本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 管理 MemoryDB 资源的访问权限的概述
每个 AWS 资源都归一个 AWS 账户所有,创建或访问资源的权限受权限策略的约束。账户管理员可以向 IAM 身份(即:用户、组和角色)附加权限策略。此外,MemoryDB 还支持向资源附加权限策略。
**注意**
*账户管理员*(或管理员用户)是具有管理员权限的用户。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 最佳实操](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
要提供访问权限,请为您的用户、组或角色添加权限:
+ 中的用户和群组 AWS IAM Identity Center:
创建权限集合。按照《AWS IAM Identity Center 用户指南》**中[创建权限集](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)的说明进行操作。
+ 通过身份提供者在 IAM 中托管的用户:
创建适用于身份联合验证的角色。按照《IAM 用户指南》**中[针对第三方身份提供者创建角色(联合身份验证)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)的说明进行操作。
+ IAM 用户:
+ 创建您的用户可以担任的角色。按照《IAM 用户指南》**中[为 IAM 用户创建角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)的说明进行操作。
+ (不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》**中[向用户添加权限(控制台)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)中的说明进行操作。
**Topics**
+ [MemoryDB 资源和操作](#iam.overview.resourcesandoperations)
+ [了解资源所有权](#access-control-resource-ownership)
+ [管理对 资源的访问](#iam.overview.managingaccess)
+ [为 MemoryDB 使用基于身份的策略(IAM 策略)](iam.identitybasedpolicies.md)
+ [资源级权限](iam.resourcelevelpermissions.md)
+ [使用 MemoryDB 的服务相关角色](using-service-linked-roles.md)
+ [AWS MemoryDB 的托管策略](security-iam-awsmanpol.md)
+ [MemoryDB API 权限:操作、资源和条件参考](iam.APIReference.md)
## MemoryDB 资源和操作
在 MemoryDB 中,主要资源是*集群*。
这些资源具有与之关联的唯一 Amazon 资源名称 (ARNs),如下所示。
**注意**
为了使资源级权限生效,ARN 字符串上的资源名称应该为小写。
****
| 资源类型 | ARN 格式 |
| --- | --- |
| 用户 | arn: aws: memorydb:: user/user1 *us-east-1:123456789012* |
| 访问控制列表(ACL) | arn: aws: memorydb:: acl/myacl *us-east-1:123456789012* |
| Cluster | arn: aws: memorydb:: cluster/my-cluster *us-east-1:123456789012* |
| 快照 | arn: aws: memorydb:: snapshot/my-snashot *us-east-1:123456789012* |
| 参数组 | arn: aws: memorydb:: parametergroup/ *us-east-1:123456789012* my-parameter-group |
| 子网组 | arn: aws: memorydb:: subnetgroup/ *us-east-1:123456789012* my-subnet-group |
MemoryDB 提供一组操作用来处理 MemoryDB 资源。有关可用操作的列表,请参阅 MemoryDB [操作](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_Operations.html)。
## 了解资源所有权
*资源所有者*是创建资源的 AWS 账户。也就是说,资源所有者是对创建资源的请求进行身份验证的委托人实体的 AWS 账户。*委托人实体*可以是根账户、IAM 用户或 IAM 角色。以下示例说明了它的工作原理:
+ 假设您使用账户的根 AWS 账户凭证创建集群。在这种情况下,您的 AWS 账户就是资源的所有者。在 MemoryDB 中,该资源为集群。
+ 假设您在 AWS 账户中创建了一个 IAM 用户,并向该用户授予创建集群的权限。在这种情况下,用户可以创建集群。但是,该用户所属的您的 AWS 账户拥有群集资源。
+ 假设您在 AWS 账户中创建了一个拥有创建集群权限的 IAM 角色。在这种情况下,任何可以代入该角色的人都可以创建集群。该角色所属的您的 AWS 账户拥有群集资源。
## 管理对 资源的访问
*权限策略*规定谁可以访问哪些内容。下一节介绍创建权限策略时的可用选项。
**注意**
本节讨论如何在 MemoryDB 范围内使用 IAM。这里不提供有关 IAM 服务的详细信息。有关完整的 IAM 文档,请参阅《IAM 用户指南》中的[什么是 IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。有关 IAM 策略语法和说明的信息,请参阅《IAM 用户指南》中的 [AWS IAM 策略参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
附加到 IAM 身份的策略称为*基于身份*的策略(IAM 策略)。附加到资源的策略称为*基于资源的策略*。
**Topics**
+ [基于身份的策略(IAM 策略)](#iam.overview.managingaccess.identitybasedpolicies)
+ [指定策略元素:操作、效果、资源和主体](#iam.overview.policyelements)
+ [在策略中指定条件](#iam.specifyconditions)
### 基于身份的策略(IAM 策略)
您可以向 IAM 身份附加策略。例如,您可以执行以下操作:
+ **向您账户中的用户或组附加权限策略** – 账户管理员可以使用与特定用户关联的权限策略来授予权限。在这种情况下,权限可供该用户创建 MemoryDB 资源,例如集群、参数组或安全组。
+ **向角色附加权限策略(授予跨账户权限)**:您可以向 IAM 角色附加基于身份的权限策略,以授予跨账户的权限。例如,账户 A 中的管理员可以创建一个角色来向另一个 AWS 账户(例如账户 B)或 AWS 服务授予跨账户权限,如下所示:
1. 账户 A 管理员可以创建一个 IAM 角色,然后向该角色附加授予其访问账户 A 中资源的权限策略。
1. 账户 A 管理员可以把信任策略附加至用来标识账户 B 的角色,账户 B 由此可以作为主体代入该角色。
1. 然后,账户 B 管理员可以向账户 B 中的任何用户委派担任该角色的权限。这样,账户 B 中的用户就可以创建或访问账户 A 中的资源。在某些情况下,您可能需要向 AWS 服务授予代入该角色的权限。为支持此方法,信任策略中的委托人也可以是 AWS 服务委托人。
有关使用 IAM 委托权限的更多信息,请参阅《IAM 用户指南》**中的[访问权限管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)。
