IAM para delegar permissões, consulte [Gerenciamento de acesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) no *Guia do usuário do IAM*.
Veja a seguir um exemplo de política que permite que um usuário execute a `DescribeClusters` ação AWS em sua conta. O MemoryDB também suporta a identificação de recursos específicos usando o recurso ARNs para ações de API. Essa abordagem também é chamada de permissões no nível do recurso.
Para obter mais informações sobre como usar políticas baseadas em identidade com o MemoryDB, consulte [Usar políticas baseadas em identidade (políticas do IAM) para o MemoryDB](iam.identitybasedpolicies.md). Para obter mais informações sobre usuários, grupos, funções e permissões, consulte [Identidades (usuários, grupos e funções)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) no *Guia do usuário do IAM*.
### Especificar elementos da política: ações, efeitos, recursos e entidades principais
Para cada recurso do MemoryDB (consulte [Recursos e operações do MemoryDB](#iam.overview.resourcesandoperations)), o serviço define um conjunto de operações de API (consulte [Actions](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_Operations.html)). Para conceder permissões a essas operações da API, o MemoryDB define um conjunto de ações que podem ser especificadas em uma política. Por exemplo, para o recurso de cluster do MemoryDB, as seguintes ações são definidas: `CreateCluster`, `DeleteCluster`, e `DescribeClusters`. A execução de uma operação de API pode exigir permissões para mais de uma ação.
Estes são os elementos de política mais básicos:
+ **Recurso**: em uma política, você usa um Amazon Resource Name (ARN – Nome do recurso da Amazon) para identificar o recurso a que a política se aplica. Para obter mais informações, consulte [Recursos e operações do MemoryDB](#iam.overview.resourcesandoperations).
+ **Ação**: você usa palavras-chave de ação para identificar operações de recursos que deseja permitir ou negar. Por exemplo, dependendo do `Effect` especificado, a permissão `memorydb:CreateCluster` permite ou nega as permissões do usuário para executar a operação `CreateCluster` no MemoryDB.
+ **Efeito**: você especifica o efeito quando o usuário solicita a ação específica, que pode ser permitir ou negar. Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar acesso explicitamente a um recurso. Por exemplo, você poderia fazer isso para garantir que um usuário não possa acessar o recurso, mesmo se uma política diferente conceder o acesso.
+ **Entidade principal**: em políticas baseadas em identidade (políticas do IAM), o usuário ao qual a política é anexada é a entidade principal implícita. Para as políticas baseadas em recursos, você especifica quais usuários, contas, serviços ou outras entidades deseja que recebam permissões (isso se aplica somente a políticas baseadas em recursos).
Para saber mais sobre a sintaxe e as descrições de políticas do IAM, consulte a [Referência de políticas do AWS IAM da ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) no *Guia do usuário do IAM*.
Para conferir uma tabela que mostra todas as ações de API do MemoryDB, consulte [Permissões da API do MemoryDB: referência de condições, recursos e ações](iam.APIReference.md).
### Especificar condições em uma política
Ao conceder permissões, você pode usar a linguagem da política do IAM para especificar as condições de quando uma política deverá entrar em vigor. Por exemplo, é recomendável aplicar uma política somente após uma data específica. Para obter mais informações sobre como especificar condições em uma linguagem de política, consulte [Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) no *Guia do usuário do IAM*.
# Usar políticas baseadas em identidade (políticas do IAM) para o MemoryDB
Este tópico fornece exemplos de políticas baseadas em identidade em que um administrador de conta pode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e funções).
**Importante**
Recomendamos que você primeiro leia os tópicos que explicam os conceitos básicos e as opções para gerenciar o acesso aos recursos do MemoryDB. Para obter mais informações, consulte [Visão geral do gerenciamento de permissões de acesso aos recursos do MemoryDB](iam.overview.md).
As seções neste tópico abrangem o seguinte:
+ [Permissões necessárias para usar o console do MemoryDB](#iam.identitybasedpolicies.minconpolicies)
+ [Políticas gerenciadas pela AWS(predefinidas) para o MemoryDB](security-iam-awsmanpol.md#iam.identitybasedpolicies.predefinedpolicies)
+ [Exemplos de política gerenciada pelo cliente](#iam.identitybasedpolicies.customermanagedpolicies)
A seguir, um exemplo de uma política de permissões.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowClusterPermissions",
"Effect": "Allow",
"Action": [
"memorydb:CreateCluster",
"memorydb:DescribeClusters",
"memorydb:UpdateCluster"],
"Resource": "*"
},
{
"Sid": "AllowUserToPassRole",
"Effect": "Allow",
"Action": [ "iam:PassRole" ],
"Resource": "arn:aws:iam::123456789012:role/EC2-roles-for-cluster"
}
]
}
```
------
A política tem duas instruções:
+ A primeira instrução concede permissões para as ações do MemoryDB (`memorydb:CreateCluster`, `memorydb:DescribeClusters`, e `memorydb:UpdateCluster`) em qualquer cluster pertencente à conta.
