管理 ElastiCache 資源存取許可的概觀 - Amazon ElastiCache
Amazon ElastiCache 資源和作業了解資源所有權管理 資源的存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理 ElastiCache 資源存取許可的概觀

每個 AWS 資源都由 AWS 帳戶擁有,而建立或存取資源的許可受許可政策的約束。帳戶管理員可以將許可政策連接到 IAM 身分 (即使用者、群組和角色)。此外,Amazon ElastiCache 還支援將許可政策連接到資源。

注意

帳戶管理員 (或管理員使用者) 是具有管理員權限的使用者。如需詳細資訊,請參《IAM 使用者指南》中的 IAM 最佳實務

若要提供存取權,請新增權限至您的使用者、群組或角色:

  • 中的使用者和群組 AWS IAM Identity Center:

    建立權限合集。請按照 AWS IAM Identity Center 使用者指南 中的 建立權限合集 說明進行操作。

  • 透過身分提供者在 IAM 中管理的使用者:

    建立聯合身分的角色。遵循「IAM 使用者指南」的為第三方身分提供者 (聯合) 建立角色中的指示。

  • IAM 使用者:

主題

Amazon ElastiCache 資源和作業

若要查看 ElastiCache 資源類型清單及其 ARN,請參閱《服務授權參考》中的 Amazon ElastiCache 定義的資源。若要了解您可以使用哪些動作指定每個資源的 ARN,請參閱 Amazon ElastiCache 定義的動作

了解資源所有權

資源擁有者是建立資源 AWS 的帳戶。也就是說,資源擁有者是驗證建立資源之請求的主體實體 AWS 帳戶。委託人實體可以是根帳戶、IAM 使用者或 IAM 角色)。下列範例說明其如何運作:

  • 假設您使用 AWS 帳戶的根帳戶登入資料來建立快取叢集。在這種情況下, AWS 您的帳戶是 資源的擁有者。在 ElastiCache 中,資源就是快取叢集。

  • 假設您在 AWS 帳戶中建立 IAM 使用者,並將建立快取叢集的許可授予該使用者。在此例中,該使用者可以建立快取叢集。不過,使用者所屬 AWS 的帳戶擁有快取叢集資源。

  • 假設您在 AWS 帳戶中建立具有建立快取叢集許可的 IAM 角色。在此例中,任何可以擔任該角色的人都能建立快取叢集。您的 AWS 帳戶屬於該角色,擁有快取叢集資源。

管理 資源的存取

許可政策描述誰可以存取哪些資源。下一節說明可用來建立許可政策的選項。

注意

本節著重討論如何在 ​Amazon ElastiCache 的環境中使用 IAM。它不提供 IAM 服務的詳細資訊。如需完整的 IAM 文件,請參閱IAM 使用者指南中的什麼是 IAM。如需有關 IAM 政策語法和說明的資訊,請參閱IAM 使用者指南中的 AWS IAM 政策參考

連接到 IAM 身分的政策稱為身分類型政策 (IAM 政策)。連接到資源的政策稱為資源型政策。

身分類型政策 (IAM 政策)

您可以將政策連接到 IAM 身分。例如,您可以執行下列動作:

  • 將許可政策連接至帳戶中的使用者或群組 - 帳戶管理員能夠透過與特定使用者相關聯的許可政策來授予許可。在此案例中,許可用於授予該使用者建立 ElastiCache 資源,例如快取叢集、參數群組或安全群組。

  • 將許可政策連接至角色 (授予跨帳戶許可):您可以將身分識別型許可政策連接至 IAM 角色,藉此授予跨帳戶許可。例如,帳戶 A 中的管理員可以建立角色,將跨帳戶許可授予另一個 AWS 帳戶 (例如帳戶 B) 或服務, AWS 如下所示:

    1. 帳戶 A 管理員建立 IAM 角色,並將許可政策連接到可授與帳戶 A 中資源許可的角色。

    2. 帳戶 A 管理員將信任政策連接至該角色,識別帳戶 B 做為可擔任該角的委託人。

    3. 然後,帳戶 B 管理員可以將擔任角色的許可委派給帳戶 B 中的任何使用者。這樣做可讓帳戶 B 中的使用者在帳戶 A 中建立或存取資源。在某些情況下,您可能想要授予 AWS 服務擔任角色的許可。為了支援此方法,信任政策中的委託人也可以是 AWS 服務委託人。

    如需使用 IAM 來委派許可的相關資訊,請參閱《IAM 使用者指南》中的存取管理

以下是允許使用者執行您 AWS 帳戶DescribeCacheClusters動作的範例政策。ElastiCache 還支援使用 API 動作的資源 ARN 來識別特定資源。(此方法也稱為資源層級許可)。

{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "DescribeCacheClusters",
      "Effect": "Allow",
      "Action": [
         "elasticache:DescribeCacheClusters"],
      "Resource": resource-arn
      }
   ]
}

如需搭配 ElastiCache 使用身分型政策的詳細資訊,請參閱「針對 Amazon ElastiCache 使用身分型政策 (IAM 政策)」。如需使用者、群組、角色和許可的詳細資訊,請參閱 IAM 使用者指南中的身分 (使用者、群組和角色)

指定政策元素:動作、效果、資源和主體

針對每一個 Amazon ElastiCache 資源 (請參閱「Amazon ElastiCache 資源和作業」),服務會定義一組 API 操作 (請參閱動作)。為了授予這些 API 作業的許可,ElastiCache 定義了一組可在政策中指定的動作。例如,針對 ElastiCache 叢集資源定義的動作如下:CreateCacheClusterDeleteCacheClusterDescribeCacheCluster。執行一項 API 操作可能需要多個動作的許可。

以下是最基本的政策元素:

  • 資源 – 在政策中,您可以使用 Amazon Resource Name (ARN) 來識別要套用政策的資源。如需詳細資訊,請參閱Amazon ElastiCache 資源和作業

  • 動作:使用動作關鍵字識別您要允許或拒絕的資源操作。例如,根據指定的 Effectelasticache:CreateCacheCluster 許可會允許或拒絕執行 Amazon ElastiCache CreateCacheCluster 作業的使用者許可。

  • 效果 - 您可以指定使用者要求特定動作時會有什麼效果;可為允許或拒絕。如果您未明確授予存取 (允許) 資源,則隱含地拒絕存取。您也可以明確拒絕存取資源。例如,您可以這樣做以確保使用者無法存取資源,即使不同的政策授與存取。

  • 主體:在以身分為基礎的政策 (IAM 政策) 中,政策所連接的使用者就是隱含主體。對於資源型政策,您可以指定想要收到許可的使用者、帳戶、服務或其他實體 (僅適用於資源型政策)。

如需進一步了解有關 IAM 政策語法和說明的詳細資訊,請參閱《IAM 使用者指南》 中的 AWS IAM 政策參考

如需列出所有 Amazon ElastiCache API 動作的表格,請參閱「ElastiCache API 許可:動作、資源和條件參考」。

在政策中指定條件

當您授與許可時,您可以使用 IAM 政策語言指定政策生效時間的條件。例如,建議只在特定日期之後套用政策。如需使用政策語言指定條件的詳細資訊,請參閱IAM 使用者指南中的條件

欲表示條件,您可以使用預先定義的條件金鑰。若要使用 ElastiCache 專用的條件索引鍵,請參閱「使用條件索引鍵」。您可以視需要使用 AWS全局條件索引鍵。如需 AWS全局金鑰的完整清單,請參閱《IAM 使用者指南》中的適用於 條件的金鑰