以下是允许用户对您的 AWS 账户执行`DescribeClusters`操作的策略示例。MemoryDB 还支持使用用 ARNs 于 API 操作的资源来识别特定资源。(此方法也称为资源级权限。)
有关对 MemoryDB 使用基于身份的策略的更多信息,请参阅 [为 MemoryDB 使用基于身份的策略(IAM 策略)](iam.identitybasedpolicies.md)。有关用户、组、角色和权限的更多信息,请参阅 *IAM 用户指南*中的[身份(用户、组和角色)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)。
### 指定策略元素:操作、效果、资源和主体
对于每个 MemoryDB 资源(请参阅 [MemoryDB 资源和操作](#iam.overview.resourcesandoperations)),该服务都定义了一组 API 操作(请参阅[操作](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_Operations.html))。为授予这些 API 操作的权限,MemoryDB 定义了一组您可以在策略中指定的操作。例如,对于 MemoryDB 集群资源,定义了以下操作:`CreateCluster`、`DeleteCluster` 和 `DescribeClusters`。执行一个 API 操作可能需要多个操作的权限。
以下是最基本的策略元素:
+ **资源**:在策略中,您可以使用 Amazon Resource Name(ARN)标识策略应用到的资源。有关更多信息,请参阅 [MemoryDB 资源和操作](#iam.overview.resourcesandoperations)。
+ **操作** – 您可以使用操作关键字标识要允许或拒绝的资源操作。例如,根据指定的 `Effect`,`memorydb:CreateCluster` 权限允许或拒绝执行 MemoryDB `CreateCluster` 操作的用户权限。
+ **效果**:您可以指定当用户请求特定操作(可以是允许或拒绝)时的效果。如果没有显式授予(允许)对资源的访问权限,则隐式拒绝访问。您也可显式拒绝对资源的访问。例如,您可以执行此操作,以确保用户无法访问资源,即使有其他策略授予了访问权限也是如此。
+ **主体**:在基于身份的策略(IAM 策略)中,附加了策略的用户是隐式主体。对于基于资源的策略,您可以指定要接收权限的用户、账户、服务或其他实体(仅适用于基于资源的策略)。
有关 IAM 策略语法和描述的更多信息,请参阅《IAM 用户指南》**中的 [AWS IAM 策略参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。
有关显示所有 MemoryDB API 操作的表,请参阅 [MemoryDB API 权限:操作、资源和条件参考](iam.APIReference.md)。
### 在策略中指定条件
当您授予权限时,可使用 IAM 策略语言来指定规定策略何时生效的条件。例如,您可能希望策略仅在特定日期后应用。有关使用策略语言指定条件的更多信息,请参阅《IAM 用户指南》**中的[条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition)。
# 为 MemoryDB 使用基于身份的策略(IAM 策略)
本主题提供了基于身份的策略的示例,在这些策略中,账户管理员可以向 IAM 身份(即:用户、组和角色)附加权限策略。
**重要**
我们建议您先阅读说明了以下方面的基本概念和选项的主题:管理对 MemoryDB 资源的访问。有关更多信息,请参阅 [管理 MemoryDB 资源的访问权限的概述](iam.overview.md)。
本主题的各个部分涵盖以下内容:
+ [使用 MemoryDB 控制台所需的权限](#iam.identitybasedpolicies.minconpolicies)
+ [适用于 MemoryDB 的AWS托管(预定义)策略](security-iam-awsmanpol.md#iam.identitybasedpolicies.predefinedpolicies)
+ [客户管理型策略示例](#iam.identitybasedpolicies.customermanagedpolicies)
下面介绍权限策略示例。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowClusterPermissions",
"Effect": "Allow",
"Action": [
"memorydb:CreateCluster",
"memorydb:DescribeClusters",
"memorydb:UpdateCluster"],
"Resource": "*"
},
{
"Sid": "AllowUserToPassRole",
"Effect": "Allow",
"Action": [ "iam:PassRole" ],
"Resource": "arn:aws:iam::123456789012:role/EC2-roles-for-cluster"
}
]
}
```
------
该策略包含两条语句:
+ 第一条语句授予对账户所拥有的任何集群的 MemoryDB 操作(`memorydb:CreateCluster`、`memorydb:DescribeClusters` 和 `memorydb:UpdateCluster`)权限。
+ 第二条语句授予对 `Resource` 值末尾指定的 IAM 角色名称的 IAM 操作(`iam:PassRole`)的权限。
该策略不指定 `Principal` 元素,因为在基于身份的策略中,您未指定获取权限的委托人。附加了策略的用户是隐式委托人。向 IAM 角色附加权限策略后,该角色的信任策略中标识的主体将获取权限。
有关显示所有 MemoryDB API 操作及其适用的资源的表,请参阅 [MemoryDB API 权限:操作、资源和条件参考](iam.APIReference.md)。
## 使用 MemoryDB 控制台所需的权限
权限参考表列出 MemoryDB API 操作并显示每个操作所需的权限。有关 MemoryDB API 操作的更多信息,请参阅 [MemoryDB API 权限:操作、资源和条件参考](iam.APIReference.md)。
要使用 MemoryDB 控制台,请首先授予执行其他操作的权限,如以下权限策略中所示。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "MinPermsForMemDBConsole",
"Effect": "Allow",
"Action": [
"memorydb:Describe*",
"memorydb:List*",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeVpcs",
"ec2:DescribeAccountAttributes",
"ec2:DescribeSecurityGroups",
"cloudwatch:GetMetricStatistics",
"cloudwatch:DescribeAlarms",
"s3:ListAllMyBuckets",
"sns:ListTopics",
"sns:ListSubscriptions" ],
"Resource": "*"
}
]
}
```
------
MemoryDB 控制台出于以下原因需要上述其他权限:
+ MemoryDB 操作权限使控制台可以显示账户中的 MemoryDB 资源。
+ 控制台需要`ec2`操作权限才能查询 Amazon EC2,这样它才能显示可用区 VPCs、安全组和账户属性。
+ `cloudwatch`操作权限使控制台能够检索 Amazon CloudWatch 指标和警报,并将其显示在控制台中。
