Amazon ElastiCache 的操作、资源和条件键 - 服务授权参考
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon ElastiCache 的操作、资源和条件键

Amazon ElastiCache(服务前缀:elasticache)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

Amazon ElastiCache 定义的操作

您可以在 IAM 策略语句的 Action 元素中指定以下操作。可以使用策略授予在 Amazon 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。通过在 IAM policy 中使用条件来筛选访问权限,以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限,则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。

操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。

注意

资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。

有关下表中各列的详细信息,请参阅操作表

注意

在 IAM 中创建 ElastiCache 策略时,您必须在资源数据块中使用“*”通配符。有关在 IAM policy 中使用以下 ElastiCache API 操作的信息,请参阅 Amazon ElastiCache 用户指南 中的 ElastiCache 操作和 IAM

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
AddTagsToResource 授予权限以将标签添加到 ElastiCache 资源中 Tagging

cluster

parametergroup

replicationgroup

reserved-instance

securitygroup

serverlesscache

serverlesscachesnapshot

snapshot

subnetgroup

user

usergroup

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

AuthorizeCacheSecurityGroupIngress 授予权限以授权 ElastiCache 安全组上的 EC2 安全组 Write

securitygroup*

ec2:AuthorizeSecurityGroupIngress

aws:ResourceTag/${TagKey}

BatchApplyUpdateAction 授予权限以将 ElastiCache 服务更新应用于集群集和复制组 Write

cluster

ec2:CreateNetworkInterface

ec2:DeleteNetworkInterface

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

s3:GetObject

replicationgroup

aws:ResourceTag/${TagKey}

BatchStopUpdateAction 授予权限以阻止 ElastiCache 服务更新在一组集群上执行 Write

cluster

replicationgroup

aws:ResourceTag/${TagKey}

CompleteMigration 授予权限以完成数据从 Amazon EC2 上托管的 Redis 到 ElastiCache 的在线迁移 写入

cluster

replicationgroup

aws:ResourceTag/${TagKey}

Connect 授予以指定 ElastiCache 用户身份连接到 ElastiCache 复制组或 ElastiCache 无服务器缓存的权限 写入

user*

replicationgroup

serverlesscache

aws:ResourceTag/${TagKey}

CopyServerlessCacheSnapshot 授予复制现有无服务器缓存快照的权限 写入

serverlesscachesnapshot*

aws:ResourceTag/${TagKey}

elasticache:KmsKeyId

elasticache:AddTagsToResource

aws:RequestTag/${TagKey}

aws:TagKeys

CopySnapshot 授予权限以复制现有快照 Write

snapshot*

elasticache:AddTagsToResource

s3:DeleteObject

s3:GetBucketAcl

s3:PutObject

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

aws:TagKeys

elasticache:KmsKeyId

CreateCacheCluster 授予权限以创建缓存集群 Write

parametergroup*

ec2:CreateNetworkInterface

ec2:DeleteNetworkInterface

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

elasticache:AddTagsToResource

s3:GetObject

cluster

aws:RequestTag/${TagKey}

aws:TagKeys

elasticache:CacheNodeType

elasticache:EngineVersion

elasticache:EngineType

elasticache:MultiAZEnabled

elasticache:AuthTokenEnabled

elasticache:SnapshotRetentionLimit

elasticache:CacheParameterGroupName

replicationgroup

elasticache:CacheNodeType

elasticache:EngineVersion

elasticache:EngineType

elasticache:MultiAZEnabled

elasticache:AuthTokenEnabled

elasticache:SnapshotRetentionLimit

elasticache:CacheParameterGroupName

securitygroup

snapshot

subnetgroup

aws:ResourceTag/${TagKey}

CreateCacheParameterGroup 授予权限以创建参数组 Write

parametergroup*

elasticache:AddTagsToResource

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

aws:TagKeys

elasticache:CacheParameterGroupName

CreateCacheSecurityGroup 授予权限以创建缓存安全组 Write

securitygroup*

elasticache:AddTagsToResource

