Especificação de condições: uso de chaves de condição Políticas de exemplo: uso de condições para controle de acesso refinado

Uso de chaves de condição

Você pode especificar as condições que determinam como uma política do IAM entra em vigor. Em ElastiCache, você pode usar o Condition elemento de uma política JSON para comparar chaves no contexto da solicitação com valores de chave que você especifica em sua política. Para obter mais informações, consulte Elementos da política JSON do IAM: condição.

Para ver uma lista de chaves de ElastiCache condição, consulte Chaves de condição da Amazon ElastiCache na Referência de autorização de serviço.

Para obter uma lista de todas as chaves de condição globais, consulte Chaves de contexto de condição global da AWS.

Usando ElastiCache com chaves de condição AWS globais

Ao usar chaves de condição AWS globais que exigem ElastiCache o Principal, use uma OR condição com os dois Principais: elasticache.amazonaws.com e. ec.amazonaws.com

nota

Se você não adicionar os dois Diretores ElastiCache, a ação pretendida de “Permitir” ou “Negar” não será aplicada corretamente para nenhum recurso listado em sua política.

Exemplo de política com chave de condição aws:CalledVia global:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:*", 
      "Resource": "*",
      "Condition": {
        "ForAnyValue:StringLike": {
          "aws:CalledVia": [
            "ec.amazonaws.com",
            "elasticache.amazonaws.com"
          ]
        }
      }
    }
  ]
}

Especificação de condições: uso de chaves de condição

Para implementar um controle refinado, grave uma política de permissões do IAM que especifique condições para controlar um conjunto de parâmetros individuais em determinadas solicitações. Em seguida, aplique a política aos usuários, grupos ou funções do IAM que você criar usando o console do IAM.

Para aplicar uma condição, adicione as informações da condição à declaração de política do IAM. No exemplo a seguir, você especifica a condição de que qualquer cluster de cache autoprojetado criado será do tipo de nó cache.r5.large.

nota

Para criar Condition elementos usando chaves de condição do String tipo, use os operadores de condição que não diferenciam maiúsculas de minúsculas StringEqualsIgnoreCase ou StringNotEqualsIgnoreCase compare uma chave com um valor de string.
ElastiCache processa os argumentos de entrada para CacheNodeType e sem CacheParameterGroupName distinção entre maiúsculas e minúsculas. Por esse motivo, a string condiciona os operadores StringEqualsIgnoreCase e StringNotEqualsIgnoreCase deve ser usada nas políticas de permissões que fazem referência a eles.

O exemplo a seguir mostra um exemplo dessa política de permissões ao usar o Valkey ou o Redis OSS.

A seguir, mostramos um exemplo dessa política de permissões ao usar o Memcached.

Para obter mais informações, consulte Marcando seus recursos ElastiCache .

Para obter mais informações sobre a utilização de operadores de condição de política, consulte ElastiCache Permissões de API: referência de ações, recursos e condições.

Políticas de exemplo: uso de condições para controle de acesso refinado

Esta seção mostra exemplos de políticas para implementar um controle de acesso refinado nos parâmetros listados anteriormente. ElastiCache

elasticacheMaximumDataStorage: especifique o armazenamento máximo de dados de um cache sem servidor. Usando as condições fornecidas, o cliente não pode criar caches que possam armazenar mais do que uma quantidade específica de dados.

elastiCache:Maximum ECPUPer Second: especifique o valor máximo de ECPU por segundo de um cache sem servidor. Usando as condições fornecidas, o cliente não pode criar caches que possam executar mais do que um número específico de ECPUs por segundo.

elasticacheCacheNodeType: Especifique quais NodeType (is) um usuário pode criar. Usando as condições fornecidas, o cliente pode especificar um valor único ou um intervalo para um tipo de nó.

elasticache:CacheNodeType: Com o Memcached, especifique quais NodeType (is) um usuário pode criar. Usando as condições fornecidas, o cliente pode especificar um valor único ou um intervalo para um tipo de nó.

elasticache:NumNodeGroups: Crie um grupo de replicação com menos de 20 grupos de nós.

elasticacheReplicasPerNodeGroup: especifique as réplicas por nó entre 5 e 10.

elasticache:EngineVersion: Especifique o uso da versão 5.0.6 do mecanismo.

elasticacheEngineVersion: Especifique o uso do mecanismo Memcached versão 1.6.6

elasticacheEngineType: especifique usando somente um mecanismo OSS Valkey ou Redis.