+ `sns` 操作权限使控制台可以检索 Amazon Simple Notification Service(Amazon SNS)主题和订阅,并将其显示在控制台中。
## 客户管理型策略示例
如果您未使用默认策略并选择使用自定义托管策略,请确保以下两项之一。您应该有权调用 `iam:createServiceLinkedRole`(有关更多信息,请参阅[示例 4:允许用户调用 IAM CreateServiceLinkedRole API](#create-service-linked-role-policy))。或者您应该已经创建了 MemoryDB 服务相关角色。
本节中的示例策略与使用 MemoryDB 控制台所需的最低权限相结合时,将授予其他权限。这些示例也与 AWS SDKs 和有关 AWS CLI。有关使用 MemoryDB 控制台所需的权限的更多信息,请参阅 [使用 MemoryDB 控制台所需的权限](#iam.identitybasedpolicies.minconpolicies)。
有关设置 IAM 用户和组的说明,请参阅 *IAM 用户指南*中的[创建您的第一个 IAM 用户和管理员组](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html)。
**重要**
在生产中使用 IAM 策略之前,请始终全面测试这些策略。当您使用 MemoryDB 控制台时,一些看起来简单的 MemoryDB 操作可能需要其他操作来支持它们。例如,`memorydb:CreateCluster` 授予创建 MemoryDB 集群的权限。但是,为执行此操作,MemoryDB 控制台使用一些 `Describe` 和 `List` 操作来填充控制台列表。
**Topics**
+ [示例 1:允许用户对 MemoryDB 资源进行只读访问](#example-allow-list-current-memorydb-resources)
+ [示例 2:允许用户执行常见的 MemoryDB 系统管理员任务](#example-allow-specific-memorydb-actions)
+ [示例 3:允许用户访问所有 MemoryDB API 操作](#allow-unrestricted-access)
+ [示例 4:允许用户调用 IAM CreateServiceLinkedRole API](#create-service-linked-role-policy)
### 示例 1:允许用户对 MemoryDB 资源进行只读访问
以下策略授予允许用户列出资源 MemoryDB 操作权限。通常,您将此类型的权限策略挂载到管理人员组。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[{
"Sid": "MemDBUnrestricted",
"Effect":"Allow",
"Action": [
"memorydb:Describe*",
"memorydb:List*"],
"Resource":"*"
}
]
}
```
------
### 示例 2:允许用户执行常见的 MemoryDB 系统管理员任务
常见的系统管理员任务包括:修改集群、参数和参数组。系统管理员还可能需要获得有关 MemoryDB 事件的信息。以下策略授予执行这些常见系统管理员任务的 MemoryDB 操作的用户权限。通常,您将此类型的权限策略挂载到系统管理员组。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "MDBAllowSpecific",
"Effect": "Allow",
"Action": [
"memorydb:UpdateCluster",
"memorydb:DescribeClusters",
"memorydb:DescribeEvents",
"memorydb:UpdateParameterGroup",
"memorydb:DescribeParameterGroups",
"memorydb:DescribeParameters",
"memorydb:ResetParameterGroup"
],
"Resource": "*"
}
]
}
```
------
### 示例 3:允许用户访问所有 MemoryDB API 操作
以下策略允许用户访问所有 MemoryDB 操作。建议您仅向管理员用户授予此类型的权限策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[{
"Sid": "MDBAllowAll",
"Effect":"Allow",
"Action":[
"memorydb:*" ],
"Resource":"*"
}
]
}
```
------
### 示例 4:允许用户调用 IAM CreateServiceLinkedRole API
以下策略允许用户调用 IAM `CreateServiceLinkedRole` API。我们建议您对调用变化 MemoryDB 操作的用户应用此类型的权限策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"CreateSLRAllows",
"Effect":"Allow",
"Action":[
"iam:CreateServiceLinkedRole"
],
"Resource":"*",
"Condition":{
"StringLike":{
"iam:AWS ServiceName":"memorydb.amazonaws.com"
}
}
}
]
}
```
------
# 资源级权限
您可以通过在 IAM 策略中指定资源来限制权限范围。许多 AWS CLI API 操作支持的资源类型因操作的行为而异。每条 IAM 策略语句为对一个资源执行的一个操作授予权限。如果操作不对指定资源执行操作,或者您授予对所有资源执行操作的权限,则策略中资源的值为通配符(\$1)。对于许多 API 操作,可以通过指定资源的 Amazon 资源名称(ARN)或与多个资源匹配的 ARN 模式来限制用户可修改的资源。要按资源限制权限,请指定资源的 ARN。
**MemoryDB 资源 ARN 格式**
**注意**
为了使资源级权限生效,ARN 字符串中的资源名称应为小写。
+ 用户 — arn: aws: memorydb:: user/user1 *us-east-1:123456789012*
+ ACL — arn: aws: memorydb:: acl/my-acl *us-east-1:123456789012*
+ 集群 — arn: aws: memorydb:: cluster/my-cluster *us-east-1:123456789012*
+ 快照 — arn: aws: memorydb:: snapshot/my-snapshot *us-east-1:123456789012*
+ 参数组 — arn: aws: memorydb:: parametergroup/ *us-east-1:123456789012* my-parameter-group
+ 子网组 — arn: aws: memorydb:: subnetgroup/ *us-east-1:123456789012* my-subnet-group
**Topics**
+ [示例 1:允许用户完全访问特定 MemoryDB 资源类型](#example-allow-list-current-memorydb-resources-resource)
+ [示例 2:拒绝用户访问集群。](#example-allow-specific-memorydb-actions-resource)
## 示例 1:允许用户完全访问特定 MemoryDB 资源类型
以下策略明确允许指定的 `account-id` 完全访问子网组、安全组和集群类型的所有资源。
```
{
"Sid": "Example1",
"Effect": "Allow",
"Action": "memorydb:*",
