As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Visão geral do gerenciamento de permissões de acesso aos recursos do MemoryDB
Cada AWS recurso pertence a uma AWS conta, e as permissões para criar ou acessar um recurso são regidas por políticas de permissões. Um administrador de conta pode anexar políticas de permissões a identidades do IAM (ou seja, usuários, grupos e funções). Além disso, o MemoryDB também oferece suporte à anexação de políticas de permissões aos recursos.
**nota**
Um *administrador da conta* (ou usuário administrador) é um usuário com privilégios de administrador. Para obter mais informações, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
+ Usuários e grupos em Centro de Identidade do AWS IAM:
Crie um conjunto de permissões. Siga as instruções em [Criação de um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
+ Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em [Criando um perfil para um provedor de identidades de terceiros (federação)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do Usuário do IAM*.
+ Usuários do IAM:
+ Crie um perfil que seu usuário possa assumir. Siga as instruções em [Criação de um perfil para um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*.
+ (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em [Adição de permissões a um usuário (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
**Topics**
+ [Recursos e operações do MemoryDB](#iam.overview.resourcesandoperations)
+ [Informações sobre propriedade de recursos](#access-control-resource-ownership)
+ [Gerenciar acesso aos recursos da](#iam.overview.managingaccess)
+ [Usar políticas baseadas em identidade (políticas do IAM) para o MemoryDB](iam.identitybasedpolicies.md)
+ [Permissões em nível de recurso](iam.resourcelevelpermissions.md)
+ [Usar perfis vinculados ao serviço para o MemoryDB](using-service-linked-roles.md)
+ [AWS políticas gerenciadas para MemoryDB](security-iam-awsmanpol.md)
+ [Permissões da API do MemoryDB: referência de condições, recursos e ações](iam.APIReference.md)
## Recursos e operações do MemoryDB
No MemoryDB, o recurso primário é um *cluster*.
Esses recursos têm nomes de recursos exclusivos da Amazon (ARNs) associados a eles, conforme mostrado a seguir.
**nota**
Para que as permissões de nível de recurso sejam efetivas, o nome do recurso na string ARN deve ser minúsculo.
****
| Tipo de atributo | Formato ARN |
| --- | --- |
| Usuário | arn:aws:memorydb ::usuário/usuário1 {{us-east-1:123456789012}} |
| Lista de controle de acesso (ACL) | arn: aws:memorydb ::acl/myacl {{us-east-1:123456789012}} |
| Cluster | arn: aws:memorydb ::cluster/my-cluster {{us-east-1:123456789012}} |
| Instantâneo | arn:aws:memorydb ::snapshot/my-snapshot {{us-east-1:123456789012}} |
| Grupo de parâmetros | arn: aws:memorydb ::grupo de parâmetros/{{us-east-1:123456789012}}my-parameter-group |
| Grupo de sub-redes | arn: aws:memorydb ::subnetgroup/ {{us-east-1:123456789012}} my-subnet-group |
O MemoryDB fornece um conjunto de operações para trabalhar com recursos do MemoryDB. Para conferir uma lista das operações disponíveis, consulte [Actions](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_Operations.html) do MemoryDB.
## Informações sobre propriedade de recursos
*O proprietário do recurso* é a AWS conta que criou o recurso. Ou seja, o proprietário do recurso é a AWS conta da entidade principal que autentica a solicitação que cria o recurso. Uma *entidade principal* pode ser a conta raiz, um usuário do IAM ou uma perfil do IAM. Os seguintes exemplos mostram como isso funciona:
+ Suponha que você use as credenciais da conta raiz da sua AWS conta para criar um cluster. Nesse caso, sua AWS conta é a proprietária do recurso. No MemoryDB, o recurso é o cluster.
+ Suponha que você crie um usuário do IAM em sua AWS conta e conceda permissões para criar um cluster para esse usuário. Nesse caso, o usuário pode criar um cluster. No entanto, sua AWS conta, à qual o usuário pertence, é proprietária do recurso de cluster.
+ Suponha que você crie uma função do IAM em sua AWS conta com permissões para criar um cluster. Nesse caso, qualquer pessoa que possa assumir a função poderá criar um cluster. Sua AWS conta, à qual a função pertence, é proprietária do recurso de cluster.
## Gerenciar acesso aos recursos da
Uma *política de permissões* descreve quem tem acesso a quê. A seção a seguir explica as opções disponíveis para a criação de políticas de permissões.
**nota**
Esta seção discute o uso do IAM no contexto do MemoryDB. Não são fornecidas informações detalhadas sobre o serviço IAM. Para obter a documentação completa do IAM, consulte [O que é o IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) no *Guia do usuário do IAM*. Para obter mais informações sobre a sintaxe e as descrições da política do IAM, consulte a [Referência de políticas do AWS IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) no *Guia do usuário do IAM*.
As políticas anexadas a uma identidade do IAM são conhecidas como políticas *baseadas em identidade* (políticas do IAM). As políticas anexadas a um recurso são chamadas de *políticas baseadas em recursos*.
