As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usando políticas baseadas em identidade (políticas do IAM) para a Amazon ElastiCache
Este tópico fornece exemplos de políticas baseadas em identidade em que um administrador de conta pode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e funções).
Importante
Recomendamos que você leia primeiro os tópicos que explicam os conceitos básicos e as opções para gerenciar o acesso aos ElastiCache recursos da Amazon. Para obter mais informações, consulte Visão geral do gerenciamento de permissões de acesso aos seus ElastiCache recursos.
As seções neste tópico abrangem o seguinte:
A seguir é mostrado um exemplo de política de permissões ao usar o Redis OSS.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowClusterPermissions", "Effect": "Allow", "Action": [ "elasticache:CreateServerlessCache", "elasticache:CreateCacheCluster", "elasticache:DescribeServerlessCaches", "elasticache:DescribeReplicationGroups", "elasticache:DescribeCacheClusters", "elasticache:ModifyServerlessCache", "elasticache:ModifyReplicationGroup", "elasticache:ModifyCacheCluster" ], "Resource": "*" }, { "Sid": "AllowUserToPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::123456789012:role/EC2-roles-for-cluster" } ] }
A seguir, é mostrado um exemplo de política de permissões ao usar o Memcached.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AllowClusterPermissions", "Effect": "Allow", "Action": [ "elasticache:CreateServerlessCache", "elasticache:CreateCacheCluster", "elasticache:DescribeServerlessCaches", "elasticache:DescribeCacheClusters", "elasticache:ModifyServerlessCache", "elasticache:ModifyCacheCluster" ], "Resource": "*" }, { "Sid": "AllowUserToPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::123456789012:role/EC2-roles-for-cluster" } ] }
A política tem duas instruções:
-
A primeira declaração concede permissões para as ElastiCache ações da Amazon (
elasticache:Create*,elasticache:Describe*,elasticache:Modify*) -
A segunda instrução concede permissões para a ação do IAM (
iam:PassRole) no nome da função do IAM especificado no final do valorResource.
A política não especifica o elemento Principal porque, em uma política baseada em identidade, a entidade principal que obtém as permissões não é especificada. Quando você anexar uma política um usuário, o usuário será a entidade principal implícita. Quando você anexa uma política de permissões a um perfil do IAM, o principal identificado na política de confiança do perfil obtém as permissões.
Para ver uma tabela mostrando todas as ações de ElastiCache API da Amazon e os recursos aos quais elas se aplicam, consulteElastiCache Permissões de API: referência de ações, recursos e condições.
Exemplos de política gerenciada pelo cliente
Se você não estiver usando uma política padrão e optar por usar uma política gerenciada personalizada, realize uma destas ações: Você deve ter permissões para chamar iam:createServiceLinkedRole (para obter mais informações, consulte Exemplo 4: permitir que um usuário chame a CreateServiceLinkedRole API IAM). Ou você deveria ter criado uma função ElastiCache vinculada ao serviço.
Quando combinadas com as permissões mínimas necessárias para usar o ElastiCache console da Amazon, as políticas de exemplo nesta seção concedem permissões adicionais. Os exemplos também são relevantes para o AWS SDKs e AWS CLI o.
Para obter instruções sobre como configurar usuários e grupos do IAM, consulte Criação do seu primeiro usuário do IAM e grupo de administradores no Guia do usuário do IAM.
Importante
Sempre teste suas políticas do IAM completamente antes de usá-las em produção. Algumas ElastiCache ações que parecem simples podem exigir outras ações para apoiá-las quando você estiver usando o ElastiCache console. Por exemplo, elasticache:CreateCacheCluster concede permissões para criar clusters de cache do ElastiCache . No entanto, para realizar essa operação, o ElastiCache console usa várias List ações Describe para preencher as listas do console.
Exemplos
Exemplo 1: permitir que um usuário tenha acesso somente de leitura aos recursos ElastiCache
Exemplo 2: Permitir que um usuário execute tarefas comuns de administrador do ElastiCache sistema
Exemplo 3: permitir que um usuário acesse todas as ações ElastiCache da API
Exemplo 4: permitir que um usuário chame a CreateServiceLinkedRole API IAM
Exemplo 5: permitir que um usuário se conecte ao cache sem servidor usando a autenticação do IAM
Exemplo 1: permitir que um usuário tenha acesso somente de leitura aos recursos ElastiCache
A política a seguir concede ElastiCache ações de permissões que permitem ao usuário listar recursos. Normalmente, você anexa esse tipo de política de permissões a um grupo de gerentes.
{ "Version": "2012-10-17", "Statement":[{ "Sid": "ECReadOnly", "Effect":"Allow", "Action": [ "elasticache:Describe*", "elasticache:List*"], "Resource":"*" } ] }
Exemplo 2: Permitir que um usuário execute tarefas comuns de administrador do ElastiCache sistema
Entre as tarefas do administrador do sistema comuns estão a modificação de recursos. Um administrador do sistema também pode querer obter informações sobre eventos do ElastiCache . A política a seguir concede permissões ao usuário para realizar ElastiCache ações para essas tarefas comuns do administrador do sistema. Normalmente, você anexa esse tipo de política de permissões ao grupo de administradores do sistema.
{ "Version": "2012-10-17", "Statement":[{ "Sid": "ECAllowMutations", "Effect":"Allow", "Action":[ "elasticache:Modify*", "elasticache:Describe*", "elasticache:ResetCacheParameterGroup" ], "Resource":"*" } ] }
Exemplo 3: permitir que um usuário acesse todas as ações ElastiCache da API
A política a seguir permite que um usuário acesse todas as ElastiCache ações. Recomendamos que você conceda esse tipo de política de permissões apenas a um usuário administrador.
{ "Version": "2012-10-17", "Statement":[{ "Sid": "ECAllowAll", "Effect":"Allow", "Action":[ "elasticache:*" ], "Resource":"*" } ] }
Exemplo 4: permitir que um usuário chame a CreateServiceLinkedRole API IAM
A política a seguir permite que o usuário chame a API CreateServiceLinkedRole do IAM. Recomendamos que você conceda esse tipo de política de permissões ao usuário que invoca operações ElastiCache mutativas.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"CreateSLRAllows", "Effect":"Allow", "Action":[ "iam:CreateServiceLinkedRole" ], "Resource":"*", "Condition":{ "StringLike":{ "iam:AWS ServiceName":"elasticache.amazonaws.com" } } } ] }
Exemplo 5: permitir que um usuário se conecte ao cache sem servidor usando a autenticação do IAM
A política a seguir permite que qualquer usuário se conecte a qualquer cache sem servidor usando a autenticação do IAM entre 2023-04-01 e 2023-06-30.
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" : ["elasticache:Connect"], "Resource" : [ "arn:aws:elasticache:us-east-1:123456789012:serverlesscache:*" ], "Condition": { "DateGreaterThan": {"aws:CurrentTime": "2023-04-01T00:00:00Z"}, "DateLessThan": {"aws:CurrentTime": "2023-06-30T23:59:59Z"} } }, { "Effect" : "Allow", "Action" : ["elasticache:Connect"], "Resource" : [ "arn:aws:elasticache:us-east-1:123456789012:user:*" ] } ] }