"Resource": [
"arn:aws:memorydb:us-east-1:account-id:subnetgroup/*",
"arn:aws:memorydb:us-east-1:account-id:securitygroup/*",
"arn:aws:memorydb:us-east-1:account-id:cluster/*"
]
}
```
## 示例 2:拒绝用户访问集群。
以下示例明确拒绝对特定集群进行指定 `account-id` 访问。
```
{
"Sid": "Example2",
"Effect": "Deny",
"Action": "memorydb:*",
"Resource": [
"arn:aws:memorydb:us-east-1:account-id:cluster/name"
]
}
```
# 使用 MemoryDB 的服务相关角色
MemoryDB 使用 AWS Identity and Access Management (IAM) [服务相关](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)角色。服务相关角色是一种独特的 IAM 角色,直接链接到 AWS 服务,例如 MemoryDB。MemoryDB 服务相关角色由 MemoryDB 预定义。它们包含该服务代表您的集群调用 AWS 服务所需的一切权限。
使用服务相关角色时,您不必手动添加必要的权限,所以您可以更轻松地设置 MemoryDB。这些角色已存在于您的 AWS 账户中,但已关联到 MemoryDB 用例并具有预定义的权限。只有 MemoryDB 可以代入这些角色,并且只有这些角色可以使用预定义的权限策略。只有先删除角色的相关资源,才能删除角色。这将保护您的 MemoryDB 资源,因为您不会无意中删除访问资源的必要权限。
有关支持服务相关角色的其他服务的信息,请参阅[使用 IAM 的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并查找**服务相关角色**列中显示为**是**的服务。选择**是**和链接,查看该服务的服务关联角色文档。
**Contents**
+ [服务相关角色权限](#service-linked-role-permissions)
+ [创建服务相关角色(IAM)](#create-service-linked-role-iam)
+ [使用 IAM 控制台](#create-service-linked-role-iam-console)
+ [使用 IAM CLI](#create-service-linked-role-iam-cli)
+ [使用 IAM API](#create-service-linked-role-iam-api)
+ [编辑服务相关角色描述](#edit-service-linked-role)
+ [使用 IAM 控制台](#edit-service-linked-role-iam-console)
+ [使用 IAM CLI](#edit-service-linked-role-iam-cli)
+ [使用 IAM API](#edit-service-linked-role-iam-api)
+ [删除 MemoryDB 的服务相关角色](#delete-service-linked-role)
+ [清除服务相关角色](#service-linked-role-review-before-delete)
+ [删除服务相关角色(IAM 控制台)](#delete-service-linked-role-iam-console)
+ [删除服务相关角色(IAM CLI)](#delete-service-linked-role-iam-cli)
+ [删除服务相关角色(IAM API)](#delete-service-linked-role-iam-api)
## MemoryDB 的服务相关角色权限
MemoryDB 使用名为 **AWSServiceRoleForMemoryDB** 的服务相关角色 — 此策略允许 MemoryDB 在必要时代表您管理管理集群的 AWS 资源。
AWSServiceRoleForMemory数据库服务相关角色权限策略允许 MemoryDB 对指定资源完成以下操作:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws-cn:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"AmazonMemoryDBManaged"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws-cn:ec2:*:*:network-interface/*",
"arn:aws-cn:ec2:*:*:subnet/*",
"arn:aws-cn:ec2:*:*:security-group/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "arn:aws-cn:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/AmazonMemoryDBManaged": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "arn:aws-cn:ec2:*:*:security-group/*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/MemoryDB"
}
}
}
]
}
```
------
有关更多信息,请参阅 [AWS 托管策略:内存 DBService RolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-memorydbServiceRolePolicy)。
**允许 IAM 实体创建 AWSServiceRoleForMemory数据库服务相关角色**
向该 IAM 实体的权限中添加以下策略声明:
```
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB*",
"Condition": {"StringLike": {"iam:AWS ServiceName": "memorydb.amazonaws.com"}}
}
```
**允许 IAM 实体删除 AWSServiceRoleForMemory数据库服务相关角色**
向该 IAM 实体的权限中添加以下策略声明:
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB*",
"Condition": {"StringLike": {"iam:AWS ServiceName": "memorydb.amazonaws.com"}}
}
```
或者,您可以使用 AWS 托管策略来提供对 MemoryDB 的完全访问权限。
## 创建服务相关角色(IAM)
您可以使用 IAM 控制台、CLI 或 API 创建服务相关角色。
### 创建服务相关角色(IAM 控制台)
您可使用 IAM 控制台创建服务相关角色。
**创建服务相关角色(控制台)**
1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在 IAM 控制台的左侧导航窗格中,选择 **Roles**。然后选择**创建新角色**。
1. 在 **Select type of trusted entity(选择受信任实体的类型)**下,选择 **AWS Service(亚马逊云科技服务)**。
1. 在**或选择一个服务以查看其用例**中,选择 **MemoryDB**。
1. 选择**下一步: 权限**。
1. 在 **策略名称**下,请注意此角色需要 `MemoryDBServiceRolePolicy`。选择 **Next:Tags(下一步: 标签)**。