**Topics**
+ [Políticas baseadas em identidade (políticas do IAM)](#iam.overview.managingaccess.identitybasedpolicies)
+ [Especificar elementos da política: ações, efeitos, recursos e entidades principais](#iam.overview.policyelements)
+ [Especificar condições em uma política](#iam.specifyconditions)
### Políticas baseadas em identidade (políticas do IAM)
É possível anexar políticas a identidades do IAM. Por exemplo, você pode fazer o seguinte:
+ **Anexar uma política de permissões a um usuário ou grupo na sua conta**: um administrador de conta pode usar uma política de permissões associada a determinado usuário para conceder permissões. Nesse caso, as permissões são para o usuário criar um recurso do MemoryDB, como um cluster, um grupo de parâmetros ou um grupo de segurança.
+ **Anexar uma política de permissões a uma função**: você pode anexar uma política de permissões baseada em identidade a um perfil do IAM para conceder permissões entre contas. Por exemplo, o administrador na Conta A pode criar uma função para conceder permissões entre contas a outra AWS conta (por exemplo, Conta B) ou a um AWS serviço da seguinte forma:
1. Um administrador da Conta A cria uma função do IAM e anexa uma política de permissões à função que concede permissões em recursos da Conta A.
1. Um administrador da Conta A anexa uma política de confiança à função identificando a Conta B como a entidade principal, que pode assumir a função.
1. O administrador da Conta B pode então delegar permissões para assumir a função a qualquer usuário na Conta B. Isso permite que os usuários da Conta B criem ou acessem recursos na Conta A. Em alguns casos, talvez você queira conceder permissões a um AWS serviço para assumir a função. Para oferecer suporte a essa abordagem, o principal da política de confiança também pode ser um principal de serviço da AWS .
Para obter mais informações sobre o uso do IAM para delegar permissões, consulte [Gerenciamento de acesso](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) no *Guia do usuário do IAM*.
Veja a seguir um exemplo de política que permite que um usuário execute a `DescribeClusters` ação AWS em sua conta. O MemoryDB também suporta a identificação de recursos específicos usando o recurso ARNs para ações de API. Essa abordagem também é chamada de permissões no nível do recurso.
Para obter mais informações sobre como usar políticas baseadas em identidade com o MemoryDB, consulte [Usar políticas baseadas em identidade (políticas do IAM) para o MemoryDB](iam.identitybasedpolicies.md). Para obter mais informações sobre usuários, grupos, funções e permissões, consulte [Identidades (usuários, grupos e funções)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) no *Guia do usuário do IAM*.
### Especificar elementos da política: ações, efeitos, recursos e entidades principais
Para cada recurso do MemoryDB (consulte [Recursos e operações do MemoryDB](#iam.overview.resourcesandoperations)), o serviço define um conjunto de operações de API (consulte [Actions](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_Operations.html)). Para conceder permissões a essas operações da API, o MemoryDB define um conjunto de ações que podem ser especificadas em uma política. Por exemplo, para o recurso de cluster do MemoryDB, as seguintes ações são definidas: `CreateCluster`, `DeleteCluster`, e `DescribeClusters`. A execução de uma operação de API pode exigir permissões para mais de uma ação.
Estes são os elementos de política mais básicos:
+ **Recurso**: em uma política, você usa um Amazon Resource Name (ARN – Nome do recurso da Amazon) para identificar o recurso a que a política se aplica. Para obter mais informações, consulte [Recursos e operações do MemoryDB](#iam.overview.resourcesandoperations).
+ **Ação**: você usa palavras-chave de ação para identificar operações de recursos que deseja permitir ou negar. Por exemplo, dependendo do `Effect` especificado, a permissão `memorydb:CreateCluster` permite ou nega as permissões do usuário para executar a operação `CreateCluster` no MemoryDB.
+ **Efeito**: você especifica o efeito quando o usuário solicita a ação específica, que pode ser permitir ou negar. Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar acesso explicitamente a um recurso. Por exemplo, você poderia fazer isso para garantir que um usuário não possa acessar o recurso, mesmo se uma política diferente conceder o acesso.
+ **Entidade principal**: em políticas baseadas em identidade (políticas do IAM), o usuário ao qual a política é anexada é a entidade principal implícita. Para as políticas baseadas em recursos, você especifica quais usuários, contas, serviços ou outras entidades deseja que recebam permissões (isso se aplica somente a políticas baseadas em recursos).
Para saber mais sobre a sintaxe e as descrições de políticas do IAM, consulte a [Referência de políticas do AWS IAM da ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) no *Guia do usuário do IAM*.
Para conferir uma tabela que mostra todas as ações de API do MemoryDB, consulte [Permissões da API do MemoryDB: referência de condições, recursos e ações](iam.APIReference.md).
### Especificar condições em uma política
Ao conceder permissões, você pode usar a linguagem da política do IAM para especificar as condições de quando uma política deverá entrar em vigor. Por exemplo, é recomendável aplicar uma política somente após uma data específica. Para obter mais informações sobre como especificar condições em uma linguagem de política, consulte [Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Condition) no *Guia do usuário do IAM*.