本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS MemoryDB 的 受管政策
若要將許可新增至使用者、群組和角色,使用 AWS 受管政策比自行撰寫政策更容易。建立IAM客戶受管政策需要時間和專業知識,為您的團隊提供他們所需的許可。若要快速開始使用,您可以使用我們的 AWS 受管政策。這些政策涵蓋常見的使用案例,可在您的帳戶中使用 AWS 。如需 AWS 受管政策的詳細資訊,請參閱 IAM 使用者指南 中的AWS 受管政策。
AWS 服務會維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會在 AWS 受管政策中新增其他許可以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務很可能會更新 AWS 受管政策。服務不會從 AWS 受管政策中移除許可,因此政策更新不會破壞您現有的許可。
此外, AWS 支援跨多個 服務的任務函數的受管政策。例如, ReadOnlyAccess AWS 受管政策提供所有 AWS 服務和資源的唯讀存取權。服務啟動新功能時, 會為新操作和資源 AWS 新增唯讀許可。如需任務函數政策的清單和描述,請參閱 IAM 使用者指南 中的AWS 任務函數的受管政策。
AWS 受管政策:MemoryDBServiceRolePolicy
您無法將 M emoryDBServiceRolePolicy AWS 受管政策連接至帳戶中的身分。此政策是 AWS MemoryDB 服務連結角色的一部分。此角色允許 服務管理您帳戶中的網路介面和安全群組。
MemoryDB 使用此政策中的許可來管理EC2安全群組和網路介面。這是管理 MemoryDB 叢集所需的項目。
許可詳細資訊
此政策包含以下許可。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*:*:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "AmazonMemoryDBManaged" ] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:security-group/*" ] }, { "Effect": "Allow", "Action": [ "ec2:DeleteNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute" ], "Resource": "arn:aws:ec2:*:*:network-interface/*", "Condition": { "StringEquals": { "ec2:ResourceTag/AmazonMemoryDBManaged": "true" } } }, { "Effect": "Allow", "Action": [ "ec2:DeleteNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute" ], "Resource": "arn:aws:ec2:*:*:security-group/*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeSecurityGroups", "ec2:DescribeNetworkInterfaces", "ec2:DescribeAvailabilityZones", "ec2:DescribeSubnets", "ec2:DescribeVpcs" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/MemoryDB" } } } ] }
AWS MemoryDB 的 受管 (預先定義) 政策
AWS 提供由 建立和管理的獨立IAM政策,以解決許多常見的使用案例 AWS。受管政策授與常見使用案例中必要的許可,讓您免於查詢需要哪些許可。如需詳細資訊,請參閱 IAM 使用者指南 中的 AWS 受管政策。
下列 AWS 受管政策,您可以連接到帳戶中的使用者,其專屬於 MemoryDB :
AmazonMemoryDBReadOnlyAccess
您可以將AmazonMemoryDBReadOnlyAccess政策連接至身分IAM。此政策會授予管理許可,允許唯讀存取所有 MemoryDB 資源。
AmazonMemoryDBReadOnlyAccess - 授予 MemoryDB 資源的唯讀存取權。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "memorydb:Describe*", "memorydb:List*" ], "Resource": "*" }] }
AmazonMemoryDBFullAccess
您可以將AmazonMemoryDBFullAccess政策連接至身分IAM。此政策會授予管理許可,以允許完全存取所有 MemoryDB 資源。
AmazonMemoryDBFullAccess - 授予 MemoryDB 資源的完整存取權。
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "memorydb:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB", "Condition": { "StringLike": { "iam:AWSServiceName": "memorydb.amazonaws.com" } } } ] }
您也可以建立自己的自訂IAM政策,以允許 MemoryDB API動作的許可。您可以將這些自訂政策連接至需要這些許可IAM的使用者或群組。
AWS 受管政策的 MemoryDB 更新
檢視自此服務開始追蹤這些變更以來,MemoryDB 受 AWS 管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 MemoryDB 文件歷史記錄頁面上的RSS摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
|
AmazonMemoryDBFullAccess – 新增政策 |
MemoryDB 新增了描述和列出支援資源的許可。MemoryDB 需要這些許可才能查詢帳戶中所有支援的資源。 |
10/07/2021 |
|
AmazonMemoryDBReadOnlyAccess – 新增政策 |
MemoryDB 新增了描述和列出支援資源的許可。MemoryDB 需要這些許可,才能透過查詢帳戶中所有支援的資源來建立以帳戶為基礎的應用程式。 |
10/07/2021 |
|
MemoryDB 已開始追蹤變更 |
服務啟動 |
8/19/2021 |