1. 请注意,服务相关角色不支持标签。选择**下一步: 审核**。
1. (可选)对于 **Role description**,编辑新服务相关角色的描述。
1. 检查角色,然后选择**创建角色**。
### 创建服务相关角色(IAM CLI)
您可以使用中的 IAM 操作 AWS Command Line Interface 来创建服务相关角色。此角色可以包括服务代入角色时所需的信任策略和内联策略。
**创建服务相关角色(CLI)**
使用以下操作:
```
$ aws iam [create-service-linked-role](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) --aws-service-name memorydb.amazonaws.com
```
### 创建服务相关角色(IAM API)
您可以使用 IAM API 创建服务相关角色。此角色可以包括服务代入角色时所需的信任策略和内联策略。
**创建服务相关角色(API)**
使用 [CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) API 调用。在请求中,指定 `memorydb.amazonaws.com` 的服务名称。
## 编辑 MemoryDB 的服务相关角色的描述
MemoryDB 不允许您编辑 AWSServiceRoleForMemory数据库服务相关角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。
### 编辑服务相关角色描述(IAM 控制台)
您可以使用 IAM 控制台编辑服务相关角色的描述。
**编辑服务相关角色的描述(控制台)**
1. 在 IAM 控制台的左侧导航窗格中,选择 **Roles**。
1. 以下代码示例显示如何将 IAM 策略附加到用户。
1. 在 **Role description** 的最右侧,选择 **Edit**。
1. 在框中输入新描述,然后选择 **Save(保存)**。
### 编辑服务相关角色描述(IAM CLI)
您可以使用中的 IAM 操作 AWS Command Line Interface 来编辑与服务相关的角色描述。
**更改服务相关角色的描述(CLI)**
1. (可选)要查看角色的当前描述,请使用 for AWS CLI IAM 操作`[get-role](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)`。
**Example**
```
$ aws iam [get-role](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html) --role-name AWSServiceRoleForMemoryDB
```
通过 CLI 操作使用角色名称(并非 ARN)指向角色。例如,如果一个角色的 ARN 为 `arn:aws:iam::123456789012:role/myrole`,则应将角色称为 **myrole**。
1. 要更新服务相关角色的描述,请使用 for I AWS CLI AM 操作`[update-role-description](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)`。
对于 Linux、macOS 或 Unix:
```
$ aws iam [update-role-description](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html) \
--role-name AWSServiceRoleForMemoryDB \
--description "new description"
```
对于 Windows:
```
$ aws iam [update-role-description](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html) ^
--role-name AWSServiceRoleForMemoryDB ^
--description "new description"
```
### 编辑服务相关角色描述(IAM API)
您可以使用 IAM API 编辑服务相关角色描述。
**更改服务相关角色的描述(API)**
1. (可选)要查看角色的当前描述,请使用 IAM API 操作 [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)。
**Example**
```
https://iam.amazonaws.com/
?Action=[GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)
&RoleName=AWSServiceRoleForMemoryDB
&Version=2010-05-08
&AUTHPARAMS
```
1. 要更新角色的描述,请使用 IAM API 操作 [UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)。
**Example**
```
https://iam.amazonaws.com/
?Action=[UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)
&RoleName=AWSServiceRoleForMemoryDB
&Version=2010-05-08
&Description="New description"
```
## 删除 MemoryDB 的服务相关角色
如果不再需要使用某个需要服务关联角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,您必须先清除您的服务相关角色,然后才能将其删除。
MemoryDB 不会删除您的服务相关角色。
### 清除服务相关角色
您必须先确认该角色没有与之关联的资源(集群),然后才能使用 IAM 删除服务相关角色。
**在 IAM 控制台中检查服务相关角色是否具有活动会话**
1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在 IAM 控制台的左侧导航窗格中,选择 **Roles**。然后选择 AWSServiceRoleForMemory数据库角色的名称(不是复选框)。
1. 在所选角色的 **Summary** 页面上,选择 **Access Advisor** 选项卡。
1. 在**访问顾问**选项卡查看服务相关角色的近期活动。
**删除需要数据库的 MemoryDB 资源( AWSServiceRoleForMemory控制台)**
+ 要删除集群,请参阅以下内容:
+ [使用 AWS 管理控制台](getting-started.md#clusters.deleteclusters.viewdetails)
+ [使用 AWS CLI](getting-started.md#clusters.delete.cli)
+ [使用 MemoryDB API](getting-started.md#clusters.delete.api)
### 删除服务相关角色(IAM 控制台)
您可以使用 IAM 控制台删除服务相关角色。
**删除服务相关角色 (控制台)**
1. 登录 AWS 管理控制台 并打开 IAM 控制台,网址为[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在 IAM 控制台的左侧导航窗格中,选择 **Roles**。然后,选中要删除的角色名称旁边的复选框,而不是名称或行本身。
1. 对于页面顶部的**角色操作**,请选择**删除角色**。
1. 在确认页面中,查看上次访问服务的数据,该数据显示了每个选定角色上次访问 AWS 服务的时间。这样可帮助您确认角色当前是否处于活动状态。如果要继续,请选择 **Yes, Delete ** 以提交服务相关角色进行删除。
