Utilisation de politiques basées sur l'identité (politiques IAM) pour Amazon ElastiCache - Amazon ElastiCache
Exemples de politiques gérées par le client

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de politiques basées sur l'identité (politiques IAM) pour Amazon ElastiCache

Cette rubrique fournit des exemples de politiques basées sur une identité dans lesquelles un administrateur de compte peut attacher des politiques d'autorisation aux identités IAM (c'est-à-dire aux utilisateurs, groupes et rôles).

Important

Nous vous recommandons de lire d'abord les rubriques qui expliquent les concepts de base et les options de gestion de l'accès aux ElastiCache ressources Amazon. Pour de plus amples informations, veuillez consulter Vue d'ensemble de la gestion des autorisations d'accès à vos ElastiCache ressources.

Les sections de cette rubrique couvrent les sujets suivants :

Voici un exemple de politique d'autorisation lors de l'utilisation de Redis OSS.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowClusterPermissions",
            "Effect": "Allow",
            "Action": [
                "elasticache:CreateServerlessCache",
                "elasticache:CreateCacheCluster",
                "elasticache:DescribeServerlessCaches",
                "elasticache:DescribeReplicationGroups",
                "elasticache:DescribeCacheClusters",
                "elasticache:ModifyServerlessCache",
                "elasticache:ModifyReplicationGroup",
                "elasticache:ModifyCacheCluster"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowUserToPassRole",
            "Effect": "Allow",
            "Action": [ "iam:PassRole" ],
            "Resource": "arn:aws:iam::123456789012:role/EC2-roles-for-cluster"
        }
    ]
}

Voici un exemple de politique d'autorisation lors de l'utilisation de Memcached.

JSON
{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "AllowClusterPermissions",
        "Effect": "Allow",
        "Action": [
            "elasticache:CreateServerlessCache",
            "elasticache:CreateCacheCluster",
            "elasticache:DescribeServerlessCaches",
            "elasticache:DescribeCacheClusters",
            "elasticache:ModifyServerlessCache",
            "elasticache:ModifyCacheCluster"
        ],
        "Resource": "*"
    },
    {
        "Sid": "AllowUserToPassRole",
        "Effect": "Allow",
        "Action": [ "iam:PassRole" ],
        "Resource": "arn:aws:iam::123456789012:role/EC2-roles-for-cluster"
    }
    ]
}

La politique possède deux énoncés:

  • La première déclaration accorde des autorisations pour les ElastiCache actions Amazon (elasticache:Create*,elasticache:Describe*,elasticache:Modify*)

  • La deuxième instruction accorde des autorisations pour l'action IAM (iam:PassRole) sur le nom du rôle IAM spécifié à la fin de la valeur Resource.

La politique ne spécifie pas l'élément Principal car, dans une politique basée sur une identité, vous ne spécifiez pas le principal qui obtient l'autorisation. Quand vous attachez une politique à un utilisateur, l'utilisateur est le principal implicite. Lorsque vous attachez une politique d'autorisation à un rôle IAM, le principal identifié dans la politique d'approbation de ce rôle obtient les autorisations.

Pour consulter un tableau présentant toutes les actions de ElastiCache l'API Amazon et les ressources auxquelles elles s'appliquent, consultezElastiCache Autorisations d'API : référence aux actions, aux ressources et aux conditions.

Exemples de politiques gérées par le client

Si vous n'utilisez pas de politique par défaut et que vous choisissez d'utiliser une politique gérée personnalisée, vous devez assurer l'un des deux points suivants. Vous devez soit avoir les autorisations d'appeler iam:createServiceLinkedRole (pour plus d'informations, veuillez consulter Exemple 4 : Autoriser un utilisateur à appeler l'API IAM CreateServiceLinkedRole ). Ou vous auriez dû créer un rôle ElastiCache lié à un service.

Associés aux autorisations minimales requises pour utiliser la ElastiCache console Amazon, les exemples de politiques présentés dans cette section accordent des autorisations supplémentaires. Les exemples sont également pertinents pour le AWS SDKs et le AWS CLI.

Pour plus d'informations sur la configuration des utilisateurs et des groupes IAM, veuillez consulter Création de votre premier groupe d'utilisateurs et d'administrateurs IAM dans le Guide de l'utilisateur IAM.

