Ejemplo 1: Permitir a un usuario obtener acceso completo a tipos de recursos de MemoryDB específicos Ejemplo 2: Denegarle a un usuario el acceso a un clúster.

Permisos de nivel de recursos

Puede restringir el alcance de los permisos de un usuario mediante la especificación de recursos en una política de IAM. Muchas acciones de la AWS CLI API admiten un tipo de recurso que varía en función del comportamiento de la acción. Cada instrucción de una política de IAM concede permiso para realizar una acción en un recurso. Cuando la acción no actúa sobre un recurso nombrado, o cuando se concede permiso para realizar la acción sobre todos los recursos, el valor del recurso en la política es un comodín (*). Para muchas acciones de API, puede restringir los recursos que un usuario puede modificar si especifica el nombre de recurso de Amazon (ARN) de un recurso o un patrón de ARN que coincida con varios recursos. Para restringir los permisos por recurso, especifique el recurso por ARN.

Formato ARN de recursos de MemoryDB

nota

Para que los permisos de nivel de recursos sean efectivos, el nombre del recurso en la cadena de ARN debe estar en minúsculas.

Usuario: arn:aws:memorydb:us-east-1:123456789012:user/user1
ACL: arn:aws:memorydb:us-east-1:123456789012:acl/my-acl
Clúster: arn:aws:memorydb:us-east-1:123456789012:cluster/my-cluster
Instantánea: arn:aws:memorydb:us-east-1:123456789012:snapshot/my-snapshot
Grupo de parámetros — arn:aws:memorydb: us-east- 1:123456789012:parametergroup/ my-parameter-group
Grupo de subredes — arn:aws:memorydb: us-east- 1:123456789012:subnetgroup/ my-subnet-group

Ejemplos

Ejemplo 1: Permitir a un usuario obtener acceso completo a tipos de recursos de MemoryDB específicos
Ejemplo 2: Denegarle a un usuario el acceso a un clúster.

Ejemplo 1: Permitir a un usuario obtener acceso completo a tipos de recursos de MemoryDB específicos

La siguiente política permite de forma explícita el acceso completo del account-id especificado a todos los recursos de tipo grupo de subredes, grupo de seguridad y clúster.


{
        "Sid": "Example1",
        "Effect": "Allow",
        "Action": "memorydb:*",
        "Resource": [
             "arn:aws:memorydb:us-east-1:account-id:subnetgroup/*",
             "arn:aws:memorydb:us-east-1:account-id:securitygroup/*",
             "arn:aws:memorydb:us-east-1:account-id:cluster/*"
        ]
}

Ejemplo 2: Denegarle a un usuario el acceso a un clúster.

En el siguiente ejemplo se deniega de forma explícita el acceso del account-id especificado a un determinado clúster.


{
        "Sid": "Example2",
        "Effect": "Deny",
        "Action": "memorydb:*",
        "Resource": [
                "arn:aws:memorydb:us-east-1:account-id:cluster/name"
        ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Uso de políticas basadas en identidades (políticas de IAM)

Usar roles vinculados a servicios