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

aws:TagKeys

CreateCacheSubnetGroup 授予权限以创建缓存子网组 Write

subnetgroup*

elasticache:AddTagsToResource

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

aws:TagKeys

CreateGlobalReplicationGroup 授予权限以创建全局复制组 Write

globalreplicationgroup*

replicationgroup*

aws:ResourceTag/${TagKey}

CreateReplicationGroup 授予权限以创建复制组 写入

parametergroup*

ec2:CreateNetworkInterface

ec2:DeleteNetworkInterface

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

elasticache:AddTagsToResource

s3:GetObject

cluster

globalreplicationgroup

elasticache:NumNodeGroups

elasticache:CacheNodeType

elasticache:ReplicasPerNodeGroup

elasticache:EngineVersion

elasticache:EngineType

elasticache:AtRestEncryptionEnabled

elasticache:TransitEncryptionEnabled

elasticache:AutomaticFailoverEnabled

elasticache:MultiAZEnabled

elasticache:ClusterModeEnabled

elasticache:AuthTokenEnabled

elasticache:SnapshotRetentionLimit

elasticache:KmsKeyId

elasticache:CacheParameterGroupName

replicationgroup

aws:RequestTag/${TagKey}

aws:TagKeys

elasticache:NumNodeGroups

elasticache:CacheNodeType

elasticache:ReplicasPerNodeGroup

elasticache:EngineVersion

elasticache:EngineType

elasticache:AtRestEncryptionEnabled

elasticache:TransitEncryptionEnabled

elasticache:AutomaticFailoverEnabled

elasticache:MultiAZEnabled

elasticache:ClusterModeEnabled

elasticache:AuthTokenEnabled

elasticache:SnapshotRetentionLimit

elasticache:KmsKeyId

elasticache:CacheParameterGroupName

securitygroup

snapshot

subnetgroup

usergroup

aws:ResourceTag/${TagKey}

CreateServerlessCache 授予创建无服务器缓存的权限 写入

serverlesscache*

aws:ResourceTag/${TagKey}

elasticache:EngineType

elasticache:EngineVersion

elasticache:SnapshotRetentionLimit

elasticache:KmsKeyId

elasticache:MaximumDataStorage

elasticache:DataStorageUnit

elasticache:MaximumECPUPerSecond

ec2:CreateTags

ec2:CreateVpcEndpoint

ec2:DeleteVpcEndpoints

ec2:DescribeSecurityGroups

ec2:DescribeSubnets

ec2:DescribeTags

ec2:DescribeVpcEndpoints

ec2:DescribeVpcs

elasticache:AddTagsToResource

s3:GetObject

serverlesscachesnapshot

aws:ResourceTag/${TagKey}

snapshot

aws:ResourceTag/${TagKey}

usergroup

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

aws:TagKeys

CreateServerlessCacheSnapshot 授予在特定时刻创建无服务器缓存副本的权限 写入

serverlesscache*

aws:ResourceTag/${TagKey}

elasticache:AddTagsToResource

serverlesscachesnapshot*

aws:ResourceTag/${TagKey}

elasticache:KmsKeyId

aws:RequestTag/${TagKey}

aws:TagKeys

CreateSnapshot 授予权限以在特定时刻及时创建整个 Redis 集群的副本 写入

snapshot*

aws:RequestTag/${TagKey}

aws:TagKeys

elasticache:KmsKeyId

elasticache:AddTagsToResource

s3:DeleteObject

s3:GetBucketAcl

s3:PutObject

cluster

replicationgroup

aws:ResourceTag/${TagKey}

CreateUser 授予权限以创建 Redis 的用户。Redis 6.0 及更高版本支持用户 写入

user*

elasticache:AddTagsToResource

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

aws:TagKeys

elasticache:UserAuthenticationMode

CreateUserGroup 授予权限以创建 Redis 的用户组。Redis 6.0 及更高版本支持组 写入

user*

elasticache:AddTagsToResource

usergroup*

aws:RequestTag/${TagKey}

aws:TagKeys

aws:ResourceTag/${TagKey}

DecreaseNodeGroupsInGlobalReplicationGroup 授予权限以减少全局复制组中节点组的数量 Write

globalreplicationgroup*

elasticache:NumNodeGroups

DecreaseReplicaCount 授予权限以减少 Redis(已禁用集群模式)复制组中的副本数量或 Redis(已启用集群模式)复制组中一个或多个节点组(分区)中的副本节点数量 Write

