Specifica delle condizioni: Uso delle chiavi di condizione Policy di esempio: Utilizzo di condizioni per il controllo granulare dei parametri

Utilizzo delle chiavi di condizione

Puoi specificare le condizioni che determinano il modo in cui una policy IAM viene applicata. In ElastiCache, puoi utilizzare l'Conditionelemento di una policy JSON per confrontare le chiavi nel contesto della richiesta con i valori chiave che specifichi nella tua policy. Per ulteriori informazioni, consulta elementi della policy IAM JSON: condizione.

Per visualizzare un elenco di chiavi di ElastiCache condizione, consulta Condition Keys for Amazon ElastiCache nel Service Authorization Reference.

Per un elenco delle chiavi di condizione globali, consulta Chiavi di contesto delle condizioni globali AWS.

Utilizzo ElastiCache con AWS Global Condition Keys

Quando si utilizzano chiavi di condizione AWS globali che richiedono ElastiCache Principal, utilizzare una OR condizione con entrambi i Principal: elasticache.amazonaws.com eec.amazonaws.com.

Nota

Se non aggiungi entrambi i Principal per ElastiCache, l'azione «Consenti» o «Nega» prevista non verrà applicata correttamente per nessuna delle risorse elencate nella tua politica.

Esempio di politica con chiave di condizione aws:CalledVia globale:

Specifica delle condizioni: Uso delle chiavi di condizione

Per implementare un controllo particolareggiato, scrivi una policy relativa alle autorizzazioni IAM che specifichi le condizioni per controllare un set di singoli parametri su determinate richieste. Quindi la policy viene applicata agli utenti, ai gruppi o ai ruoli IAM creati utilizzando la console IAM.

Per applicare una condizione, aggiungere le informazioni sulla condizione all'istruzione della policy IAM. Nell'esempio seguente viene specificata la condizione secondo la quale qualsiasi cluster di cache progettato autonomamente avrà nodi di tipo cache.r5.large.

Nota

Per costruire Condition elementi utilizzando chiavi di condizione di String tipo, utilizzate gli operatori di condizione che non fanno distinzione tra maiuscole e minuscole StringEqualsIgnoreCase o StringNotEqualsIgnoreCase per confrontare una chiave con un valore di stringa.
ElastiCache elabora gli argomenti di input per CacheNodeType e senza distinzione CacheParameterGroupName tra maiuscole e minuscole. Per questo motivo, la stringa condiziona gli operatori StringEqualsIgnoreCase e StringNotEqualsIgnoreCase deve essere utilizzata nelle politiche di autorizzazione che vi fanno riferimento.

Di seguito viene illustrato un esempio di questa politica di autorizzazioni quando si utilizza Valkey o Redis OSS.

Di seguito viene mostrato un esempio di questa politica di autorizzazioni quando si utilizza Memcached.

Per ulteriori informazioni, consulta Taggare le tue risorse ElastiCache .

Per ulteriori informazioni sull'utilizzo degli operatori delle condizioni di policy, consulta ElastiCache Autorizzazioni API: riferimento ad azioni, risorse e condizioni.

Policy di esempio: Utilizzo di condizioni per il controllo granulare dei parametri

Questa sezione mostra alcuni esempi di policy per l'implementazione di un controllo granulare degli accessi sui parametri elencati in precedenza. ElastiCache

elasticache:MaximumDataStorage: Specificare la memorizzazione massima dei dati di una cache serverless. Utilizzando le condizioni fornite, il cliente non può creare cache in grado di archiviare più di una quantità specifica di dati.

elasticache:Maximum ECPUPer Second: specifica il valore massimo di ECPU al secondo di una cache serverless. Utilizzando le condizioni fornite, il cliente non può creare cache in grado di eseguire più di un numero specifico di cache al secondo. ECPUs

elasticache:CacheNodeType: Specificate quali NodeType possono essere create da un utente. Utilizzando le condizioni fornite, il cliente può specificare un valore singolo o un valore di intervallo per un tipo di nodo.

elasticache:CacheNodeType: Con Memcached, specifica quali sono le creazioni che un utente può NodeType creare. Utilizzando le condizioni fornite, il cliente può specificare un valore singolo o un valore di intervallo per un tipo di nodo.

elasticache:NumNodeGroups: Crea un gruppo di replica con meno di 20 gruppi di nodi.

elasticache:ReplicasPerNodeGroup: Specificare le repliche per nodo tra 5 e 10.

elasticache:EngineVersion: Specificare l'utilizzo della versione 5.0.6 del motore.

elasticache:EngineVersion: Specificare l'utilizzo della versione 1.6.6 del motore Memcached

elasticache:EngineType: Specificare l'utilizzo solo di un motore Valkey o Redis OSS.