+ A segunda instrução concede permissões para a ação do IAM (`iam:PassRole`) no nome da função do IAM especificado no final do valor `Resource`.
A política não especifica o elemento `Principal` porque, em uma política baseada em identidade, a entidade principal que obtém as permissões não é especificada. Quando você anexar uma política um usuário, o usuário será a entidade principal implícita. Quando você anexa uma política de permissões a um perfil do IAM, a entidade principal identificada na política de confiança do perfil obtém as permissões.
Para conferir uma tabela que mostra todas as ações da API do MemoryDB e os recursos a que elas se aplicam, consulte [Permissões da API do MemoryDB: referência de condições, recursos e ações](iam.APIReference.md).
## Permissões necessárias para usar o console do MemoryDB
A tabela de referência de permissões lista as operações de API do MemoryDB e mostra as permissões necessárias para cada operação. Para obter mais informações sobre as operações de API do MemoryDB, consulte [Permissões da API do MemoryDB: referência de condições, recursos e ações](iam.APIReference.md).
Para usar o console do MemoryDB, primeiro conceda permissões para ações adicionais, como mostrado na política de permissões a seguir.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "MinPermsForMemDBConsole",
"Effect": "Allow",
"Action": [
"memorydb:Describe*",
"memorydb:List*",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeVpcs",
"ec2:DescribeAccountAttributes",
"ec2:DescribeSecurityGroups",
"cloudwatch:GetMetricStatistics",
"cloudwatch:DescribeAlarms",
"s3:ListAllMyBuckets",
"sns:ListTopics",
"sns:ListSubscriptions" ],
"Resource": "*"
}
]
}
```
------
O console do MemoryDB precisa dessas permissões adicionais pelas seguintes razões:
+ As permissões para ações do MemoryDB habilitam o console para exibir recursos do MemoryDB na conta.
+ O console precisa de permissões para que as `ec2` ações consultem o Amazon EC2 para que ele possa exibir zonas de disponibilidade VPCs, grupos de segurança e atributos da conta.
+ As permissões para `cloudwatch` ações permitem que o console recupere CloudWatch métricas e alarmes da Amazon e os exiba no console.
+ As permissões para ações do `sns` permitem que o console recupere tópicos e assinaturas do Amazon Simple Notification Service (Amazon SNS) e os exiba no console.
## Exemplos de política gerenciada pelo cliente
Se você não estiver usando uma política padrão e optar por usar uma política gerenciada personalizada, realize uma destas ações: Você deve ter permissões para chamar `iam:createServiceLinkedRole` (para obter mais informações, consulte [Exemplo 4: permitir que um usuário chame a CreateServiceLinkedRole API IAM](#create-service-linked-role-policy)). Ou você deve ter criado uma função vinculada ao serviço do MemoryDB.
Quando combinadas com as permissões mínimas necessárias para usar o console do MemoryDB, as políticas de exemplo nesta seção concedem permissões adicionais. Os exemplos também são relevantes para o AWS SDKs e AWS CLI o. Para obter mais informações sobre quais permissões são necessárias para usar o console do MemoryDB, consulte [Permissões necessárias para usar o console do MemoryDB](#iam.identitybasedpolicies.minconpolicies).
Para obter instruções sobre como configurar usuários e grupos do IAM, consulte [Criação do seu primeiro usuário do IAM e grupo de administradores](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html) no *Guia do usuário do IAM*.
**Importante**
Sempre teste suas políticas do IAM completamente antes de usá-las em produção. Algumas ações do MemoryDB que parecem simples podem exigir outras ações para oferecer suporte quando você estiver usando o console do MemoryDB. Por exemplo, `memorydb:CreateCluster` concede permissões para criar clusters de cache do MemoryDB. No entanto, para realizar essa operação, o console do MemoryDB usa várias ações `Describe` e `List` para preencher listas de consoles.