replicationgroup*

ec2:CreateNetworkInterface

ec2:DeleteNetworkInterface

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

aws:ResourceTag/${TagKey}

elasticache:ReplicasPerNodeGroup

DeleteCacheCluster 授予权限以删除以前预配置的集群 Write

cluster*

aws:ResourceTag/${TagKey}

ec2:CreateNetworkInterface

ec2:DeleteNetworkInterface

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

snapshot

DeleteCacheParameterGroup 授予权限以删除指定缓存参数组 Write

parametergroup*

aws:ResourceTag/${TagKey}

elasticache:CacheParameterGroupName

DeleteCacheSecurityGroup 授予权限以删除缓存安全组 Write

securitygroup*

aws:ResourceTag/${TagKey}

DeleteCacheSubnetGroup 授予权限以删除缓存子网组 Write

subnetgroup*

ec2:CreateNetworkInterface

ec2:DeleteNetworkInterface

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

aws:ResourceTag/${TagKey}

DeleteGlobalReplicationGroup 授予权限以删除现有全局复制组 Write

globalreplicationgroup*

DeleteReplicationGroup 授予权限以删除现有复制组 写入

replicationgroup*

aws:ResourceTag/${TagKey}

ec2:CreateNetworkInterface

ec2:DeleteNetworkInterface

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

snapshot

DeleteServerlessCache 授予删除无服务器缓存的权限 写入

serverlesscache*

aws:ResourceTag/${TagKey}

ec2:DescribeTags

serverlesscachesnapshot

DeleteServerlessCacheSnapshot 授予删除无服务器缓存快照的权限 写入

serverlesscachesnapshot*

aws:ResourceTag/${TagKey}

DeleteSnapshot 授予权限以删除现有快照 Write

snapshot*

aws:ResourceTag/${TagKey}

DeleteUser 授予权限以删除现有用户,从而将其从分配给它的所有用户组和复制组中删除 Write

user*

aws:ResourceTag/${TagKey}

DeleteUserGroup 授予权限以删除现有用户组 Write

usergroup*

aws:ResourceTag/${TagKey}

DescribeCacheClusters 授予权限以列出有关预置缓存集群的信息 列出

cluster*

aws:ResourceTag/${TagKey}

DescribeCacheEngineVersions 授予列出可用缓存引擎及其版本的权限 列出
DescribeCacheParameterGroups 授予权限以列出缓存参数组描述 List

parametergroup*

aws:ResourceTag/${TagKey}

DescribeCacheParameters 授予权限以检索特定缓存参数组的详细参数列表 List

parametergroup*

aws:ResourceTag/${TagKey}

DescribeCacheSecurityGroups 授予权限以列出缓存安全组描述 List

securitygroup*

aws:ResourceTag/${TagKey}

DescribeCacheSubnetGroups 授予权限以列出缓存子网组描述 List

subnetgroup*

aws:ResourceTag/${TagKey}

DescribeEngineDefaultParameters 授予权限以检索指定缓存引擎的默认引擎和系统参数信息 List
DescribeEvents 授予权限以列出与集群、缓存安全组和缓存参数组相关的事件 List
DescribeGlobalReplicationGroups 授予权限以列出有关全局复制组的信息 List

globalreplicationgroup*

DescribeReplicationGroups 授予权限以列出有关预置复制组的信息 List

replicationgroup*

aws:ResourceTag/${TagKey}

DescribeReservedCacheNodes 授予权限以列出有关购买的预留缓存节点的信息 List

reserved-instance*

aws:ResourceTag/${TagKey}

DescribeReservedCacheNodesOfferings 授予权限以获取可用的预留缓存节点产品 列出
DescribeServerlessCacheSnapshots 授予列出无服务器缓存快照信息的权限 列出

serverlesscachesnapshot*

aws:ResourceTag/${TagKey}

serverlesscache

aws:ResourceTag/${TagKey}

DescribeServerlessCaches 授予列出无服务器缓存的权限 列出

serverlesscache*

aws:ResourceTag/${TagKey}

DescribeServiceUpdates 授予权限以列出服务更新详细信息 List
DescribeSnapshots 授予权限以列出有关集群或复制组快照的信息 List

