Berechtigungen auf Ressourcenebene - Amazon MemoryDB

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Berechtigungen auf Ressourcenebene

Sie können den Umfang der Berechtigungen einschränken, indem Sie Ressourcen in einer IAM-Richtlinie festlegen. Viele AWS CLI API-Aktionen unterstützen einen Ressourcentyp, der je nach Verhalten der Aktion variiert. Jede IAM-Richtlinienanweisung erteilt die Berechtigung für eine Aktion, die auf eine Ressource ausgeführt wird. Wenn die Aktion nicht auf eine benannte Ressource wirkt oder wenn Sie die Erlaubnis erteilen, die Aktion auf allen Ressourcen durchzuführen, ist der Wert der Ressource in der Richtlinie ein Platzhalter (*). Für viele API-Aktionen können Sie die Ressourcen einschränken, die ein Benutzer ändern kann. Hierzu geben Sie den Amazon-Ressourcennamen (ARN) einer Ressource oder ein ARN-Muster an, das mehreren Ressourcen entspricht. Zum Einschränken von Berechtigungen nach Ressource bestimmen Sie die Ressource unter Angabe des ARN.

ARN-Format für MemoryDB-Ressourcen

Anmerkung

Damit Berechtigungen auf Ressourcenebene wirksam sind, sollte der Ressourcenname in der ARN-Zeichenfolge in Kleinbuchstaben geschrieben werden.

  • Benutzer — arn:aws:memorydb: us-east- 1:123456789012:user/user1

  • ACL — arn:aws:memorydb: us-east-1:123456789012:acl/my-acl

  • Cluster — arn:aws:memorydb: us-east- 1:123456789012:cluster/mein-cluster

  • Schnappschuss — arn:aws:memorydb: us-east- 1:123456789012:snapshot/mein-snapshot

  • Parametergruppe — arn:aws:memorydb: us-east- 1:123456789012:parametergroup/ my-parameter-group

  • Subnetzgruppe — arn:aws:memorydb: us-east- 1:123456789012:subnetgroup/ my-subnet-group

Beispiel 1: Erlauben Sie einem Benutzer vollen Zugriff auf bestimmte MemoryDB-Ressourcentypen

Die folgende Richtlinie erlaubt ausdrücklich den angegebenen account-id Vollzugriff auf alle Ressourcen vom Typ Subnetzgruppe, Sicherheitsgruppe und Cluster.

{ "Sid": "Example1", "Effect": "Allow", "Action": "memorydb:*", "Resource": [ "arn:aws:memorydb:us-east-1:account-id:subnetgroup/*", "arn:aws:memorydb:us-east-1:account-id:securitygroup/*", "arn:aws:memorydb:us-east-1:account-id:cluster/*" ] }

Beispiel 2: Verweigern Sie einem Benutzer den Zugriff auf einen Cluster.

Im folgenden Beispiel wird der angegebene account-id Zugriff auf einen bestimmten Cluster explizit verweigert.

{ "Sid": "Example2", "Effect": "Deny", "Action": "memorydb:*", "Resource": [ "arn:aws:memorydb:us-east-1:account-id:cluster/name" ] }