Especificación de condiciones: uso de claves de condición Ejemplos de políticas: uso de condiciones para el control de parámetros de precisión

Uso de claves de condición

Puede especificar condiciones que determinan cómo se aplica una política de IAM. En ElastiCache, puede utilizar el Condition elemento de una política de JSON para comparar las claves del contexto de la solicitud con los valores clave que especifique en la política. Para obtener más información, consulte Elementos de la política de JSON de IAM: Condición.

Para ver una lista de claves de ElastiCache estado, consulta Claves de estado de Amazon ElastiCache en la Referencia de autorización de servicio.

Para obtener una lista de todas las claves de condición globales, consulte Claves de contexto de condición globales de AWS.

Utilización ElastiCache con claves de condición AWS globales

Cuando utilice claves de condición AWS globales que requieran ElastiCache el principal, utilice una OR condición con ambos principios: elasticache.amazonaws.com yec.amazonaws.com.

nota

Si no agregas ambos principios ElastiCache, la acción prevista de «Permitir» o «Denegar» no se aplicará correctamente a ninguno de los recursos incluidos en tu política.

Ejemplo de política con clave de condición aws:CalledVia global:

Especificación de condiciones: uso de claves de condición

Para implementar el control detallado, hay que escribir una política de permisos de IAM que especifique las condiciones a fin de controlar un conjunto de parámetros individuales en determinadas solicitudes. A continuación, se aplica la política de IAM a los usuarios, los grupos o los roles creados con la consola de IAM.

Para aplicar una condición, agregue la información de condición a la declaración de la política de IAM. En el siguiente ejemplo, se especifica la condición de que cualquier clúster de caché de autodiseño creado sea del tipo de nodo cache.r5.large.

nota

Para construir Condition elementos utilizando claves de condición de este String tipo, utilice los operadores de condición que no distingan mayúsculas de minúsculas StringEqualsIgnoreCase o StringNotEqualsIgnoreCase compare una clave con un valor de cadena.
ElastiCache procesa los argumentos de entrada para CacheNodeType y sin distinguir CacheParameterGroupName entre mayúsculas y minúsculas. Por este motivo, las cadenas condicionan los operadores StringEqualsIgnoreCase y StringNotEqualsIgnoreCase deben usarse en las políticas de permisos que hacen referencia a ellos.

A continuación, se incluye un ejemplo de esta política de permisos cuando se utiliza Valkey o Redis OSS.

A continuación, se muestra un ejemplo de esta política de permisos cuando se utiliza Memcached.

Para obtener más información, consulte Etiquetar sus recursos ElastiCache .

Para obtener más información sobre el uso de operadores de condición de política, consulte ElastiCache Permisos de API: referencia de acciones, recursos y condiciones.

Ejemplos de políticas: uso de condiciones para el control de parámetros de precisión

En esta sección se muestran ejemplos de políticas para implementar un control de acceso detallado en los parámetros enumerados anteriormente. ElastiCache

elasticache:MaximumDataStorage: Especifique el almacenamiento máximo de datos de una caché sin servidor. Mediante las condiciones proporcionadas, el cliente no puede crear cachés que puedan almacenar más de una cantidad específica de datos.

ElastiCache:máximo de ECPUPer segundos: especifique el valor máximo de ECPU por segundo de una caché sin servidor. Con las condiciones proporcionadas, el cliente no puede crear cachés que puedan ejecutar más de un número específico por segundo. ECPUs

elasticacheCacheNodeType: especifique cuáles NodeType puede crear un usuario. Mediante las condiciones proporcionadas, el cliente puede especificar un valor único o un valor de rango para un tipo de nodo.

elasticache:CacheNodeType: Con Memcached, especifique cuáles puede crear un NodeType usuario. Mediante las condiciones proporcionadas, el cliente puede especificar un valor único o un valor de rango para un tipo de nodo.

elasticache:NumNodeGroups: Cree un grupo de replicación con menos de 20 grupos de nodos.

elasticache:ReplicasPerNodeGroup: Especifique las réplicas por nodo entre 5 y 10.

elasticache:EngineVersion: Especifique el uso de la versión 5.0.6 del motor.

elasticache:EngineVersion: Especifique el uso de la versión 1.6.6 del motor Memcached

elasticache:EngineType: Especifique utilizando únicamente un motor OSS de Valkey o Redis.

elasticache:AtRestEncryptionEnabled: Especifique que los grupos de replicación se crearán solo con el cifrado habilitado.