**Topics**
+ [Exemplo 1: permitir a um usuário com acesso somente de leitura a recursos do MemoryDB](#example-allow-list-current-memorydb-resources)
+ [Exemplo 2: permitir que um usuário realize tarefas comuns de administrador do sistema do MemoryDB](#example-allow-specific-memorydb-actions)
+ [Exemplo 3: permitir que um usuário acesse todas as ações de API do MemoryDB](#allow-unrestricted-access)
+ [Exemplo 4: permitir que um usuário chame a CreateServiceLinkedRole API IAM](#create-service-linked-role-policy)
### Exemplo 1: permitir a um usuário com acesso somente de leitura a recursos do MemoryDB
A seguinte política concede permissões a ações do MemoryDB que permitem que um usuário liste recursos. Normalmente, você anexa esse tipo de política de permissões a um grupo de gerentes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[{
"Sid": "MemDBUnrestricted",
"Effect":"Allow",
"Action": [
"memorydb:Describe*",
"memorydb:List*"],
"Resource":"*"
}
]
}
```
------
### Exemplo 2: permitir que um usuário realize tarefas comuns de administrador do sistema do MemoryDB
As tarefas comuns do administrador do sistema incluem a modificação de clusters de cache, parâmetros e grupo de parâmetros. Um administrador do sistema também pode querer obter informações sobre eventos do MemoryDB. A seguinte política concede permissões de usuário para executar ações do MemoryDB para essas tarefas comuns de administrador de sistema. Normalmente, você anexa esse tipo de política de permissões ao grupo de administradores do sistema.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MDBAllowSpecific",
"Effect": "Allow",
"Action": [
"memorydb:UpdateCluster",
"memorydb:DescribeClusters",
"memorydb:DescribeEvents",
"memorydb:UpdateParameterGroup",
"memorydb:DescribeParameterGroups",
"memorydb:DescribeParameters",
"memorydb:ResetParameterGroup"
],
"Resource": "*"
}
]
}
```
------
### Exemplo 3: permitir que um usuário acesse todas as ações de API do MemoryDB
A seguinte política permite que um usuário acesse todas as ações do MemoryDB. Recomendamos que você conceda esse tipo de política de permissões apenas a um usuário administrador.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[{
"Sid": "MDBAllowAll",
"Effect":"Allow",
"Action":[
"memorydb:*" ],
"Resource":"*"
}
]
}
```
------
### Exemplo 4: permitir que um usuário chame a CreateServiceLinkedRole API IAM
A política a seguir permite que o usuário chame a API `CreateServiceLinkedRole` do IAM. Recomendamos conceder esse tipo de política de permissões para o usuário que invoca operações mutativas do MemoryDB.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"CreateSLRAllows",
"Effect":"Allow",
"Action":[
"iam:CreateServiceLinkedRole"
],
"Resource":"*",
"Condition":{
"StringLike":{
"iam:AWS ServiceName":"memorydb.amazonaws.com"
}
}
}
]
}
```
------
# Permissões em nível de recurso
Você pode restringir o escopo das permissões especificando recursos em uma política do IAM. Muitas ações de AWS CLI API oferecem suporte a um tipo de recurso que varia de acordo com o comportamento da ação. Cada instrução de política do IAM concede permissão a uma ação realizada em um recurso. Quando a ação não atua em um recurso indicado, ou quando você concede permissão para executar a ação em todos os recursos, o valor do recurso na política é um curinga (\$1). Para muitas ações de API, restrinja os recursos que um usuário pode modificar especificando o Amazon Resource Name (ARN – Nome de recurso da Amazon) de um recurso ou um padrão de ARN correspondente a vários recursos. Para restringir as permissões por recurso especifique o recurso por ARN.
**Formato ARN do recurso MemoryDB**
**nota**
Para que as permissões em nível de recurso sejam efetivas, o nome do recurso na string ARN deve estar em minúsculas.
+ Usuário — arn:aws:memorydb ::user/user1 *us-east-1:123456789012*
+ ACL — arn:aws:memorydb ::acl/my-acl *us-east-1:123456789012*
+ Cluster — arn:aws:memorydb ::cluster/my-cluster *us-east-1:123456789012*
+ Instantâneo — arn:aws:memorydb ::snapshot/my-snapshot *us-east-1:123456789012*
+ Grupo de parâmetros — arn:aws:memorydb ::parametergroup/ *us-east-1:123456789012* my-parameter-group
+ Grupo de sub-rede — arn:aws:memorydb ::subnetgroup/ *us-east-1:123456789012* my-subnet-group
**Topics**
+ [Exemplo 1: permitir que um usuário tenha acesso total a tipos de recurso específicos do MemoryDB](#example-allow-list-current-memorydb-resources-resource)
+ [Exemplo 2: negar a um usuário o acesso a um cluster.](#example-allow-specific-memorydb-actions-resource)
## Exemplo 1: permitir que um usuário tenha acesso total a tipos de recurso específicos do MemoryDB
A seguinte política permite explicitamente o acesso total da `account-id` especificada a todos os recursos do tipo grupo de sub-redes, grupo de segurança e cluster.
```
{
"Sid": "Example1",
"Effect": "Allow",
"Action": "memorydb:*",
"Resource": [
"arn:aws:memorydb:us-east-1:account-id:subnetgroup/*",
"arn:aws:memorydb:us-east-1:account-id:securitygroup/*",
"arn:aws:memorydb:us-east-1:account-id:cluster/*"
]
}
```
## Exemplo 2: negar a um usuário o acesso a um cluster.
O exemplo a seguir nega explicitamente o acesso especificado da `account-id` a um determinado cluster.
```
{
"Sid": "Example2",
"Effect": "Deny",
"Action": "memorydb:*",
"Resource": [
"arn:aws:memorydb:us-east-1:account-id:cluster/name"
]
}
```
# Usar perfis vinculados ao serviço para o MemoryDB
O MemoryDB usa funções vinculadas ao [serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a um AWS serviço, como o MemoryDB. Os perfis vinculados ao serviço do MemoryDB são predefinidos pelo MemoryDB. Elas incluem todas as permissões que o serviço exige para chamar os serviços da AWS em nome dos seus clusters.
