发布于: Aug 12, 2020

Amazon ElastiCache 现在可使您将权限分配给 AWS IAM 策略中的特定资源。您现在可以将 IAM 委托人权限分配给某个或某些特定的 ElastiCache 资源。此次发布之前,Amazon ElastiCache 不支持资源级权限;客户只能将权限分配给某个给定操作的所有资源。此次发布后,您可以在 IAM 策略中进行精细调整,并允许对特定 ElastiCache 资源的访问。例如,您可以允许您组织中的管理员创建 ElastiCache 生产集群,并限制其他委托人修改这些特定集群。这样一来,您可以灵活地满足您的企业安全和合规性标准。

此次发布后,ElastiCache 资源公开了 Amazon 资源名称 (ARN)。ARN 现在可在 AWS 控制台的 ElastiCache 部分中查看。它们可用于确定策略应用到的一个资源或很多资源。例如,us-east-2 区域中账户 ID 123456789012 的所有 ElastiCache 资源都带有“arn:aws:elasticache:us-east-2:123456789012:*” 标识。然后,可以编写策略,以允许或拒绝资源上的特定操作。下面的策略允许在 us-east-1 中对子网组、安全组和复制组执行所有的 ElastiCache 操作。 

{
    "Sid": "policy1",
    "Effect": "Allow",
    "Action": "elasticache:*",
    "Resource": [
        "arn:aws:elasticache:us-east-1:123456789012:subnetgroup:*",
        "arn:aws:elasticache:us-east-1:123456789012:securitygroup:*",
        "arn:aws:elasticache:us-east-1:123456789012:replicationgroup:*"
    ]
}

可以在 AWS 控制台的 IAM 部分中或者使用文本编辑器以可视化方式创建策略,可以在 AWS 控制台、AWS CLI 中或者使用 AWS 开发工具包应用策略。 

资源级权限策略已在所有的商业 AWS 区域推出。要了解有关 IAM 策略的更多信息,请单击此处。要了解有关 Amazon ElastiCache 身份和访问管理的更多信息,请单击此处。要开始使用 Amazon ElastiCache,请登录 AWS 管理控制台。