elasticache:AtRestEncryptionEnabled: Specificate che i gruppi di replica verranno creati solo con la crittografia abilitata.

elasticache: TransitEncryptionEnabled

Imposta la chiave di elasticache:TransitEncryptionEnabled condizione su false per l'CreateReplicationGroupazione per specificare che i gruppi di replica possono essere creati solo quando TLS non viene utilizzato:

Quando la chiave di elasticache:TransitEncryptionEnabled condizione è impostata su false in una politica per l'CreateReplicationGroupazione, una CreateReplicationGroup richiesta sarà consentita solo se non viene utilizzato TLS (ovvero, se la richiesta non include un TransitEncryptionEnabled parametro impostato su true o un TransitEncryptionMode parametro impostato su. required

Imposta la chiave elasticache:TransitEncryptionEnabled conditon su true per l'CreateReplicationGroupazione per specificare che i gruppi di replica possono essere creati solo quando viene utilizzato TLS:

Quando la chiave di elasticache:TransitEncryptionEnabled condizione è impostata su true in una politica per l'CreateReplicationGroupazione, una CreateReplicationGroup richiesta sarà consentita solo se la richiesta include un TransitEncryptionEnabled parametro impostato su true e un TransitEncryptionMode parametro impostato su. required

Imposta elasticache:TransitEncryptionEnabled su true per l'azione ModifyReplicationGroup per specificare che i gruppi di replica possono essere modificati solo quando viene utilizzato TLS:
JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticache:ModifyReplicationGroup" ], "Resource": [ "arn:aws:elasticache:*:*:replicationgroup:*" ], "Condition": { "BoolIfExists": { "elasticache:TransitEncryptionEnabled": "true" } } } ] }
Quando la chiave di elasticache:TransitEncryptionEnabled condizione è impostata su true in una politica per l'ModifyReplicationGroupazione, una ModifyReplicationGroup richiesta sarà consentita solo se la richiesta include un TransitEncryptionMode parametro impostato surequired. Facoltativamente, è anche possibile includere il parametro TransitEncryptionEnabled impostato su true, ma in questo caso non è necessario abilitare TLS.

elasticache:AutomaticFailoverEnabled: Specificate che i gruppi di replica verranno creati solo con il failover automatico abilitato.

elasticache:multi AZEnabled: Specificate che i gruppi di replica non possono essere creati con Multi-AZ disabilitato.

elasticache:ClusterModeEnabled: Specificate che i gruppi di replica possono essere creati solo con la modalità cluster abilitata.

elasticache:AuthTokenEnabled: Specificate che i gruppi di replica possono essere creati solo con il token AUTH abilitato.

elasticache:SnapshotRetentionLimit: Specificate il numero di giorni (o min/max) per conservare l'istantanea. Di seguito la policy impone l'archiviazione dei backup per almeno 30 giorni.

elasticache:KmsKeyId: Specificate l'utilizzo delle chiavi KMS gestite dal cliente. AWS

elasticache:CacheParameterGroupName: Specificate un gruppo di parametri non predefinito con parametri specifici di un'organizzazione sui cluster. È inoltre possibile specificare un modello di denominazione per i gruppi di parametri o eliminare blocchi su un nome di gruppo di parametri specifico. Di seguito è riportato un esempio che limita l'uso del solo "». my-org-param-group

elasticache:CacheParameterGroupName: Con Memcached, specifica un gruppo di parametri non predefinito con parametri specifici di un'organizzazione sui tuoi cluster. È inoltre possibile specificare un modello di denominazione per i gruppi di parametri o eliminare blocchi su un nome di gruppo di parametri specifico. Di seguito è riportato un esempio che limita l'utilizzo del solo "». my-org-param-group

elasticache:CreateCacheCluster: Negare l'CreateCacheClusterazione se il tag di richiesta Project è mancante o non è uguale a, o. Dev QA Prod

elasticache:CacheNodeType: Consentire CreateCacheCluster con cacheNodeType cache.r5.large o cache.r6g.4xlarge e tag. Project=XYZ

elasticache:CacheNodeType: Permesso CreateCacheCluster con cacheNodeType cache.r5.large o cache.r6g.4xlarge e tag. Project=XYZ

Nota

Quando si creano policy per applicare tag e altre chiavi di condizione insieme, il condizionale IfExists può essere richiesto su elementi di condizione chiave a causa dei requisiti della policy elasticache:AddTagsToResource aggiuntivi per le richieste di creazione con il parametro --tags.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Autorizzazioni a livello di risorsa

Utilizzo di ruoli collegati ai servizi