Um perfil vinculado ao serviço facilita a configuração do MemoryDB, já que você não precisa adicionar as permissões necessárias manualmente. As funções já existem na sua AWS conta, mas estão vinculadas aos casos de uso do MemoryDB e têm permissões predefinidas. Somente o MemoryDB pode assumir esses perfis e somente esses perfis podem usar a política de permissões predefinidas. Você pode excluir os perfis somente depois de primeiro excluir seus recursos relacionados. Isso protege os recursos do MemoryDB, já que não é possível remover por engano as permissões necessárias para acessar os recursos.
Para obter informações sobre outros serviços compatíveis com perfis vinculados a serviços, consulte [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que contenham **Sim** na coluna **Service-Linked Role**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.
**Contents**
+ [Permissões de perfil vinculado ao serviço](#service-linked-role-permissions)
+ [Criação de uma função vinculada ao serviço (IAM)](#create-service-linked-role-iam)
+ [Uso do console do IAM](#create-service-linked-role-iam-console)
+ [Uso da CLI do IAM](#create-service-linked-role-iam-cli)
+ [Uso da API do IAM](#create-service-linked-role-iam-api)
+ [Editar a descrição de uma função vinculada ao serviço](#edit-service-linked-role)
+ [Uso do console do IAM](#edit-service-linked-role-iam-console)
+ [Uso da CLI do IAM](#edit-service-linked-role-iam-cli)
+ [Uso da API do IAM](#edit-service-linked-role-iam-api)
+ [Excluir um perfil vinculado ao serviço para o MemoryDB](#delete-service-linked-role)
+ [Limpar uma função vinculada ao serviço](#service-linked-role-review-before-delete)
+ [Exclusão de uma função vinculada ao serviço (console do IAM)](#delete-service-linked-role-iam-console)
+ [Exclusão de uma função vinculada ao serviço (CLI do IAM)](#delete-service-linked-role-iam-cli)
+ [Exclusã de uma função vinculada ao serviço (API do IAM)](#delete-service-linked-role-iam-api)
## Permissões de perfil vinculado ao serviço para o MemoryDB
O MemoryDB usa a função vinculada ao serviço chamada **AWSServiceRoleForMemoryDB** — Essa política permite que o MemoryDB gerencie AWS recursos em seu nome conforme necessário para gerenciar seus clusters.
A política de permissões de função vinculada ao serviço de AWSService RoleForMemory banco de dados permite que o MemoryDB conclua as seguintes ações nos recursos especificados:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws-cn:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"AmazonMemoryDBManaged"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws-cn:ec2:*:*:network-interface/*",
"arn:aws-cn:ec2:*:*:subnet/*",
"arn:aws-cn:ec2:*:*:security-group/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "arn:aws-cn:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/AmazonMemoryDBManaged": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "arn:aws-cn:ec2:*:*:security-group/*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/MemoryDB"
}
}
}
]
}
```
------
Para obter mais informações, consulte [AWS política gerenciada: Memória DBService RolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-memorydbServiceRolePolicy).
**Para permitir que uma entidade do IAM crie funções vinculadas ao serviço de AWSService RoleForMemory banco de dados**
Adicione a seguinte declaração de política às permissões dessa entidade IAM:
```
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB*",
"Condition": {"StringLike": {"iam:AWS ServiceName": "memorydb.amazonaws.com"}}
}
```
**Para permitir que uma entidade do IAM exclua funções vinculadas ao serviço de AWSService RoleForMemory banco de dados**
Adicione a seguinte declaração de política às permissões dessa entidade IAM:
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB*",
"Condition": {"StringLike": {"iam:AWS ServiceName": "memorydb.amazonaws.com"}}
}
```
Como alternativa, você pode usar uma política AWS gerenciada para fornecer acesso total ao MemoryDB.
## Criação de uma função vinculada ao serviço (IAM)
Você pode criar uma função vinculada ao serviço usando o console do IAM, a CLI ou a API.
### Criação de uma função vinculada ao serviço (console do IAM)
Você pode usar o console do IAM para criar uma função vinculada ao serviço.
**Para criar uma função vinculada ao serviço (console)**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação esquerdo do console IAM, escolha **Funções**. Em seguida, escolha **Criar nova função**.
1. Em **Selecionar tipo de entidade confiável**, selecione **Serviço da AWS **.
1. Em **Ou selecione um serviço para visualizar seus casos de uso**, escolha **MemoryDB**.
1. Escolha **Próximo: permissões**.
1. Em **Nome da política**, observe que `MemoryDBServiceRolePolicy` é necessário para esta função. Escolha **Próximo: tags**.
1. Observe que não há suporte para as tags para funções vinculadas ao serviço. Escolha **Próximo: análise**.
1. (Opcional) Em **Descrição da função**, edite a descrição para a nova função vinculada ao serviço.
