Esempio 1: consentire a un utente l'accesso completo a tipi di risorse MemoryDB specifici Esempio 2: negare a un utente l'accesso a un cluster.

Autorizzazioni a livello di risorsa

È possibile limitare la portata delle autorizzazioni specificando le risorse in una policy IAM. Molte azioni AWS CLI API supportano un tipo di risorsa che varia a seconda del comportamento dell'azione. Ogni dichiarazione di policy IAM concede l'autorizzazione a un'operazione eseguita su una risorsa. Quando l'operazione non agisce su una risorsa designata oppure quando concedi l'autorizzazione per eseguire l'operazione su tutte le risorse, il valore della risorsa nella policy è un carattere jolly (*). Per molte operazioni API è possibile limitare le risorse che un utente può modificare specificando l'Amazon Resource Name (ARN) di una risorsa o un modello ARN che soddisfa più risorse. Per limitare le autorizzazioni in base alla risorsa, specifica la risorsa in base all'ARN.

Formato ARN delle risorse MemoryDB

Nota

Affinché le autorizzazioni a livello di risorsa siano efficaci, il nome della risorsa nella stringa ARN deve essere minuscolo.

Utente — arn:aws:memorydb: us-east- 1:123456789012:user/user1
ACL — arn:aws:memorydb: us-east- 1:123456789012:acl/my-acl
Cluster — arn:aws:memorydb: us-east- 1:123456789012:cluster/my-cluster
Istantanea — arn:aws:memorydb: us-east- 1:123456789012:snapshot/my-snapshot
Gruppo di parametri — arn:aws:memorydb: us-east- 1:123456789012:parametergroup/ my-parameter-group
Gruppo di sottoreti — arn:aws:memorydb: us-east- 1:123456789012:subnetgroup/ my-subnet-group

Esempi

Esempio 1: consentire a un utente l'accesso completo a tipi di risorse MemoryDB specifici
Esempio 2: negare a un utente l'accesso a un cluster.

Esempio 1: consentire a un utente l'accesso completo a tipi di risorse MemoryDB specifici

La seguente politica consente esplicitamente l'accesso account-id completo specificato a tutte le risorse di tipo gruppo di sottorete, gruppo di sicurezza e cluster.


{
        "Sid": "Example1",
        "Effect": "Allow",
        "Action": "memorydb:*",
        "Resource": [
             "arn:aws:memorydb:us-east-1:account-id:subnetgroup/*",
             "arn:aws:memorydb:us-east-1:account-id:securitygroup/*",
             "arn:aws:memorydb:us-east-1:account-id:cluster/*"
        ]
}

Esempio 2: negare a un utente l'accesso a un cluster.

L'esempio seguente nega esplicitamente l'account-idaccesso specificato a un particolare cluster.


{
        "Sid": "Example2",
        "Effect": "Deny",
        "Action": "memorydb:*",
        "Resource": [
                "arn:aws:memorydb:us-east-1:account-id:cluster/name"
        ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Utilizzo di policy basate su identità (policy IAM)

Utilizzo di ruoli collegati ai servizi