Important

Veillez à toujours tester vos politiques IAM de manière approfondie avant de les utiliser. Certaines ElastiCache actions qui semblent simples peuvent nécessiter d'autres actions pour les prendre en charge lorsque vous utilisez la ElastiCache console. Par exemple, elasticache:CreateCacheCluster donne des autorisations pour créer des clusters de cache ElastiCache . Toutefois, pour effectuer cette opération, la ElastiCache console utilise un certain nombre d'Listactions Describe et pour remplir les listes de consoles.

Exemple 1 : autoriser un utilisateur à accéder aux ressources en lecture seule ElastiCache

La politique suivante accorde des autorisations à ElastiCache des actions qui permettent à un utilisateur de répertorier des ressources. En général, vous attachez ce type de politique d'autorisations à un groupe de gestionnaires.

JSON
{
   "Version": "2012-10-17",
   "Statement":[{
      "Sid": "ECReadOnly",
      "Effect":"Allow",
      "Action": [
          "elasticache:Describe*",
          "elasticache:List*"],
      "Resource":"*"
      }
   ]
}

Exemple 2 : autoriser un utilisateur à effectuer des tâches ElastiCache d'administrateur système courantes

Les tâches courantes d’administrateur système incluent la modification des ressources. Un administrateur système peut également obtenir des informations sur les événements ElastiCache . La politique suivante accorde à un utilisateur l'autorisation d'effectuer des ElastiCache actions relatives à ces tâches courantes d'administrateur système. Généralement, vous attachez ce type de politique d'autorisations au groupe d'administrateurs système.

JSON
{
   "Version": "2012-10-17",
   "Statement":[{
      "Sid": "ECAllowMutations",
      "Effect":"Allow",
      "Action":[
          "elasticache:Modify*",
          "elasticache:Describe*",
          "elasticache:ResetCacheParameterGroup"
      ],
      "Resource":"*"
      }
   ]
}

Exemple 3 : Autoriser un utilisateur à accéder à toutes les actions de ElastiCache l'API

La politique suivante permet à un utilisateur d'accéder à toutes les ElastiCache actions. Nous vous conseillons d'accorder ce type de politique d'autorisations uniquement à un utilisateur administrateur.

JSON
{
   "Version": "2012-10-17",
   "Statement":[{
      "Sid": "ECAllowAll",
      "Effect":"Allow",
      "Action":[
          "elasticache:*" 
      ],
      "Resource":"*"
      }
   ]
}

Exemple 4 : Autoriser un utilisateur à appeler l'API IAM CreateServiceLinkedRole

La politique suivante permet à un utilisateur d'appeler l'API CreateServiceLinkedRole IAM. Nous vous recommandons d'accorder ce type de politique d'autorisations à l'utilisateur qui invoque des opérations mutatives. ElastiCache

JSON
{
  "Version":"2012-10-17",
  "Statement":[
    {
      "Sid":"CreateSLRAllows",
      "Effect":"Allow",
      "Action":[
        "iam:CreateServiceLinkedRole"
      ],
      "Resource":"*",
      "Condition":{
        "StringLike":{
          "iam:AWS ServiceName":"elasticache.amazonaws.com"
        }
      }
    }
  ]
}

Exemple 5 : Autoriser un utilisateur à se connecter à un cache sans serveur à l’aide de l’authentification IAM

La politique suivante permet à n’importe quel utilisateur de se connecter à n’importe quel cache sans serveur à l’aide de l’authentification IAM entre le 01/04/2023 et le 30/06/2023.

JSON
{
  "Version" : "2012-10-17",
  "Statement" :
  [
    {
      "Effect" : "Allow",
      "Action" : ["elasticache:Connect"],
      "Resource" : [
        "arn:aws:elasticache:us-east-1:123456789012:serverlesscache:*"
      ],
      "Condition": {
        "DateGreaterThan": {"aws:CurrentTime": "2023-04-01T00:00:00Z"},
        "DateLessThan": {"aws:CurrentTime": "2023-06-30T23:59:59Z"}
      }
    },
    {
      "Effect" : "Allow",
      "Action" : ["elasticache:Connect"],
      "Resource" : [
        "arn:aws:elasticache:us-east-1:123456789012:user:*"
      ]
    }
  ]
}