1. Revise a função e escolha **Criar função**.
### Criação de uma função vinculada ao serviço (CLI do IAM)
Você pode usar as operações do IAM do AWS Command Line Interface para criar uma função vinculada ao serviço. Essa função pode incluir a política de confiança e as políticas em linha de que o serviço precisa para assumir a função.
**Para criar uma função vinculada ao serviço (CLI)**
Use a seguinte operação:
```
$ aws iam [create-service-linked-role](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) --aws-service-name memorydb.amazonaws.com
```
### Criação de uma função vinculada ao serviço (API do IAM)
Você pode usar a API do IAM para excluir uma função vinculada ao serviço. Essa função pode conter a política de confiança e as políticas em linha de que o serviço precisa para assumir a função.
**Para criar uma função vinculada ao serviço (API)**
Use a chamada da API [CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html). Na solicitação, especifique o nome do serviço na forma de `memorydb.amazonaws.com`.
## Editar a descrição de um perfil vinculado ao serviço para o MemoryDB
O MemoryDB não permite que você edite a função vinculada ao serviço de AWSService RoleForMemory banco de dados. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM.
### Edição da descrição de uma função vinculada ao serviço (console do IAM)
Também é possível usar o console do IAM para editar a descrição de uma função vinculada ao serviço.
**Para editar a descrição de uma função vinculada ao serviço (console)**
1. No painel de navegação esquerdo do console IAM, escolha **Funções**.
1. Escolha o nome da função a ser modificada.
1. No extremo direito da **Descrição da função**, escolha **Editar**.
1. Insira uma nova descrição na caixa e escolha **Salvar**.
### Edição da descrição de uma função vinculada ao serviço (CLI do IAM)
Você pode usar as operações do IAM do AWS Command Line Interface para editar uma descrição de função vinculada ao serviço.
**Para alterar a descrição de uma função (CLI)**
1. (Opcional) Para ver a descrição atual de uma função, use a operação AWS CLI for IAM`[get-role](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)`.
**Example**
```
$ aws iam [get-role](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html) --role-name AWSServiceRoleForMemoryDB
```
Use o nome da função, não o nome de recurso da Amazon (ARN), para fazer referência às funções com as operações da CLI. Por exemplo, se uma função tiver o seguinte nome de recurso da Amazon (ARN): `arn:aws:iam::123456789012:role/myrole`, você fará referência à função como **myrole**.
1. Para atualizar a descrição de uma função vinculada ao serviço, use a operação AWS CLI for IAM. `[update-role-description](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)`
Para Linux, macOS ou Unix:
```
$ aws iam [update-role-description](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html) \
--role-name AWSServiceRoleForMemoryDB \
--description "new description"
```
Para Windows:
```
$ aws iam [update-role-description](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html) ^
--role-name AWSServiceRoleForMemoryDB ^
--description "new description"
```
### Edição da descrição de uma função vinculada ao serviço (API do IAM)
Você pode usar a API do IAM para editar uma descrição de função vinculada ao serviço.
**Para alterar a descrição de uma função (API)**
1. (Opcional) Para visualizar a descrição atual de uma função, use a operação da API do IAM [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html).
**Example**
```
https://iam.amazonaws.com/
?Action=[GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)
&RoleName=AWSServiceRoleForMemoryDB
&Version=2010-05-08
&AUTHPARAMS
```
1. Para atualizar uma descrição de função, use a operação da API do IAM [UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html).
**Example**
```
https://iam.amazonaws.com/
?Action=[UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)
&RoleName=AWSServiceRoleForMemoryDB
&Version=2010-05-08
&Description="New description"
```
## Excluir um perfil vinculado ao serviço para o MemoryDB
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar sua função vinculada ao serviço antes de excluí-la.
O MemoryDB não exclui o perfil vinculado ao serviço para você.
### Limpar uma função vinculada ao serviço
Antes de usar o IAM para excluir uma função vinculada a um serviço, primeiro confirme se a função não tem recursos (clusters) associados a ela.
**Para verificar se a função vinculada ao serviço tem uma sessão ativa no console do IAM**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação esquerdo do console IAM, escolha **Funções**. Em seguida, escolha o nome (não a caixa de seleção) da função de AWSService RoleForMemory banco de dados.
1. Na página **Resumo** para a função selecionada, escolha a guia **Consultor de Acesso**.
1. Na guia **Consultor de Acesso**, revise a atividade recente para a função vinculada ao serviço.
**Para excluir recursos do MemoryDB que exigem AWSService RoleForMemory DB (console)**
+ Para excluir um cluster, consulte o seguinte:
+ [Usando o Console de gerenciamento da AWS](getting-started.md#clusters.deleteclusters.viewdetails)
+ [Usando o AWS CLI](getting-started.md#clusters.delete.cli)
+ [Usando a API do MemoryDB](getting-started.md#clusters.delete.api)
### Exclusão de uma função vinculada ao serviço (console do IAM)
É possível usar o console do IAM para excluir uma função vinculada ao serviço.
**Para excluir uma função vinculada ao serviço (console)**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação esquerdo do console IAM, escolha **Funções**. Selecione a caixa de marcação ao lado do nome da função que você deseja excluir, não o nome ou a linha em si.