elasticache: TransitEncryptionEnabled

Defina la clave de elasticache:TransitEncryptionEnabled condición false para que la CreateReplicationGroupacción especifique que los grupos de replicación solo se pueden crear cuando no se utilice TLS:

Si la clave de elasticache:TransitEncryptionEnabled condición se establece false en una política para la CreateReplicationGroupacción, solo se permitirá una CreateReplicationGroup solicitud si no se utiliza TLS (es decir, si la solicitud no incluye un TransitEncryptionEnabled parámetro establecido como true o un TransitEncryptionMode parámetro establecido como. required

Defina la clave de elasticache:TransitEncryptionEnabled condición true para que la CreateReplicationGroupacción especifique que los grupos de replicación solo se pueden crear cuando se utiliza TLS:

Cuando la clave de elasticache:TransitEncryptionEnabled condición esté establecida true en una política para la CreateReplicationGroupacción, solo se permitirá una CreateReplicationGroup solicitud si la solicitud incluye un TransitEncryptionEnabled parámetro establecido en true y un TransitEncryptionMode parámetro establecido en. required

Defina elasticache:TransitEncryptionEnabled en true para que la acción ModifyReplicationGroup especifique que los grupos de replicación solo se pueden modificar cuando se usa TLS:
JSON
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticache:ModifyReplicationGroup" ], "Resource": [ "arn:aws:elasticache:*:*:replicationgroup:*" ], "Condition": { "BoolIfExists": { "elasticache:TransitEncryptionEnabled": "true" } } } ] }
Cuando la clave de elasticache:TransitEncryptionEnabled condición esté establecida true en una política para la ModifyReplicationGroupacción, solo se permitirá una ModifyReplicationGroup solicitud si la solicitud incluye un TransitEncryptionMode parámetro establecido enrequired. El parámetro TransitEncryptionEnabled establecido en true también se puede incluir de forma opcional, pero no es necesario en este caso para habilitar TLS.

elasticache:AutomaticFailoverEnabled: Especifique que los grupos de replicación se crearán solo con la conmutación por error automática habilitada.

ElastiCache:Multi AZEnabled: especifique que los grupos de replicación no se pueden crear con las zonas de disponibilidad múltiples (Multi-AZ) deshabilitadas.

elasticache:ClusterModeEnabled: Especifique que los grupos de replicación solo se pueden crear con el modo de clúster habilitado.

elasticache:AuthTokenEnabled: Especifique que los grupos de replicación solo se pueden crear con el token AUTH habilitado.

elasticache:SnapshotRetentionLimit: Especifique el número de días (o mínimo/máximo) para conservar la instantánea. A continuación, la política impone el almacenamiento de copias de seguridad durante al menos 30 días.

elasticache:KmsKeyId: Especifique el uso de las claves de KMS administradas por el cliente. AWS

elasticache:CacheParameterGroupName: Especifique un grupo de parámetros no predeterminado con parámetros específicos de una organización en sus clústeres. También puede especificar un patrón de nomenclatura para los grupos de parámetros o eliminar bloques en un nombre de grupo de parámetros específico. El siguiente es un ejemplo que restringe el uso de solo "». my-org-param-group

elasticache:CacheParameterGroupName: Con Memcached, especifique un grupo de parámetros no predeterminado con parámetros específicos de una organización en sus clústeres. También puede especificar un patrón de nomenclatura para los grupos de parámetros o eliminar bloques en un nombre de grupo de parámetros específico. A continuación se presenta un ejemplo que restringe el uso de solo "». my-org-param-group

elasticache:CreateCacheCluster: Denegar la CreateCacheCluster acción si falta la etiqueta Project de solicitud o no es igual aDev, o. QA Prod

elasticache:CacheNodeType: Permitir CreateCacheCluster con cacheNodeType cache.r5.large o cache.r6g.4xlarge y etiqueta. Project=XYZ

elasticache:CacheNodeType: Se permite CreateCacheCluster con cacheNodeType cache.r5.large o cache.r6g.4xlarge y etiqueta. Project=XYZ

nota

Cuando se crean políticas a fin de imponer etiquetas y otras claves de condición juntas, el condicional IfExists puede ser necesario en los elementos de la clave de condición debido a los requisitos extra de la política elasticache:AddTagsToResource para las solicitudes de creación con el parámetro --tags.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Permisos de nivel de recursos

Uso de roles vinculados a servicios