1. 监视 IAM 控制台通知,以监控服务相关角色的删除进度。由于 IAM 服务相关角色删除是异步的,因此,在您提交角色进行删除后,删除任务可能成功,也可能失败。如果任务失败,您可以从通知中选择 **View details** 或 **View Resources** 以了解删除失败的原因。
### 删除服务相关角色(IAM CLI)
您可以使用中的 IAM 操作 AWS Command Line Interface 来删除服务相关角色。
**删除服务相关角色(CLI)**
1. 如果您不知道要删除的服务相关角色的名称,请输入以下命令。此命令列出了您账户中的角色及其 Amazon 资源名称 (ARNs)。
```
$ aws iam [get-role](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html) --role-name role-name
```
通过 CLI 操作使用角色名称(并非 ARN)指向角色。例如,如果某个角色具有 ARN `arn:aws:iam::123456789012:role/myrole`,则将该角色称为 **myrole**。
1. 如果服务相关角色正被使用或具有关联的资源,则无法删除它,因此您必须提交删除请求。如果不满足这些条件,该请求可能会被拒绝。您必须从响应中捕获 `deletion-task-id` 以检查删除任务的状态。输入以下命令以提交服务相关角色的删除请求。
```
$ aws iam [delete-service-linked-role](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html) --role-name role-name
```
1. 输入以下命令以检查删除任务的状态。
```
$ aws iam [get-service-linked-role-deletion-status](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html) --deletion-task-id deletion-task-id
```
删除任务的状态可能是 `NOT_STARTED`、`IN_PROGRESS`、`SUCCEEDED` 或 `FAILED`。如果删除失败,则调用会返回失败的原因,以便您进行问题排查。
### 删除服务相关角色(IAM API)
您可以使用 IAM API 删除服务相关角色。
**删除服务相关角色(API)**
1. 要提交服务相关角色的删除请求,请调用 [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html)。在请求中,指定角色名称。
如果服务相关角色正被使用或具有关联的资源,则无法删除它,因此您必须提交删除请求。如果不满足这些条件,该请求可能会被拒绝。您必须从响应中捕获 `DeletionTaskId` 以检查删除任务的状态。
1. 要检查删除的状态,请调用 [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html)。在请求中,指定 `DeletionTaskId`。
删除任务的状态可能是 `NOT_STARTED`、`IN_PROGRESS`、`SUCCEEDED` 或 `FAILED`。如果删除失败,则调用会返回失败的原因,以便您进行问题排查。
# AWS MemoryDB 的托管策略
要向用户、群组和角色添加权限,使用 AWS 托管策略比自己编写策略要容易得多。创建仅为团队提供所需权限的 [IAM 客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要时间和专业知识。要快速入门,您可以使用我们的 AWS 托管策略。这些政策涵盖常见用例,可在您的 AWS 账户中使用。有关 AWS 托管策略的更多信息,请参阅 *IAM 用户指南*中的[AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服务维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管式策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新特征或新操作可用时,服务最有可能会更新 AWS 托管式策略。服务不会从 AWS 托管策略中移除权限,因此策略更新不会破坏您的现有权限。
此外,还 AWS 支持跨多个服务的工作职能的托管策略。例如,**ReadOnlyAccess** AWS 托管策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动一项新功能时, AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 *IAM 用户指南*中的[适用于工作职能的AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
## AWS 托管策略:内存 DBService RolePolicy
您无法将内存DBServiceRolePolicy AWS 托管策略附加到账户中的身份。此策略是 M AWS emoryDB 服务相关角色的一部分。此角色允许服务管理您账户中的网络接口和安全组。
MemoryDB 使用此策略中的权限来管理 EC2 安全组和网络接口。这是管理 MemoryDB 集群所必需的。
**权限详细信息**
该策略包含以下权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws-cn:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"AmazonMemoryDBManaged"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws-cn:ec2:*:*:network-interface/*",
"arn:aws-cn:ec2:*:*:subnet/*",
"arn:aws-cn:ec2:*:*:security-group/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "arn:aws-cn:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/AmazonMemoryDBManaged": "true"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DeleteNetworkInterface",
"ec2:ModifyNetworkInterfaceAttribute"
],
"Resource": "arn:aws-cn:ec2:*:*:security-group/*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/MemoryDB"
}
}
}
]
}
```
------
## 适用于 MemoryDB 的AWS托管(预定义)策略
AWS 通过提供由创建和管理的独立 IAM 策略来解决许多常见用例 AWS。托管策略可针对常见使用案例授予必要权限,因此,您无需自行调查具体需要哪些权限。有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
以下 AWS 托管策略是特定于 MemoryDB 的,您可以将其附加到账户中的用户:
### AmazonMemoryDBReadOnlyAccess
您可以将 `AmazonMemoryDBReadOnlyAccess` 策略附加到 IAM 身份。此策略授予允许只读访问所有 MemoryDB 资源的管理权限。
**AmazonMemoryDBReadOnlyAccess**-授予对 MemoryDB 资源的只读访问权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"memorydb:Describe*",
"memorydb:List*"