1. Em ações de **Função** na parte superior da página, escolha a função **Excluir**.
1. Na página de confirmação, revise os dados do último acesso ao serviço, que mostram quando cada uma das funções selecionadas acessou um AWS serviço pela última vez. Isso ajuda você a confirmar se a função está ativo no momento. Se quiser prosseguir, escolha **Sim, Excluir** para enviar a função vinculada ao serviço para exclusão.
1. Monitore as notificações do console do IAM para progresso da exclusão da função vinculada ao serviço. Como a exclusão da função vinculada ao serviço do IAM é assíncrona, depois de enviar a função para exclusão, a tarefa pode ou não ser bem-sucedida. Se a tarefa obtiver êxito, você poderá escolher **Visualizar Detalhes** ou **Visualizar Recursos** a partir das notificações para saber por que a exclusão falhou.
### Exclusão de uma função vinculada ao serviço (CLI do IAM)
Você pode usar as operações do IAM do AWS Command Line Interface para excluir uma função vinculada ao serviço.
**Para excluir uma função vinculado ao serviço (CLI)**
1. Se você não souber o nome da função vinculada ao serviço que deseja excluir, insira o seguinte comando. Esse comando lista as funções e seus nomes de recursos da Amazon (ARNs) em sua conta.
```
$ aws iam [get-role](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html) --role-name role-name
```
Use o nome da função, não o nome de recurso da Amazon (ARN), para fazer referência às funções com as operações da CLI. Por exemplo, se uma função tiver o ARN `arn:aws:iam::123456789012:role/myrole`, você fará referência à função como **myrole**.
1. Como uma função vinculada ao serviço não podem ser excluída se estiver sendo usada ou tiver recursos associados, você deverá enviar uma solicitação de exclusão. Essa solicitação poderá ser negada se essas condições não forem atendidas. Você deve capturar o `deletion-task-id` da resposta para verificar o status da tarefa de exclusão. Insira o seguinte para enviar uma solicitação de exclusão de função vinculada ao serviço.
```
$ aws iam [delete-service-linked-role](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html) --role-name role-name
```
1. Insita o seguinte para verificar o estado da tarefa de exclusão.
```
$ aws iam [get-service-linked-role-deletion-status](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html) --deletion-task-id deletion-task-id
```
O status da tarefa de exclusão pode ser `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`, ou `FAILED`. Se a exclusão falhar, a chamada informará o motivo de falha para que você possa solucionar o problema.
### Exclusã de uma função vinculada ao serviço (API do IAM)
É possível usar a API do IAM para excluir uma função vinculada ao serviço.
**Para excluir uma função vinculada ao serviço (API)**
1. Para enviar uma solicitação de exclusão de um roll vinculada ao serviço, chame [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html). Na solicitação, especifique o nome da função.
Como uma função vinculada ao serviço não podem ser excluída se estiver sendo usada ou tiver recursos associados, você deverá enviar uma solicitação de exclusão. Essa solicitação poderá ser negada se essas condições não forem atendidas. Você deve capturar o `DeletionTaskId` da resposta para verificar o status da tarefa de exclusão.
1. Para verificar o status da exclusão, chame [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html). Na solicitação, especifique o `DeletionTaskId`.
O status da tarefa de exclusão pode ser `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`, ou `FAILED`. Se a exclusão falhar, a chamada informará o motivo de falha para que você possa solucionar o problema.
# AWS políticas gerenciadas para MemoryDB
Para adicionar permissões a usuários, grupos e funções, é mais fácil usar políticas AWS gerenciadas do que escrever políticas você mesmo. É necessário tempo e experiência para criar [políticas gerenciadas pelo cliente do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que fornecem à sua equipe apenas as permissões de que precisam. Para começar rapidamente, você pode usar nossas políticas AWS gerenciadas. Essas políticas abrangem casos de uso comuns e estão disponíveis em sua AWS conta. Para obter mais informações sobre políticas AWS gerenciadas, consulte [políticas AWS gerenciadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
AWS os serviços mantêm e atualizam as políticas AWS gerenciadas. Você não pode alterar as permissões nas políticas AWS gerenciadas. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo recurso for iniciado ou novas operações se tornarem disponíveis. Os serviços não removem as permissões de uma política AWS gerenciada, portanto, as atualizações de políticas não violarão suas permissões existentes.
Além disso, AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política **ReadOnlyAccess** AWS gerenciada fornece acesso somente de leitura a todos os AWS serviços e recursos. Quando um serviço lança um novo recurso, AWS adiciona permissões somente de leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de perfis de trabalho, consulte [Políticas gerenciadas pela AWS para perfis de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
## AWS política gerenciada: Memória DBService RolePolicy
Você não pode anexar a política de memória DBService RolePolicy AWS gerenciada às identidades da sua conta. Essa política faz parte da função vinculada ao serviço AWS MemoryDB. Essa função permite que o serviço gerencie interfaces de rede e grupos de segurança em sua conta.