elasticacheAtRestEncryptionEnabled: especifique que os grupos de replicação seriam criados somente com a criptografia ativada.

dor elástica: TransitEncryptionEnabled

Defina a chave de elasticache:TransitEncryptionEnabled condição false para a CreateReplicationGroupação para especificar que os grupos de replicação só podem ser criados quando o TLS não está sendo usado:

Quando a chave de elasticache:TransitEncryptionEnabled condição é definida false em uma política para a CreateReplicationGroupação, uma CreateReplicationGroup solicitação só será permitida se o TLS não estiver sendo usado (ou seja, se a solicitação não incluir um TransitEncryptionEnabled parâmetro definido como true ou um TransitEncryptionMode parâmetro definido como). required

Defina a chave de elasticache:TransitEncryptionEnabled condição true para que a CreateReplicationGroupação especifique que grupos de replicação só podem ser criados quando o TLS está sendo usado:

Quando a chave de elasticache:TransitEncryptionEnabled condição é definida true em uma política para a CreateReplicationGroupação, uma CreateReplicationGroup solicitação só será permitida se a solicitação incluir um TransitEncryptionEnabled parâmetro definido como true e um TransitEncryptionMode parâmetro definido comorequired.

Defina elasticache:TransitEncryptionEnabled como true para a ação ModifyReplicationGroup a fim de especificar que os grupos de replicação só podem ser modificados quando o TLS está sendo usado:
JSON
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticache:ModifyReplicationGroup" ], "Resource": [ "arn:aws:elasticache:*:*:replicationgroup:*" ], "Condition": { "BoolIfExists": { "elasticache:TransitEncryptionEnabled": "true" } } } ] }
Quando a chave de elasticache:TransitEncryptionEnabled condição é definida true em uma política para a ModifyReplicationGroupação, uma ModifyReplicationGroup solicitação só será permitida se a solicitação incluir um TransitEncryptionMode parâmetro definido comorequired. Opcionalmente, o parâmetro TransitEncryptionEnabled definido como true também pode ser incluído, mas não é necessário nesse caso para habilitar o TLS.

elasticacheAutomaticFailoverEnabled: especifique que os grupos de replicação seriam criados somente com o failover automático ativado.

elastiCache:multi AZEnabled: especifique que grupos de replicação não podem ser criados com o Multi-AZ desativado.

elasticacheClusterModeEnabled: especifique que grupos de replicação só podem ser criados com o modo de cluster ativado.

elasticacheAuthTokenEnabled: especifique que os grupos de replicação só podem ser criados com o token AUTH ativado.

elasticacheSnapshotRetentionLimit: especifique o número de dias (ou mínimo/máximo) para manter o instantâneo. A política abaixo impõe o armazenamento de backups por pelo menos 30 dias.

elasticacheKmsKeyId: especifique o uso de chaves AWS KMS gerenciadas pelo cliente.

elasticacheCacheParameterGroupName: especifique um grupo de parâmetros não padrão com parâmetros específicos de uma organização em seus clusters. Você também pode especificar um padrão de nomenclatura para seus grupos de parâmetros ou exclusão de blocos em um nome de grupo de parâmetros específico. A seguir está um exemplo que restringe o uso de apenas "my-org-param-group”.

elasticache:CacheParameterGroupName: Com o Memcached, especifique um grupo de parâmetros não padrão com parâmetros específicos de uma organização em seus clusters. Você também pode especificar um padrão de nomenclatura para seus grupos de parâmetros ou exclusão de blocos em um nome de grupo de parâmetros específico. A seguir está um exemplo que restringe o uso de apenas "my-org-param-group”.

elasticache:CreateCacheCluster: Negar a CreateCacheCluster ação se a tag de solicitação Project estiver ausente ou não for igual aDev, ou. QA Prod

elasticache:CacheNodeType: Permitindo CreateCacheCluster com cacheNodeType cache.r5.large ou cache.r6g.4xlarge e tag. Project=XYZ

nota

Ao criar políticas para impor tags e outras chaves de condição juntas, o IfExists condicional pode ser necessário na condição de elementos-chave devido aos requisitos extras de política elasticache:AddTagsToResource para solicitações de criação com o parâmetro --tags.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Permissões em nível de recurso

Uso de perfis vinculadas ao serviço