資源層級許可 - Amazon MemoryDB
範例 1:允許使用者完整存取特定 MemoryDB 資源類型範例 2:拒絕使用者存取叢集。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

資源層級許可

您可以透過在IAM策略中指定資源來限制權限範圍。許多 AWS CLI API動作支援視動作行為而有所不同的資源類型。每個IAM原則陳述式都會授與對資源執行動作的權限。當動作沒有作用於具名資源,或是當您授予對所有資源執行動作的許可,政策中資源的值是萬用字元 (*)。對於許多API動作,您可以透過指定資源的 Amazon 資源名稱 (ARN) 或符合多個資源的ARN模式來限制使用者可以修改的資源。若要依資源限制權限,請依據指定資源ARN。

記憶體資源格式 ARN

注意

若要使資源層級權限生效,ARN字串上的資源名稱應為小寫。

  • 用戶-ARN:AW:內存數據庫:us-east-1:123456789012:用戶/用戶 1

  • ACL— ARN: AW: 記憶體資料庫:us-east-1:123456789012:空中/我的十字架

  • 集群-ARN:AW:內存數據庫:us-east-1:123456789012:集群/我的集群

  • 快照-ARN:AW:內存數據庫:us-east-1:123456789012:快照/我的快照

  • 參數組-ARN:AW:內存數據庫:us-east-1:123456789012:參數組/my-parameter-group

  • 子網路群組 — ARN: AW: 記憶體資料庫:us-east-1:123456789012: 子網群組/my-subnet-group

範例 1:允許使用者完整存取特定 MemoryDB 資源類型

下列原則明確允許指定account-id完整存取子網路群組、安全群組和叢集類型的所有資源。

{
        "Sid": "Example1",
        "Effect": "Allow",
        "Action": "memorydb:*",
        "Resource": [
             "arn:aws:memorydb:us-east-1:account-id:subnetgroup/*",
             "arn:aws:memorydb:us-east-1:account-id:securitygroup/*",
             "arn:aws:memorydb:us-east-1:account-id:cluster/*"
        ]
}

範例 2:拒絕使用者存取叢集。

下列範例明確拒絕特定叢集的指定account-id存取權。

{
        "Sid": "Example2",
        "Effect": "Deny",
        "Action": "memorydb:*",
        "Resource": [
                "arn:aws:memorydb:us-east-1:account-id:cluster/name"
        ]
}