O MemoryDB usa as permissões desta política para gerenciar grupos de segurança e interfaces de rede do EC2. Isso é necessário para gerenciar clusters do MemoryDB.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws-cn:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"AmazonMemoryDBManaged"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws-cn:ec2:*:*:network-interface/*",
"arn:aws-cn:ec2:*:*:subnet/*",
"arn:aws-cn:ec2:*:*:security-group/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "arn:aws-cn:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/AmazonMemoryDBManaged": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "arn:aws-cn:ec2:*:*:security-group/*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/MemoryDB"
}
}
}
]
}
```
------
## Políticas gerenciadas pela AWS(predefinidas) para o MemoryDB
AWS aborda muitos casos de uso comuns fornecendo políticas autônomas do IAM que são criadas e administradas pela AWS. As políticas gerenciadas concedem permissões necessárias para casos de uso comuns, de maneira que você possa evitar a necessidade de investigar quais permissões são necessárias. Para obter mais informações, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
As seguintes políticas AWS gerenciadas, que você pode anexar aos usuários em sua conta, são específicas do MemoryDB:
### AmazonMemoryDBReadOnlyAccess
É possível anexar a política `AmazonMemoryDBReadOnlyAccess` às suas identidades do IAM. Esta política concede permissões administrativas que oferecem acesso somente leitura a todos os recursos do MemoryDB.
**AmazonMemoryDBReadOnlyAccess**- Concede acesso somente de leitura aos recursos do MemoryDB.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"memorydb:Describe*",
"memorydb:List*"
],
"Resource": "*"
}]
}
```
------
### AmazonMemoryDBFullAcesso
É possível anexar a política `AmazonMemoryDBFullAccess` às suas identidades do IAM. Essa política concede permissões administrativas que oferecem acesso total a todos os recursos do MemoryDB.
**AmazonMemoryDBFullAcesso** - Concede acesso total aos recursos do MemoryDB.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "memorydb:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "memorydb.amazonaws.com"
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "memorydb:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws-cn:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "memorydb.amazonaws.com"
}
}
}
]
}
```
------
Além disso, você pode criar políticas do IAM personalizadas para conceder permissões para ações de API do MemoryDB. Você pode anexar essas políticas personalizadas a usuários ou grupos do IAM que exijam essas permissões.
## Atualizações do MemoryDB para AWS políticas gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do MemoryDB desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed de RSS na página Document History (Histórico do documento) do MemoryDB.
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AWS política gerenciada: Memória DBService RolePolicy](#security-iam-awsmanpol-memorydbServiceRolePolicy): adicionar uma política | Memory DBService RolePolicy adicionou a permissão para memorydb:. ReplicateMultiRegionClusterData Essa permissão permite que o perfil vinculado ao serviço replique dados para clusters de várias regiões do MemoryDB. | 12/01/2024 |
| [AmazonMemoryDBFullAcesso](#iam.identitybasedpolicies.predefinedpolicies-fullaccess): adicionar uma política | O MemoryDB adicionou novas permissões para descrever e listar recursos compatíveis. Essas permissões são necessárias para que o MemoryDB consulte todos os recursos compatíveis em uma conta. | 10/07/2021 |
| [AmazonMemoryDBReadOnlyAccess](#iam.identitybasedpolicies.predefinedpolicies-readonly): adicionar uma política | O MemoryDB adicionou novas permissões para descrever e listar recursos compatíveis. Essas permissões são necessárias para que o MemoryDB crie aplicações baseadas em conta consultando todos os recursos compatíveis em uma conta. | 10/07/2021 |
| O MemoryDB começou a monitorar alterações | Inicialização do serviço | 19/08/2021 |
# Permissões da API do MemoryDB: referência de condições, recursos e ações
Ao configurar [controle de acesso](iam.md#iam.accesscontrol) e escrever políticas de permissões para anexar a uma política do IAM (baseada em identidade ou em recursos), use a tabela a seguir como referência. A tabela lista cada operação de API do MemoryDB e as ações correspondentes para as quais você pode conceder permissões para execução. Você especifica as ações no campo `Action` da política e um valor de recurso no campo `Resource`da política. Salvo indicação em contrário, o recurso é obrigatório. Alguns campos incluem um recurso obrigatório e recursos opcionais. Quando não há ARN de recurso, o recurso na política é um caractere curinga (\$1).
**nota**
Para especificar uma ação, use o prefixo `memorydb:` seguido do nome da operação da API (por exemplo, `memorydb:DescribeClusters`).
Use as barras de rolagem para ver o restante da tabela.
