管理 ElastiCache 資源的存取許可概觀

每個 AWS 資源都由 AWS 帳戶擁有，而建立或存取資源的許可受許可政策的約束。帳戶管理員可以將許可政策連接到身分 IAM （即使用者、群組和角色）。此外，Amazon ElastiCache 也支援將許可政策連接至資源。

注意

帳戶管理員 (或管理員使用者) 是具有管理員權限的使用者。如需詳細資訊，請參閱 IAM 使用者指南 中的IAM最佳實務。

若要提供存取權，請新增權限至您的使用者、群組或角色：

中的使用者和群組 AWS IAM Identity Center：

建立權限合集。請按照 AWS IAM Identity Center 使用者指南 中的建立權限合集說明進行操作。
IAM 透過身分提供者在中管理的使用者：

建立聯合身分的角色。請遵循 IAM 使用者指南 中為第三方身分提供者（聯合）建立角色的指示。
IAM 使用者：
- 建立您的使用者可擔任的角色。請遵循 IAM 使用者指南 中為IAM使用者建立角色的指示。
- (不建議) 將政策直接附加至使用者，或將使用者新增至使用者群組。請遵循 IAM 使用者指南 中將許可新增至使用者（主控台）的指示。

主題

Amazon ElastiCache 資源和操作

若要查看 ElastiCache 資源類型及其的清單ARNs，請參閱服務授權參考 中的 Amazon 定義的資源 ElastiCache。若要了解您可以使用哪些動作指定每個資源ARN的，請參閱 Amazon 定義的動作 ElastiCache。

了解資源所有權

資源擁有者是建立資源 AWS 的帳戶。也就是說，資源擁有者是驗證建立資源之請求的主要實體 AWS 帳戶。主體實體可以是根帳戶、IAM使用者或IAM角色）。下列範例說明其如何運作：

假設您使用 AWS 帳戶的根帳戶憑證來建立快取叢集。在這種情況下， AWS 您的帳戶是資源的擁有者。在中 ElastiCache，資源是快取叢集。
假設您在 AWS 帳戶中建立IAM使用者，並將建立快取叢集的許可授予該使用者。在此例中，該使用者可以建立快取叢集。不過，使用者所屬 AWS 的帳戶擁有快取叢集資源。
假設您在 AWS 帳戶中建立具有建立快取叢集許可IAM的角色。在此例中，任何可以擔任該角色的人都能建立快取叢集。角色所屬 AWS 的帳戶擁有快取叢集資源。

管理資源存取

許可政策描述誰可以存取哪些資源。下一節說明可用來建立許可政策的選項。

注意

本節討論在 Amazon 的內容IAM中使用 ElastiCache。它不會提供有關 IAM服務的詳細資訊。如需完整IAM文件，請參閱使用者指南中的什麼是 IAM？。 IAM 如需IAM政策語法和描述的相關資訊，請參閱 IAM 使用者指南 中的AWS IAM政策參考。

連接到IAM身分的政策稱為身分型政策（IAM 政策）。連接到資源的政策稱為資源型政策。

身分型政策（IAM 政策）

您可以將政策連接至IAM身分。例如，您可以執行下列動作：

將許可政策連接至帳戶中的使用者或群組 - 帳戶管理員能夠透過與特定使用者相關聯的許可政策來授予許可。在這種情況下，許可可讓該使用者建立 ElastiCache 資源，例如快取叢集、參數群組或安全群組。
將許可政策連接至角色（授予跨帳戶許可） – 您可以將身分型許可政策連接至IAM角色，以授予跨帳戶許可。例如，帳戶 A 中的管理員可以建立角色，將跨帳戶許可授予另一個 AWS 帳戶（例如帳戶 B）或服務， AWS 如下所示：
1. 帳戶 A 管理員會建立IAM角色，並將許可政策附加至授予帳戶 A 中資源許可的角色。
2. 帳戶 A 管理員將信任政策連接至該角色，識別帳戶 B 做為可擔任該角的委託人。
3. 然後，帳戶 B 管理員可以將擔任角色的許可委派給帳戶 B 中的任何使用者。這樣做可讓帳戶 B 中的使用者在帳戶 A 中建立或存取資源。在某些情況下，您可能想要授予 AWS 服務許可以擔任角色。為了支援此方法，信任政策中的委託人也可以是 AWS 服務委託人。
如需使用 IAM 委派許可的詳細資訊，請參閱 IAM 使用者指南 中的存取管理。

以下是允許使用者執行 AWS 帳戶DescribeCacheClusters動作的範例政策。 ElastiCache 也支援使用 ARNsAPI動作的資源來識別特定資源。(此方法也稱為資源層級許可)。


{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "DescribeCacheClusters",
      "Effect": "Allow",
      "Action": [
         "elasticache:DescribeCacheClusters"],
      "Resource": resource-arn
      }
   ]
}

如需搭配使用身分型政策的詳細資訊 ElastiCache，請參閱針對 Amazon 使用身分型政策（IAM 政策） ElastiCache。如需使用者、群組、角色和許可的詳細資訊，請參閱 IAM 使用者指南 中的身分（使用者、群組和角色。

指定政策元素：動作、效果、資源和主體

對於每個 Amazon ElastiCache 資源（請參閱 Amazon ElastiCache 資源和操作），服務會定義一組API操作（請參閱動作）。若要授予這些API操作的許可，請 ElastiCache 定義一組您可以在政策中指定的動作。例如，針對 ElastiCache叢集資源，會定義下列動作：CreateCacheCluster、 DeleteCacheCluster和 DescribeCacheCluster。執行API操作可能需要多個動作的許可。

以下是最基本的政策元素：

資源 – 在政策中，您可以使用 Amazon Resource Name （ARN）來識別政策適用的資源。如需詳細資訊，請參閱Amazon ElastiCache 資源和操作。
動作：使用動作關鍵字識別您要允許或拒絕的資源操作。例如，根據指定的 Effect， elasticache:CreateCacheCluster許可允許或拒絕使用者執行 Amazon ElastiCache CreateCacheCluster操作的許可。
效果 - 您可以指定使用者要求特定動作時會有什麼效果；可為允許或拒絕。如果您未明確授予存取 (允許) 資源，則隱含地拒絕存取。您也可以明確拒絕存取資源。例如，您可以這樣做以確保使用者無法存取資源，即使不同的政策授與存取。
主體 – 在身分型政策（IAM 政策）中，附加政策的使用者是隱含主體。對於資源型政策，您可以指定想要收到許可的使用者、帳戶、服務或其他實體 (僅適用於資源型政策)。

若要進一步了解IAM政策語法和描述，請參閱 IAM 使用者指南 中的AWS IAM政策參考。

如需顯示所有 Amazon ElastiCache API 動作的資料表，請參閱 ElastiCache API 許可：動作、資源和條件參考。

在政策中指定條件

當您授予許可時，您可以使用IAM政策語言來指定政策何時生效的條件。例如，建議只在特定日期之後套用政策。如需以政策語言指定條件的詳細資訊，請參閱 IAM 使用者指南 中的條件。

欲表示條件，您可以使用預先定義的條件金鑰。若要使用 ElastiCache特定條件金鑰，請參閱使用條件索引鍵。您可以視需要使用 AWS全局條件金鑰。如需 AWS全局金鑰的完整清單，請參閱 IAM 使用者指南 中的可用金鑰條件。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

故障診斷

AWS 受管政策