리소스 수준 권한

IAM 정책에 리소스를 지정하여 권한의 범위를 제한할 수 있습니다. 많은 AWS CLI API 작업은 작업의 동작에 따라 달라지는 리소스 유형을 지원합니다. 각 IAM 정책 구문은 리소스에 대해 수행되는 작업에 대한 권한을 부여합니다. 지명된 리소스에서 이루어지는 작업이 아니거나 모든 리소스에 대해 그 작업을 수행할 수 있도록 권한을 부여하는 경우, 정책에서 해당 리소스의 값은 와일드카드(*)가 됩니다. 대부분의 API 작업에서는 리소스의 Amazon 리소스 이름(ARN) 또는 복수의 리소스에 맞는 ARN 패턴을 지정함으로써 사용자 수정이 가능한 리소스를 제한할 수 있습니다. 리소스별 권한을 제한하려면 ARN으로 리소스를 지정하세요.

MemoryDB 리소스 ARN 포맷

참고

리소스 수준 권한이 유효하려면 ARN 문자열의 리소스 이름이 소문자여야 합니다.

• 사용자 - arn:aws:memorydb:us-east-1:123456789012:user/user1

• ACL – arn:aws:memorydb:us-east-1:123456789012:acl/my-acl

• 클러스터 – arn:aws:memorydb:us-east-1:123456789012:cluster/my-cluster

• 스냅샷 – arn:aws:memorydb:us-east-1:123456789012:snapshot/my-snapshot

• 파라미터 그룹 — arn:aws:memorydb: us-east- 1:123456789012:파라미터 그룹/ my-parameter-group

• 서브넷 그룹 — arn:aws:memorydb: us-east- 1:123456789012:서브넷 그룹/ my-subnet-group

예제 1: 사용자에게 특정 MemoryDB 리소스 유형에 대한 모든 액세스 권한 허용

다음 정책은 서브넷 그룹, 보안 그룹 및 클러스터 유형의 모든 리소스에 대해 지정된 account-id 전체 액세스를 명시적으로 허용합니다.

{
        "Sid": "Example1",
        "Effect": "Allow",
        "Action": "memorydb:*",
        "Resource": [
             "arn:aws:memorydb:us-east-1:account-id:subnetgroup/*",
             "arn:aws:memorydb:us-east-1:account-id:securitygroup/*",
             "arn:aws:memorydb:us-east-1:account-id:cluster/*"
        ]
}

예 2: 클러스터에 대한 사용자 액세스 거부

다음 예제에서는 특정 클러스터에 대한 지정된 account-id 액세스를 명시적으로 거부합니다.

{
        "Sid": "Example2",
        "Effect": "Deny",
        "Action": "memorydb:*",
        "Resource": [
                "arn:aws:memorydb:us-east-1:account-id:cluster/name"
        ]
}