Contoh 1: Izinkan pengguna akses penuh ke jenis sumber daya MemoryDB tertentu Contoh 2: Tolak akses pengguna ke cluster.

Izin tingkat sumber daya

Anda dapat membatasi cakupan izin dengan menentukan sumber daya dalam kebijakan IAM. Banyak tindakan AWS CLI API mendukung jenis sumber daya yang bervariasi tergantung pada perilaku tindakan. Setiap pernyataan kebijakan IAM memberikan izin untuk tindakan yang dilakukan pada sumber daya. Saat tindakan tersebut tidak dilakukan pada sumber daya yang disebutkan, atau saat Anda memberikan izin untuk melakukan tindakan pada semua sumber daya, maka nilai sumber daya dalam kebijakan tersebut adalah wildcard (*). Untuk banyak tindakan API, Anda dapat membatasi sumber daya yang dapat diubah oleh pengguna dengan menentukan Amazon Resource Name (ARN) sumber daya tersebut, atau pola ARN yang cocok dengan beberapa sumber daya. Untuk membatasi izin berdasarkan sumber daya, tentukan sumber daya berdasarkan ARN.

Format ARN Sumber Daya MemoryDB

catatan

Agar izin di tingkat sumber daya menjadi efektif, nama sumber daya pada string ARN harus huruf kecil.

Pengguna - arn:aws:memorydb: us-timur- 1:123456789012: pengguna/pengguna1
ACL — arn:aws:memorydb: us-timur- 1:123456789012: acl/my-acl
Cluster — arn:aws:memorydb: us-timur- 1:123456789012: cluster/my-cluster
Snapshot — arn:aws:memorydb: us-timur- 1:123456789012: snapshot/snapshot saya
Kelompok parameter - arn:aws:memorydb: us-timur- 1:123456789012: parametergroup/my-parameter-group
Grup subnet - arn:aws:memorydb: us-timur- 1:123456789012: subnetgroup/my-subnet-group

Contoh

Contoh 1: Izinkan pengguna akses penuh ke jenis sumber daya MemoryDB tertentu
Contoh 2: Tolak akses pengguna ke cluster.

Contoh 1: Izinkan pengguna akses penuh ke jenis sumber daya MemoryDB tertentu

Kebijakan berikut secara eksplisit memungkinkan akses account-id penuh yang ditentukan ke semua sumber daya grup subnet tipe, grup keamanan, dan klaster.


{
        "Sid": "Example1",
        "Effect": "Allow",
        "Action": "memorydb:*",
        "Resource": [
             "arn:aws:memorydb:us-east-1:account-id:subnetgroup/*",
             "arn:aws:memorydb:us-east-1:account-id:securitygroup/*",
             "arn:aws:memorydb:us-east-1:account-id:cluster/*"
        ]
}

Contoh 2: Tolak akses pengguna ke cluster.

Contoh berikut secara eksplisit menyangkal account-id akses yang ditentukan ke cluster tertentu.


{
        "Sid": "Example2",
        "Effect": "Deny",
        "Action": "memorydb:*",
        "Resource": [
                "arn:aws:memorydb:us-east-1:account-id:cluster/name"
        ]
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Menggunakan kebijakan berbasis identitas (kebijakan IAM)

Menggunakan Peran Terkait Layanan