リソースレベルのアクセス許可

IAM ポリシーでリソースを指定することで、アクセス許可の範囲を制限できます。多くの AWS CLI API アクションは、アクションの動作に応じて異なるリソースタイプをサポートします。各 IAM ポリシーステートメントによって、リソースで実行されるアクションに対するアクセス許可が付与されます。アクションが名前の付いたリソースで動作しない場合、またはすべてのリソースに対してアクションを実行するアクセス許可を付与した場合、ポリシー内のリソースの値はワイルドカード (*) になります。多くの API アクションでは、リソースの Amazon リソースネーム (ARN)、または複数のリソースに一致する ARN パターンを指定することによって、ユーザーが変更できるリソースを制限できます。リソース別にアクセス許可を制限するには、ARN 別にリソースを指定します。

MemoryDB リソース ARN フォーマット

注記

リソースレベルのアクセス許可を有効にするには、ARN 文字列のリソース名を小文字にする必要があります。

• ユーザー – arn:aws:memorydb:us-east-1:123456789012:user/user1

• ACL – arn:aws:memorydb:us-east-1:123456789012:acl/my-acl

• クラスター – arn:aws:memorydb:us-east-1:123456789012:cluster/my-cluster

• スナップショット – arn:aws:memorydb:us-east-1:123456789012:snapshot/my-snapshot

• パラメータグループ – arn:aws:memorydb:us-east-1:123456789012:parametergroup/my-parameter-group

• サブネットグループ – arn:aws:memorydb:us-east-1:123456789012:subnetgroup/my-subnet-group

例 1: 特定の MemoryDB リソースタイプへのフルアクセスをユーザーに許可する

次のポリシーでは、サブネットグループ、セキュリティグループ、クラスターのすべてのリソースへの指定された account-id フルアクセスを明示的に許可します。

{
        "Sid": "Example1",
        "Effect": "Allow",
        "Action": "memorydb:*",
        "Resource": [
             "arn:aws:memorydb:us-east-1:account-id:subnetgroup/*",
             "arn:aws:memorydb:us-east-1:account-id:securitygroup/*",
             "arn:aws:memorydb:us-east-1:account-id:cluster/*"
        ]
}

例 2: クラスターへのユーザーアクセスを拒否する。

次の例では、特定のクラスターへの指定された account-id アクセスを明示的に拒否します。

{
        "Sid": "Example2",
        "Effect": "Deny",
        "Action": "memorydb:*",
        "Resource": [
                "arn:aws:memorydb:us-east-1:account-id:cluster/name"
        ]
}