],
"Resource": "*"
}]
}
```
------
### AmazonMemoryDBFull访问权限
您可以将 `AmazonMemoryDBFullAccess` 策略附加到 IAM 身份。此策略授予允许完全访问 MemoryDB 资源的管理权限。
**AmazonMemoryDBFull访问权限**-授予对 MemoryDB 资源的完全访问权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "memorydb:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "memorydb.amazonaws.com"
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "memorydb:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws-cn:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "memorydb.amazonaws.com"
}
}
}
]
}
```
------
您还可以创建自定义 IAM 策略,以授予执行 MemoryDB API 操作的相关权限。您可以将这些自定义策略附加到需要这些权限的 IAM 用户或组。
## MemoryDB 对托管策略的 AWS 更新
查看自该服务开始跟踪这些更改以来,MemoryDB AWS 托管策略更新的详细信息。有关此页面更改的自动提示,请订阅 MemoryDB 文档历史记录页面上的 RSS 源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWS 托管策略:内存 DBService RolePolicy](#security-iam-awsmanpol-memorydbServiceRolePolicy) – 添加策略 | Memory DBService RolePolicy 添加了 memorydb: 的权限。ReplicateMultiRegionClusterData此权限将允许服务关联角色为 MemoryDB 多区域集群复制数据。 | 2024 年 1 月 12 日 |
| [AmazonMemoryDBFull访问权限](#iam.identitybasedpolicies.predefinedpolicies-fullaccess) – 添加策略 | MemoryDB 添加了描述和列出受支持资源的新权限。MemoryDB 需要这些权限,才能查询账户中的所有支持资源。 | 10/07/2021 |
| [AmazonMemoryDBReadOnlyAccess](#iam.identitybasedpolicies.predefinedpolicies-readonly) – 添加策略 | MemoryDB 添加了描述和列出受支持资源的新权限。MemoryDB 需要这些权限,才能通过查询账户中的所有受支持资源来创建基于账户的应用程序。 | 10/07/2021 |
| MemoryDB 开始跟踪更改 | 服务启动 | 8/19/2021 |
# MemoryDB API 权限:操作、资源和条件参考
在设置[访问控制](iam.md#iam.accesscontrol)以及编写可附加到 IAM 策略的权限策略(基于身份或基于资源)时,可将下表作为参考。此表列出每个 MemoryDB API 操作及您可授予执行该操作的权限的对应操作。您可以在策略的 `Action` 字段中指定这些操作,并在策略的 `Resource` 字段中指定资源值。除非另有说明,否则需要该资源。某些字段同时包含必需资源和可选资源。如果没有资源 ARN,则策略中的资源为通配符(\$1)。
**注意**
要指定操作,请在 API 操作名称之前使用 `memorydb:` 前缀(例如,`memorydb:DescribeClusters`)。
使用滚动条查看表的其余部分。
**MemoryDB API 和操作所需的权限**
| MemoryDB API 操作 | 所需权限(API 操作) | 资源 |
| --- | --- | --- |
| [BatchUpdateCluster](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_BatchUpdateCluster.html) | `memorydb:BatchUpdateCluster` | Cluster |
| [CopySnapshot](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CopySnapshot.html) | `memorydb:CopySnapshot` `memorydb:TagResource` `s3:GetBucketLocation` `s3:ListAllMyBuckets` | 快照(源、目标) \$1 \$1 |
| [CreateCluster](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateCluster.html) | `memorydb:CreateCluster` `memorydb:TagResource` `s3:GetObject` 如果您使用 `SnapshotArns` 参数,则 `SnapshotArns` 列表的每个成员需要其自己的 `s3:GetObject` 权限(`s3` ARN 作为其资源)。 | 参数组。(可选)集群、快照、安全组 ID 和子网组 `arn:aws:s3:::my_bucket/snapshot1.rdb` 其中*snapshot1*,*my\$1bucket*/是您要从中创建集群的 S3 存储桶和快照。 |
| [CreateParameterGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateParameterGroup.html) | `memorydb:CreateParameterGroup` `memorydb:TagResource` | 参数组 |
| [CreateSubnetGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateSubnetGroup.html) | `memorydb:CreateSubnetGroup` `memorydb:TagResource` | 子网组 | \$1 |
| [CreateSnapshot](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateSnapshot.html) | `memorydb:CreateSnapshot` `memorydb:TagResource` | 快照,集群 |
| [CreateUser](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateUser.html) | `memorydb:CreateUser` `memorydb:TagResource` | 用户 |
| [CreateACL](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateACL.html) | `memorydb:CreateACL` `memorydb:TagResource` | 访问控制列表(ACL) |
| [UpdateCluster](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateCluster.html) | `memorydb:UpdateCluster` | Cluster |