**API do MemoryDB e permissões necessárias para ações**
| Operações da API do MemoryDB | Permissões obrigatórias (ações de API) | Recursos |
| --- | --- | --- |
| [BatchUpdateCluster](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_BatchUpdateCluster.html) | `memorydb:BatchUpdateCluster` | Cluster |
| [CopySnapshot](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CopySnapshot.html) | `memorydb:CopySnapshot` `memorydb:TagResource` `s3:GetBucketLocation` `s3:ListAllMyBuckets` | Snapshot (origem, destino) \$1 \$1 |
| [CreateCluster](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateCluster.html) | `memorydb:CreateCluster` `memorydb:TagResource` `s3:GetObject` Se você usar o parâmetro `SnapshotArns`, cada membro da lista `SnapshotArns` exigirá sua própria permissão `s3:GetObject` com o ARN `s3` como seu recurso. | Grupo de parâmetros. (Opcional) Cluster, snapshot, IDs de grupo de segurança e grupo de sub-redes `arn:aws:s3:::my_bucket/snapshot1.rdb` Onde*my\$1bucket*/*snapshot1*é um bucket e um snapshot do S3 a partir dos quais você deseja criar o cluster. |
| [CreateParameterGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateParameterGroup.html) | `memorydb:CreateParameterGroup` `memorydb:TagResource` | Grupo de parâmetros |
| [CreateSubnetGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateSubnetGroup.html) | `memorydb:CreateSubnetGroup` `memorydb:TagResource` | Grupo de sub-redes | \$1 |
| [CreateSnapshot](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateSnapshot.html) | `memorydb:CreateSnapshot` `memorydb:TagResource` | Snapshot, cluster |
| [CreateUser](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateUser.html) | `memorydb:CreateUser` `memorydb:TagResource` | Usuário |
| [CreateACL](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateACL.html) | `memorydb:CreateACL` `memorydb:TagResource` | Lista de controle de acesso (ACL) |
| [UpdateCluster](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateCluster.html) | `memorydb:UpdateCluster` | Cluster |
| [DeleteCluster](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteCluster.html) | `memorydb:DeleteCluster` | Cluster. (Opcional) Snapshot |
| [DeleteParameterGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteParameterGroup.html) | `memorydb:DeleteParameterGroup` | Grupo de parâmetros |
| [DeleteSubnetGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteSubnetGroup.html) | `memorydb:DeleteSubnetGroup` | Grupo de sub-redes |
| [DeleteSnapshot](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteSnapshot.html) | `memorydb:DeleteSnapshot` | Instantâneo |
| [DeleteUser](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteUser.html) | `memorydb:DeleteUser` | Usuário |
| [DeleteACL](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteACL.html) | `memorydb:DeleteACL` | ACL |
| [DescribeClusters](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeClusters.html) | `memorydb:DescribeClusters` | Cluster |
| [DescribeEngineVersions](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeEngineVersions.html) | `memorydb:DescribeEngineVersions` | Nenhum ARN de recurso: \$1 |
| [DescribeParameterGroups](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeParameterGroups.html) | `memorydb:DescribeParameterGroups` | Grupo de parâmetros |
| [DescribeParameters](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeParameters.html) | `memorydb:DescribeParameters` | Grupo de parâmetros |
| [DescribeSubnetGroups](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeSubnetGroups.html) | `memorydb:DescribeSubnetGroups` | Grupo de sub-redes | \$1 |
| [DescribeEvents](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeEvents.html) | `memorydb:DescribeEvents` | Nenhum ARN de recurso: \$1 |
| [DescribeClusters](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeClusters.html) | `memorydb:DescribeClusters` | Cluster |
| [DescribeServiceUpdates](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeServiceUpdates.html) | `memorydb:DescribeServiceUpdates` | Nenhum ARN de recurso: \$1 |
| [DescribeSnapshots](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeSnapshots.html) | `memorydb:DescribeSnapshots` | Instantâneo |
| [DescribeUsers](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeUsers.html) | `memorydb:DescribeUsers` | Usuário |
| [DescreverACLs](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeACLs.html) | `memorydb:DescribeACLs` | ACLs |
| [ListAllowedNodeTypeUpdates](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_ListAllowedNodeTypeUpdates.html) | `memorydb:ListAllowedNodeTypeUpdates` | Cluster |
| [ListTags](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_ListTags.html) | `memorydb:ListTags` | (Opcional) cluster, snapshot |
| [UpdateParameterGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateParameterGroup.html) | `memorydb:UpdateParameterGroup` | Grupo de parâmetros |
| [UpdateSubnetGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateSubnetGroup.html) | `memorydb:UpdateSubnetGroup` | Grupo de sub-redes |
| [UpdateCluster](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateCluster.html) | `memorydb:UpdateCluster` | cluster. (Opcional) Grupo de parâmetros, grupo de segurança |
| [UpdateUser](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateUser.html) | `memorydb:UpdateUser` | Usuário |
| [UpdateACL](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateACL.html) | `memorydb:UpdateACL` | ACL |
| [UntagResource](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UntagResource.html) | `memorydb:UntagResource` | (Opcional) Cluster, snapshot |
| [ResetParameterGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_ResetParameterGroup.html) | `memorydb:ResetParameterGroup` | Grupo de parâmetros |
| [FailoverShard](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_FailoverShard.html) | `memorydb:FailoverShard` | cluster, fragmento |