Festlegung von Bedingungen: Verwenden von Bedingungsschlüsseln Beispielrichtlinien: Verwenden von Bedingungen für die differenzierte Parameterkontrolle

Verwenden von Bedingungsschlüssel

Sie können Bedingungen angeben, die bestimmen, wie eine IAM-Richtlinie wirksam wird. In können Sie das Condition Element einer JSON-Richtlinie verwenden ElastiCache, um Schlüssel im Anforderungskontext mit Schlüsselwerten zu vergleichen, die Sie in Ihrer Richtlinie angeben. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Bedingung.

Eine Liste der ElastiCache Bedingungsschlüssel finden Sie unter Bedingungsschlüssel für Amazon ElastiCache in der Service Authorization Reference.

Eine Liste der globalen Bedingungsschlüssel finden Sie unter AWS Globale Bedingungskontextschlüssel.

Verwendung ElastiCache mit AWS globalen Bedingungsschlüsseln

Wenn Sie AWS globale Bedingungsschlüssel verwenden, für die ein Principal erforderlich ElastiCache ist, verwenden Sie eine OR Bedingung mit beiden Prinzipalen: elasticache.amazonaws.com undec.amazonaws.com.

Anmerkung

Wenn Sie nicht beide Prinzipale für hinzufügen ElastiCache, wird die beabsichtigte Aktion „Zulassen“ oder „Verweigern“ für keine der in Ihrer Richtlinie aufgeführten Ressourcen korrekt durchgesetzt.

Beispiel für eine Richtlinie mit aws:CalledVia globalem Bedingungsschlüssel:

Festlegung von Bedingungen: Verwenden von Bedingungsschlüsseln

Um eine differenzierte Steuerung zu implementieren, schreiben Sie eine IAM-Berechtigungs-Richtlinie, die Bedingungen zum Steuern eines Satzes einzelner Parameter für bestimmte Anforderungen festlegt. Anschließend wenden Sie die Richtlinie für die IAM-Benutzer, -Gruppen oder -Rollen an, die Sie mithilfe der IAM-Konsole erstellen.

Um eine Bedingung anzuwenden, fügen Sie die Bedingungsinformationen der IAM-Richtlinienanweisung hinzu. Im folgenden Beispiel geben Sie die Bedingung an, dass jeder erstellte selbst entworfene Cache-Cluster vom Knotentyp cache.r5.large ist.

Anmerkung

Um Condition Elemente mithilfe von Bedingungsschlüsseln des String Typs zu erstellen, verwenden Sie Bedingungsoperatoren, bei denen Groß- und Kleinschreibung nicht berücksichtigt wirdStringNotEqualsIgnoreCase, StringEqualsIgnoreCase oder um einen Schlüssel mit einem Zeichenkettenwert zu vergleichen.
ElastiCache verarbeitet die Eingabeargumente für CacheNodeType und ohne Berücksichtigung CacheParameterGroupName der Groß- und Kleinschreibung. Aus diesem Grund StringNotEqualsIgnoreCase sollten die String-Bedingungsoperatoren StringEqualsIgnoreCase und in Berechtigungsrichtlinien verwendet werden, die auf sie verweisen.

Im Folgenden wird ein Beispiel für diese Berechtigungsrichtlinie bei der Verwendung von Valkey oder Redis OSS gezeigt.

Im Folgenden wird ein Beispiel für diese Berechtigungsrichtlinie bei der Verwendung von Memcached gezeigt.

Weitere Informationen finden Sie unter Verschlagworten Sie Ihre Ressourcen ElastiCache .

Weitere Informationen zur Verwendung von Richtlinienbedingungsoperatoren finden Sie unter ElastiCache API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen.

Beispielrichtlinien: Verwenden von Bedingungen für die differenzierte Parameterkontrolle

In diesem Abschnitt werden Beispielrichtlinien für die Implementierung einer differenzierten Zugriffskontrolle für die zuvor aufgeführten Parameter beschrieben. ElastiCache

elasticache:MaximumDataStorage: Geben Sie den maximalen Datenspeicher eines serverlosen Caches an. Unter den angegebenen Bedingungen kann der Kunde keine Caches erstellen, die mehr als eine bestimmte Datenmenge speichern können.

elasticache:Maximum ECPUPer Second: Geben Sie den maximalen Wert für ECPU pro Sekunde für einen serverlosen Cache an. Unter den angegebenen Bedingungen kann der Kunde keine Caches erstellen, die mehr als eine bestimmte Anzahl von Caches pro Sekunde ausführen können. ECPUs

elasticache:CacheNodeType: Geben Sie an, welche NodeType (s) ein Benutzer erstellen kann. Unter Verwendung der bereitgestellten Bedingungen kann der Kunde einen einzelnen Wert oder einen Bereichswert für einen Knotentyp angeben.

elasticache:CacheNodeType: Geben Sie mit Memcached an, welche NodeType (s) ein Benutzer erstellen kann. Unter Verwendung der bereitgestellten Bedingungen kann der Kunde einen einzelnen Wert oder einen Bereichswert für einen Knotentyp angeben.

elasticache:NumNodeGroups: Erstellt eine Replikationsgruppe mit weniger als 20 Knotengruppen.

elasticache:ReplicasPerNodeGroup: Geben Sie die Replikate pro Knoten zwischen 5 und 10 an.

elasticache:EngineVersion: Geben Sie die Verwendung der Engine-Version 5.0.6 an.

elasticache:EngineVersion: Gibt die Verwendung der Memcached-Engine-Version 1.6.6 an

elasticache:EngineType: Geben Sie an, dass nur eine Valkey- oder Redis-OSS-Engine verwendet wird.

elasticache:AtRestEncryptionEnabled: Geben Sie an, dass Replikationsgruppen nur bei aktivierter Verschlüsselung erstellt werden.

