As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Permissões em nível de recurso
Você pode restringir o escopo das permissões especificando recursos em uma política do IAM. Muitas ações de AWS CLI API oferecem suporte a um tipo de recurso que varia de acordo com o comportamento da ação. Cada instrução de política do IAM concede permissão a uma ação realizada em um recurso. Quando a ação não atua em um recurso indicado, ou quando você concede permissão para executar a ação em todos os recursos, o valor do recurso na política é um curinga (*). Para muitas ações de API, restrinja os recursos que um usuário pode modificar especificando o Amazon Resource Name (ARN – Nome de recurso da Amazon) de um recurso ou um padrão de ARN correspondente a vários recursos. Para restringir as permissões por recurso especifique o recurso por ARN.
Formato ARN do recurso MemoryDB
nota
Para que as permissões de nível de recurso sejam efetivas, o nome do recurso na string ARN deve ser minúsculo.
Usuário: arn:aws:memorydb:
us-east-1:123456789012
:user/user1ACL: arn:aws:memorydb:
us-east-1:123456789012
:acl/my-aclCluster: arn:aws:memorydb:
us-east-1:123456789012
:cluster/my-clusterSnapshot: arn:aws:memorydb:
us-east-1:123456789012
:snapshot/my-snapshotGrupo de parâmetros — arn:aws:memorydb: us-east- 1:123456789012:parametergroup/
my-parameter-groupGrupo de sub-redes — arn:aws:memorydb: us-east- 1:123456789012:subnetgroup/
my-subnet-group
Exemplos
Exemplo 1: permitir que um usuário tenha acesso total a tipos de recurso específicos do MemoryDB
A seguinte política permite explicitamente o acesso total da account-id
especificada a todos os recursos do tipo grupo de sub-redes, grupo de segurança e cluster.
{ "Sid": "Example1", "Effect": "Allow", "Action": "memorydb:*", "Resource": [ "arn:aws:memorydb:us-east-1:
account-id
:subnetgroup/*", "arn:aws:memorydb:us-east-1:account-id
:securitygroup/*", "arn:aws:memorydb:us-east-1:account-id
:cluster/*" ] }
Exemplo 2: negar a um usuário o acesso a um cluster.
O exemplo a seguir nega explicitamente o acesso especificado da account-id
a um determinado cluster.
{ "Sid": "Example2", "Effect": "Deny", "Action": "memorydb:*", "Resource": [ "arn:aws:memorydb:us-east-1:
account-id
:cluster/name
" ] }