snapshot*

aws:ResourceTag/${TagKey}

DescribeUpdateActions 授予权限以列出一组集群或复制组的更新操作详细信息 List

cluster

replicationgroup

aws:ResourceTag/${TagKey}

DescribeUserGroups 授予权限以列出有关 Redis 用户组的信息 List

usergroup*

aws:ResourceTag/${TagKey}

DescribeUsers 授予权限以列出有关 Redis 用户的信息 List

user*

aws:ResourceTag/${TagKey}

DisassociateGlobalReplicationGroup 授予权限以从全局复制组中删除辅助复制组 写入

globalreplicationgroup*

ExportServerlessCacheSnapshot 授予在指定时刻将无服务器缓存副本导出到 S3 存储桶的权限 写入

serverlesscachesnapshot*

aws:ResourceTag/${TagKey}

s3:DeleteObject

s3:ListAllMyBuckets

s3:PutObject

FailoverGlobalReplicationGroup 授予权限以将主区域故障转移到全局复制组的选定辅助区域 Write

globalreplicationgroup*

IncreaseNodeGroupsInGlobalReplicationGroup 授予权限以增加全局复制组中节点组的数量 Write

globalreplicationgroup*

elasticache:NumNodeGroups

IncreaseReplicaCount 授予权限以增加 Redis(已禁用集群模式)复制组中的副本数量或 Redis(已启用集群模式)复制组中一个或多个节点组(分区)中的副本节点数量 写入

replicationgroup*

ec2:CreateNetworkInterface

ec2:DeleteNetworkInterface

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

aws:ResourceTag/${TagKey}

elasticache:ReplicasPerNodeGroup

InterruptClusterAzPower [仅权限] 授予对 ElastiCache 资源进行可用区停电测试的权限 写入

replicationgroup*

aws:ResourceTag/${TagKey}

ListAllowedNodeTypeModifications 授予权限以列出可用于扩展特定 Redis 集群或复制组的可用节点类型 List

cluster

replicationgroup

aws:ResourceTag/${TagKey}

ListTagsForResource 授予权限以列出 ElastiCache 资源的标签 Read

cluster

parametergroup

replicationgroup

reserved-instance

securitygroup

serverlesscache

serverlesscachesnapshot

snapshot

subnetgroup

user

usergroup

aws:ResourceTag/${TagKey}

ModifyCacheCluster 授予权限以修改集群的设置 Write

cluster*

elasticache:CacheNodeType

elasticache:EngineVersion

elasticache:MultiAZEnabled

elasticache:AuthTokenEnabled

elasticache:SnapshotRetentionLimit

elasticache:CacheParameterGroupName

parametergroup

securitygroup

aws:ResourceTag/${TagKey}

ModifyCacheParameterGroup 授予权限以修改缓存参数组的参数 Write

parametergroup*

aws:ResourceTag/${TagKey}

elasticache:CacheParameterGroupName

ModifyCacheSubnetGroup 授予权限以修改现有缓存子网组 Write

subnetgroup*

aws:ResourceTag/${TagKey}

ModifyGlobalReplicationGroup 授予权限以修改全局复制组的设置 Write

globalreplicationgroup*

elasticache:CacheNodeType

elasticache:EngineVersion

elasticache:AutomaticFailoverEnabled

ModifyReplicationGroup 授予权限以修改复制组的设置 Write

replicationgroup*

elasticache:CacheNodeType

elasticache:EngineVersion

elasticache:AutomaticFailoverEnabled

elasticache:MultiAZEnabled

elasticache:AuthTokenEnabled

elasticache:SnapshotRetentionLimit

elasticache:CacheParameterGroupName

elasticache:TransitEncryptionEnabled

elasticache:ClusterModeEnabled

ec2:CreateNetworkInterface

ec2:DeleteNetworkInterface

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

parametergroup

securitygroup

usergroup

aws:ResourceTag/${TagKey}

ModifyReplicationGroupShardConfiguration 授予权限以在复制组现有分区之间添加分区、删除分区或重新平衡密钥空间 写入

replicationgroup*

ec2:CreateNetworkInterface

ec2:DeleteNetworkInterface

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

aws:ResourceTag/${TagKey}

elasticache:NumNodeGroups

ModifyServerlessCache 授予修改无服务器缓存参数的权限 写入

serverlesscache*

aws:ResourceTag/${TagKey}

elasticache:EngineVersion

elasticache:SnapshotRetentionLimit

elasticache:MaximumDataStorage

elasticache:DataStorageUnit

elasticache:MaximumECPUPerSecond

ec2:DescribeSecurityGroups

ec2:DescribeTags

usergroup

aws:ResourceTag/${TagKey}

ModifyUser 授予权限以更改 Redis 用户密码和/或访问字符串 Write

user*

aws:ResourceTag/${TagKey}

elasticache:UserAuthenticationMode

ModifyUserGroup 授予权限以更改属于用户组的用户列表 Write

user*

usergroup*

aws:ResourceTag/${TagKey}

PurchaseReservedCacheNodesOffering 授予权限以购买预留缓存节点产品 Write

reserved-instance*

elasticache:AddTagsToResource

aws:ResourceTag/${TagKey}

aws:RequestTag/${TagKey}

aws:TagKeys

RebalanceSlotsInGlobalReplicationGroup 授予权限以执行密钥空间重新平衡操作,以重新分发插槽并确保在全局复制组中的现有分区之间进行密钥的统一分配 Write

