本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
資源層級許可
您可以透過在IAM策略中指定資源來限制權限範圍。許多 AWS CLI API動作支援視動作行為而有所不同的資源類型。每個IAM原則陳述式都會授與對資源執行動作的權限。當動作沒有作用於具名資源,或是當您授予對所有資源執行動作的許可,政策中資源的值是萬用字元 (*)。對於許多API動作,您可以透過指定資源的 Amazon 資源名稱 (ARN) 或符合多個資源的ARN模式來限制使用者可以修改的資源。若要依資源限制權限,請依據指定資源ARN。
記憶體資源格式 ARN
注意
若要使資源層級權限生效,ARN字串上的資源名稱應為小寫。
用戶-ARN:AW:內存數據庫:
us-east-1:123456789012
:用戶/用戶 1ACL— ARN: AW: 記憶體資料庫:
us-east-1:123456789012
:空中/我的十字架集群-ARN:AW:內存數據庫:
us-east-1:123456789012
:集群/我的集群快照-ARN:AW:內存數據庫:
us-east-1:123456789012
:快照/我的快照參數組-ARN:AW:內存數據庫:
us-east-1:123456789012
:參數組/my-parameter-group子網路群組 — ARN: AW: 記憶體資料庫:
us-east-1:123456789012
: 子網群組/my-subnet-group
範例 1:允許使用者完整存取特定 MemoryDB 資源類型
下列原則明確允許指定account-id
完整存取子網路群組、安全群組和叢集類型的所有資源。
{ "Sid": "Example1", "Effect": "Allow", "Action": "memorydb:*", "Resource": [ "arn:aws:memorydb:us-east-1:
account-id
:subnetgroup/*", "arn:aws:memorydb:us-east-1:account-id
:securitygroup/*", "arn:aws:memorydb:us-east-1:account-id
:cluster/*" ] }
範例 2:拒絕使用者存取叢集。
下列範例明確拒絕特定叢集的指定account-id
存取權。
{ "Sid": "Example2", "Effect": "Deny", "Action": "memorydb:*", "Resource": [ "arn:aws:memorydb:us-east-1:
account-id
:cluster/name
" ] }