Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Autorizzazioni a livello di risorsa
È possibile limitare la portata delle autorizzazioni specificando le risorse in una policy IAM. Molte azioni AWS CLI API supportano un tipo di risorsa che varia a seconda del comportamento dell'azione. Ogni dichiarazione di policy IAM concede l'autorizzazione a un'operazione eseguita su una risorsa. Quando l'operazione non agisce su una risorsa designata oppure quando concedi l'autorizzazione per eseguire l'operazione su tutte le risorse, il valore della risorsa nella policy è un carattere jolly (*). Per molte operazioni API è possibile limitare le risorse che un utente può modificare specificando l'Amazon Resource Name (ARN) di una risorsa o un modello ARN che soddisfa più risorse. Per limitare le autorizzazioni in base alla risorsa, specifica la risorsa in base all'ARN.
Formato ARN delle risorse MemoryDB
Nota
Affinché le autorizzazioni a livello di risorsa siano efficaci, il nome della risorsa nella stringa ARN deve essere minuscolo.
Utente — arn:aws:memorydb: us-east- 1:123456789012:user/user1
ACL — arn:aws:memorydb: us-east- 1:123456789012:acl/my-acl
Cluster — arn:aws:memorydb: us-east- 1:123456789012:cluster/my-cluster
Istantanea — arn:aws:memorydb: us-east- 1:123456789012:snapshot/my-snapshot
Gruppo di parametri — arn:aws:memorydb: us-east- 1:123456789012:parametergroup/
my-parameter-groupGruppo di sottoreti — arn:aws:memorydb: us-east- 1:123456789012:subnetgroup/
my-subnet-group
Esempi
Esempio 1: consentire a un utente l'accesso completo a tipi di risorse MemoryDB specifici
La seguente politica consente esplicitamente l'accesso account-id
completo specificato a tutte le risorse di tipo gruppo di sottorete, gruppo di sicurezza e cluster.
{ "Sid": "Example1", "Effect": "Allow", "Action": "memorydb:*", "Resource": [ "arn:aws:memorydb:us-east-1:
account-id
:subnetgroup/*", "arn:aws:memorydb:us-east-1:account-id
:securitygroup/*", "arn:aws:memorydb:us-east-1:account-id
:cluster/*" ] }
Esempio 2: negare a un utente l'accesso a un cluster.
L'esempio seguente nega esplicitamente l'account-id
accesso specificato a un particolare cluster.
{ "Sid": "Example2", "Effect": "Deny", "Action": "memorydb:*", "Resource": [ "arn:aws:memorydb:us-east-1:
account-id
:cluster/name
" ] }