globalreplicationgroup*

RebootCacheCluster 授予权限以重新启动预置缓存集群或复制组中的部分或全部缓存节点(已禁用集群模式) Write

cluster*

aws:ResourceTag/${TagKey}

RemoveTagsFromResource 授予权限以从 ElastiCache 资源中删除标签 Tagging

cluster

parametergroup

replicationgroup

reserved-instance

securitygroup

serverlesscache

serverlesscachesnapshot

snapshot

subnetgroup

user

usergroup

aws:TagKeys

aws:ResourceTag/${TagKey}

ResetCacheParameterGroup 授予权限以将缓存参数组的参数改回其默认值 Write

parametergroup*

aws:ResourceTag/${TagKey}

elasticache:CacheParameterGroupName

RevokeCacheSecurityGroupIngress 授予权限以从 ElastiCache 安全组移除 EC2 安全组传入 Write

securitygroup*

aws:ResourceTag/${TagKey}

StartMigration 授予权限以开始数据从 Amazon EC2 上托管的 Redis 到 ElastiCache for Redis 的迁移 Write

replicationgroup*

aws:ResourceTag/${TagKey}

TestFailover 授予权限以测试复制组中的指定节点组上的自动故障转移 写入

replicationgroup*

ec2:CreateNetworkInterface

ec2:DeleteNetworkInterface

ec2:DescribeNetworkInterfaces

ec2:DescribeSubnets

ec2:DescribeVpcs

aws:ResourceTag/${TagKey}

TestMigration 授予权限以测试数据从 Amazon EC2 上托管的 Redis 到 ElastiCache for Redis 的迁移 写入

replicationgroup*

aws:ResourceTag/${TagKey}

Amazon ElastiCache 定义的资源类型

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息,请参阅资源类型表

资源类型 ARN 条件键
parametergroup arn:${Partition}:elasticache:${Region}:${Account}:parametergroup:${CacheParameterGroupName}

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

elasticache:CacheParameterGroupName

securitygroup arn:${Partition}:elasticache:${Region}:${Account}:securitygroup:${CacheSecurityGroupName}

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

subnetgroup arn:${Partition}:elasticache:${Region}:${Account}:subnetgroup:${CacheSubnetGroupName}

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

replicationgroup arn:${Partition}:elasticache:${Region}:${Account}:replicationgroup:${ReplicationGroupId}

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

elasticache:AtRestEncryptionEnabled

elasticache:AuthTokenEnabled

elasticache:AutomaticFailoverEnabled

elasticache:CacheNodeType

elasticache:CacheParameterGroupName

elasticache:ClusterModeEnabled

elasticache:EngineType

elasticache:EngineVersion

elasticache:KmsKeyId

elasticache:MultiAZEnabled

elasticache:NumNodeGroups

elasticache:ReplicasPerNodeGroup

elasticache:SnapshotRetentionLimit

elasticache:TransitEncryptionEnabled

cluster arn:${Partition}:elasticache:${Region}:${Account}:cluster:${CacheClusterId}

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

elasticache:AuthTokenEnabled

elasticache:CacheNodeType

elasticache:CacheParameterGroupName

elasticache:EngineType

elasticache:EngineVersion

elasticache:MultiAZEnabled

elasticache:SnapshotRetentionLimit

reserved-instance arn:${Partition}:elasticache:${Region}:${Account}:reserved-instance:${ReservedCacheNodeId}

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

snapshot arn:${Partition}:elasticache:${Region}:${Account}:snapshot:${SnapshotName}

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

elasticache:KmsKeyId

globalreplicationgroup arn:${Partition}:elasticache::${Account}:globalreplicationgroup:${GlobalReplicationGroupId}

elasticache:AtRestEncryptionEnabled

elasticache:AuthTokenEnabled

elasticache:AutomaticFailoverEnabled

elasticache:CacheNodeType

elasticache:CacheParameterGroupName

elasticache:ClusterModeEnabled

elasticache:EngineType

elasticache:EngineVersion

elasticache:KmsKeyId

elasticache:MultiAZEnabled

elasticache:NumNodeGroups

elasticache:ReplicasPerNodeGroup

elasticache:SnapshotRetentionLimit

elasticache:TransitEncryptionEnabled

user arn:${Partition}:elasticache:${Region}:${Account}:user:${UserId}

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

elasticache:UserAuthenticationMode

usergroup arn:${Partition}:elasticache:${Region}:${Account}:usergroup:${UserGroupId}

