Berechtigungen auf Ressourcenebene

Sie können den Umfang der Berechtigungen einschränken, indem Sie Ressourcen in einer Richtlinie angeben. IAM Viele AWS CLI API Aktionen unterstützen einen Ressourcentyp, der je nach Verhalten der Aktion variiert. Jede IAM Richtlinienerklärung erteilt die Genehmigung für eine Aktion, die an einer Ressource ausgeführt wird. Wenn die Aktion nicht auf eine benannte Ressource wirkt oder wenn Sie die Erlaubnis erteilen, die Aktion auf allen Ressourcen durchzuführen, ist der Wert der Ressource in der Richtlinie ein Platzhalter (*). Bei vielen API Aktionen können Sie die Ressourcen einschränken, die ein Benutzer ändern kann, indem Sie den Amazon-Ressourcennamen (ARN) einer Ressource oder ein ARN Muster angeben, das mehreren Ressourcen entspricht. Um die Berechtigungen pro Ressource einzuschränken, geben Sie die Ressource nach anARN.

MemoryDB-Ressourcenformat ARN

Beispiel 1: Erlauben Sie einem Benutzer vollen Zugriff auf bestimmte MemoryDB-Ressourcentypen

Die folgende Richtlinie erlaubt ausdrücklich den angegebenen account-id Vollzugriff auf alle Ressourcen vom Typ Subnetzgruppe, Sicherheitsgruppe und Cluster.

{
        "Sid": "Example1",
        "Effect": "Allow",
        "Action": "memorydb:*",
        "Resource": [
             "arn:aws:memorydb:us-east-1:account-id:subnetgroup/*",
             "arn:aws:memorydb:us-east-1:account-id:securitygroup/*",
             "arn:aws:memorydb:us-east-1:account-id:cluster/*"
        ]
}

Beispiel 2: Verweigern Sie einem Benutzer den Zugriff auf einen Cluster.

Im folgenden Beispiel wird der angegebene account-id Zugriff auf einen bestimmten Cluster explizit verweigert.

{
        "Sid": "Example2",
        "Effect": "Deny",
        "Action": "memorydb:*",
        "Resource": [
                "arn:aws:memorydb:us-east-1:account-id:cluster/name"
        ]
}