| [DeleteCluster](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteCluster.html) | `memorydb:DeleteCluster` | 集群。(可选)快照 |
| [DeleteParameterGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteParameterGroup.html) | `memorydb:DeleteParameterGroup` | 参数组 |
| [DeleteSubnetGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteSubnetGroup.html) | `memorydb:DeleteSubnetGroup` | 子网组 |
| [DeleteSnapshot](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteSnapshot.html) | `memorydb:DeleteSnapshot` | 快照 |
| [DeleteUser](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteUser.html) | `memorydb:DeleteUser` | 用户 |
| [DeleteACL](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DeleteACL.html) | `memorydb:DeleteACL` | ACL |
| [DescribeClusters](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeClusters.html) | `memorydb:DescribeClusters` | Cluster |
| [DescribeEngineVersions](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeEngineVersions.html) | `memorydb:DescribeEngineVersions` | 无资源 ARN:\$1 |
| [DescribeParameterGroups](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeParameterGroups.html) | `memorydb:DescribeParameterGroups` | 参数组 |
| [DescribeParameters](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeParameters.html) | `memorydb:DescribeParameters` | 参数组 |
| [DescribeSubnetGroups](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeSubnetGroups.html) | `memorydb:DescribeSubnetGroups` | 子网组 | \$1 |
| [DescribeEvents](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeEvents.html) | `memorydb:DescribeEvents` | 无资源 ARN:\$1 |
| [DescribeClusters](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeClusters.html) | `memorydb:DescribeClusters` | Cluster |
| [DescribeServiceUpdates](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeServiceUpdates.html) | `memorydb:DescribeServiceUpdates` | 无资源 ARN:\$1 |
| [DescribeSnapshots](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeSnapshots.html) | `memorydb:DescribeSnapshots` | 快照 |
| [DescribeUsers](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeUsers.html) | `memorydb:DescribeUsers` | 用户 |
| [描述ACLs](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeACLs.html) | `memorydb:DescribeACLs` | ACLs |
| [ListAllowedNodeTypeUpdates](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_ListAllowedNodeTypeUpdates.html) | `memorydb:ListAllowedNodeTypeUpdates` | Cluster |
| [ListTags](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_ListTags.html) | `memorydb:ListTags` | (可选)集群、快照 |
| [UpdateParameterGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateParameterGroup.html) | `memorydb:UpdateParameterGroup` | 参数组 |
| [UpdateSubnetGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateSubnetGroup.html) | `memorydb:UpdateSubnetGroup` | 子网组 |
| [UpdateCluster](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateCluster.html) | `memorydb:UpdateCluster` | 集群。(可选)参数组、安全组 |
| [UpdateUser](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateUser.html) | `memorydb:UpdateUser` | 用户 |
| [UpdateACL](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateACL.html) | `memorydb:UpdateACL` | ACL |
| [UntagResource](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UntagResource.html) | `memorydb:UntagResource` | (可选)集群、快照 |
| [ResetParameterGroup](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_ResetParameterGroup.html) | `memorydb:ResetParameterGroup` | 参数组 |
| [FailoverShard](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_FailoverShard.html) | `memorydb:FailoverShard` | 集群、分片 |