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

serverlesscache arn:${Partition}:elasticache:${Region}:${Account}:serverlesscache:${ServerlessCacheName}

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

elasticache:DataStorageUnit

elasticache:EngineType

elasticache:EngineVersion

elasticache:KmsKeyId

elasticache:MaximumDataStorage

elasticache:MaximumECPUPerSecond

elasticache:SnapshotRetentionLimit

serverlesscachesnapshot arn:${Partition}:elasticache:${Region}:${Account}:serverlesscachesnapshot:${ServerlessCacheSnapshotName}

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

aws:TagKeys

elasticache:KmsKeyId

Amazon ElastiCache 的条件键

Amazon ElastiCache 定义以下可以在 IAM policy 的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表

要查看适用于所有服务的全局条件键,请参阅可用的全局条件键

注意

有关在 IAM policy 中使用条件以控制 ElastiCache 访问的信息,请参阅 Amazon ElastiCache 用户指南 中的 ElastiCache 键

条件键 描述 类型
aws:RequestTag/${TagKey} 根据在请求中传递的标签筛选操作 String
aws:ResourceTag/${TagKey} 根据与资源关联的标签筛选操作 String
aws:TagKeys 根据在请求中传递的标签键筛选操作 字符串数组
elasticache:AtRestEncryptionEnabled 按请求中存在的 AtRestEncryptionEnabled 参数筛选访问,如果参数不存在,则默认为 false Bool
elasticache:AuthTokenEnabled 按请求中是否存在非空 AuthToken 参数筛选访问 Bool
elasticache:AutomaticFailoverEnabled 按请求中的 AutomaticFailoverEnabled 参数筛选访问 Bool
elasticache:CacheNodeType 按请求中存在的 cacheNodeType 参数筛选访问。此密钥可用于限制在集群创建或扩展操作中使用哪些缓存节点类型 String
elasticache:CacheParameterGroupName 按请求中的 CacheParameterGroupName 参数筛选访问权限 String
elasticache:ClusterModeEnabled 按请求中存在的集群模式参数筛选访问。单节点组(分区)创建的默认值为 false 布尔型
elasticache:DataStorageUnit 按 CreateServerlessCache 和 ModifyServerlessCache 请求中的 CacheUsageLimits.DataStorage.Unit 参数筛选访问权限 String
elasticache:EngineType 按创建请求中存在的引擎类型筛选访问。对于创建复制组,如果参数不存在,则使用默认引擎“redis”作为键 String
elasticache:EngineVersion 按创建或集群修改请求中存在的 engineVersion 参数筛选访问 String
elasticache:KmsKeyId 按请求中的 KmsKeyId 参数筛选访问。 String
elasticache:MaximumDataStorage 按 CreateServerlessCache 和 ModifyServerlessCache 请求中的 CacheUsageLimits.DataStorage.Maximum 参数筛选访问权限 数值
elasticache:MaximumECPUPerSecond 按 CreateServerlessCache 和 ModifyServerlessCache 请求中的 CacheUsageLimits.ECPUPerSecond.Maximum 参数筛选访问权限 数值
elasticache:MultiAZEnabled 按 AZMode 参数、MultiAZEnabled 参数或可以放置集群或复制组的可用区的数量筛选访问 Bool
elasticache:NumNodeGroups 按请求中指定的 NumNodeGroups 或 NodeGroupCount 参数筛选访问。此密钥可用于限制创建或扩展操作后集群可以拥有的节点组(分区)的数量 数值
elasticache:ReplicasPerNodeGroup 按创建或扩展请求中指定的每个节点组(分区)的副本数筛选访问 数值
elasticache:SnapshotRetentionLimit 按请求中的 SnapshotRetentionLimit 参数筛选访问 数值
elasticache:TransitEncryptionEnabled 按请求中存在的 TransitEncryptionEnabled 参数筛选访问。在创建复制组时,如果参数不存在,则使用默认值“false”作为键 布尔型
elasticache:UserAuthenticationMode 按请求中的 UserAuthenticationMode 参数筛选访问权限 String