Elasticache: TransitEncryptionEnabled

Setzen Sie den elasticache:TransitEncryptionEnabled Bedingungsschlüssel false für die CreateReplicationGroupAktion auf, um anzugeben, dass Replikationsgruppen nur erstellt werden können, wenn TLS nicht verwendet wird:

Wenn der elasticache:TransitEncryptionEnabled Bedingungsschlüssel false in einer Richtlinie für die CreateReplicationGroupAktion auf gesetzt ist, ist eine CreateReplicationGroup Anfrage nur zulässig, wenn TLS nicht verwendet wird (d. h. wenn die Anfrage keinen Parameter enthält, der auf gesetzt ist true oder einen TransitEncryptionEnabled TransitEncryptionMode Parameter, der auf gesetzt ist)required.

Setzen Sie den elasticache:TransitEncryptionEnabled Bedingungsschlüssel auf true für die CreateReplicationGroupAktion, um anzugeben, dass Replikationsgruppen nur erstellt werden können, wenn TLS verwendet wird:

Wenn der elasticache:TransitEncryptionEnabled Bedingungsschlüssel true in einer Richtlinie für die CreateReplicationGroupAktion auf gesetzt ist, ist eine CreateReplicationGroup Anfrage nur zulässig, wenn die Anforderung einen Parameter enthält, der auf gesetzt ist, true und einen TransitEncryptionEnabled TransitEncryptionMode Parameter, der auf gesetzt ist. required

Legen Sie elasticache:TransitEncryptionEnabled für die ModifyReplicationGroup-Aktion auf true fest, um anzugeben, dass Replikationsgruppen nur geändert werden können, wenn TLS verwendet wird:
JSON
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticache:ModifyReplicationGroup" ], "Resource": [ "arn:aws:elasticache:*:*:replicationgroup:*" ], "Condition": { "BoolIfExists": { "elasticache:TransitEncryptionEnabled": "true" } } } ] }
Wenn der elasticache:TransitEncryptionEnabled Bedingungsschlüssel true in einer Richtlinie für die ModifyReplicationGroupAktion auf gesetzt ist, ist eine ModifyReplicationGroup Anfrage nur zulässig, wenn die Anforderung einen TransitEncryptionMode Parameter enthält, der auf gesetzt istrequired. DerTransitEncryptionEnabled-Parameter, der auf true festgelegt ist, kann optional ebenfalls enthalten sein, ist in diesem Fall jedoch nicht erforderlich, um TLS zu aktivieren.

elasticache:AutomaticFailoverEnabled: Geben Sie an, dass Replikationsgruppen nur bei aktiviertem automatischem Failover erstellt werden.

elasticache:MultiAZEnabled: Geben Sie an, dass Replikationsgruppen nicht erstellt werden können, wenn Multi-AZ deaktiviert ist.

elasticache:ClusterModeEnabled: Geben Sie an, dass Replikationsgruppen nur bei aktiviertem Clustermodus erstellt werden können.

elasticache:AuthTokenEnabled: Geben Sie an, dass Replikationsgruppen nur mit aktiviertem AUTH-Token erstellt werden können.

elasticache:SnapshotRetentionLimit: Geben Sie die Anzahl der Tage (oder min/max.) an, für die der Snapshot aufbewahrt werden soll. Die folgende Richtlinie erzwingt die Speicherung von Backups für mindestens 30 Tage.

elasticache:KmsKeyId: Geben Sie die Verwendung von vom Kunden verwalteten KMS-Schlüsseln an. AWS

elasticache:CacheParameterGroupName: Geben Sie eine nicht standardmäßige Parametergruppe mit spezifischen Parametern von einer Organisation in Ihren Clustern an. Sie können auch ein Benennungsmuster für Ihre Parametergruppen angeben oder das Löschen eines bestimmten Parametergruppennamens blockieren. Im Folgenden finden Sie ein Beispiel, das die Verwendung von nur "“ my-org-param-group einschränkt.

elasticache:CacheParameterGroupName: Geben Sie mit Memcached eine nicht standardmäßige Parametergruppe mit spezifischen Parametern von einer Organisation in Ihren Clustern an. Sie können auch ein Benennungsmuster für Ihre Parametergruppen angeben oder das Löschen eines bestimmten Parametergruppennamens blockieren. Im Folgenden finden Sie ein Beispiel, das die Verwendung von nur "“ einschränkt. my-org-param-group

elasticacheCreateCacheCluster: CreateCacheCluster Aktion wird verweigert, wenn das Anforderungs-Tag Project fehlt oder nicht gleich oder ist. Dev QA Prod

elasticache:CacheNodeType: Zulassen CreateCacheCluster mit cacheNodeType cache.r5.large oder cache.r6g.4xlarge und Tag. Project=XYZ

elasticache:: Zulassen mit cache.r5.large oder cache.r6g.4xlarge und Tag. CacheNodeType CreateCacheCluster cacheNodeType Project=XYZ

Anmerkung

Beim Erstellen von Richtlinien zum gemeinsamen Erzwingen von Tags und anderen Bedingungsschlüsseln kann die Bedingung IfExists aufgrund der zusätzlichen elasticache:AddTagsToResource-Richtlinienanforderungen für Erstellungsanforderungen mit dem --tags-Parameter für Bedingungsschlüsselelemente erforderlich sein.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Berechtigungen auf Ressourcenebene

Verwenden von serviceverknüpften Rollen