发布于: Aug 12, 2020
使用 Amazon ElastiCache,您现在可以通过 Amazon IAM 策略分配针对特定资源的权限。现在,您可以为 IAM 委托人分配特定 ElastiCache 资源或特定资源的权限。在此次发布之前,Amazon ElastiCache 不支持资源级别的权限;客户只能针对给定操作分配所有资源的权限。通过这次发布,您将可以细化 IAM 策略,允许访问特定的 ElastiCache资源。例如,您可以允许组织中的管理员创建生产 ElastiCache 集群,并限制其他委托人修改这些特定集群。这样比较灵活,可满足企业安全和合规性标准。
在此版本中,ElastiCache 资源公开了 Amazon 资源名称 (ARN)。现在,在 亚马逊云科技控制台的 ElastiCache 部分就可以看到 ARN。ARN 用于标识策略应用于的单个或多个资源。例如,cn-north-1 区域中账户 id 为 123456789012 的所有 ElastiCache 资源都用“arn:aws-cn:elasticache:cn-north-1:123456789012:*”来标识。然后,制定策略即可允许或拒绝针对资源的特定操作。以下策略允许对 cn-north-1 区域中的子网组、安全组和复制组执行所有 ElastiCache 操作。
{
"Sid": "policy1",
"Effect": "Allow",
"Action": "elasticache:*",
"Resource": [
"arn:aws-cn:elasticache:cn-north-1:123456789012:subnetgroup:*",
"arn:aws-cn:elasticache:cn-north-1:123456789012:securitygroup:*",
"arn:aws-cn:elasticache:cn-north-1:123456789012:replicationgroup:*"
]
}
您可以在 亚马逊云科技 控制台 的 IAM 部分或使用任何文本编辑器直观地创建策略,然后在 亚马逊云科技控制台、Amazon CLI 中或使用 Amazon 开发工具包应用策略。
资源级别的权限策略现已在所有 亚马逊云科技商业区域推出,包括由光环新网运营的 亚马逊云科技中国(北京)区域和西云数据运营的 亚马逊云科技中国(宁夏)区域。要了解有关 IAM 策略的更多信息,请单击此处。要了解有关 Amazon ElastiCache 身份和访问管理的更多信息,请单击此处。要开始使用 Amazon ElastiCache,请登录 亚马逊云科技管理控制台。