Berechtigungen auf Ressourcenebene

Sie können den Umfang der Berechtigungen einschränken, indem Sie Ressourcen in einer IAM-Richtlinie festlegen. Viele ElastiCache-API-Aktionen unterstützen einen Ressourcentyp, der je nach Verhalten der Aktion variiert. Jede IAM-Richtlinienanweisung erteilt die Berechtigung für eine Aktion, die auf eine Ressource ausgeführt wird. Wenn die Aktion nicht auf eine benannte Ressource wirkt oder wenn Sie die Erlaubnis erteilen, die Aktion auf allen Ressourcen durchzuführen, ist der Wert der Ressource in der Richtlinie ein Platzhalter (*). Für viele API-Aktionen können Sie die Ressourcen einschränken, die ein Benutzer ändern kann. Hierzu geben Sie den Amazon-Ressourcennamen (ARN) einer Ressource oder ein ARN-Muster an, das mehreren Ressourcen entspricht. Zum Einschränken von Berechtigungen nach Ressource bestimmen Sie die Ressource unter Angabe des ARN.

Eine Liste von ElastiCache-Ressourcentypen und deren ARNs finden Sie unter Von Amazon ElastiCache definierte Ressourcen in der Referenz zur Serviceautorisierung. Informationen zu den Aktionen, mit denen Sie den ARN einzelner Ressourcen angeben können, finden Sie unter Von Amazon ElastiCache definierte Aktionen.

Beispiel 1: Erlauben Sie einem Benutzer vollen Zugriff auf bestimmte ElastiCache-Ressourcentypen

Die folgende Richtlinie erlaubt explizit alle Ressourcen vom Typ Serverless-Cache.

{
        "Sid": "Example1",
        "Effect": "Allow",
        "Action": "elasticache:*",
        "Resource": [
             "arn:aws:elasticache:us-east-1:account-id:serverlesscache:*"
        ]
}

Beispiel 2: Verweigern Sie einem Benutzer den Zugriff auf einen Serverless-Cache.

Im folgenden Beispiel wird der Zugriff auf einen bestimmten Serverless-Cache explizit verweigert.

{
        "Sid": "Example2",
        "Effect": "Deny",
        "Action": "elasticache:*",
        "Resource": [
            "arn:aws:elasticache:us-east-1:account-id:serverlesscache:name"
        ]
}