Permisos de nivel de recursos

Puede restringir el alcance de los permisos especificando los recursos en una IAM política. Muchas AWS CLI API acciones admiten un tipo de recurso que varía en función del comportamiento de la acción. Cada declaración IAM de política otorga permiso a una acción que se lleve a cabo en un recurso. Cuando la acción no actúa sobre un recurso nombrado, o cuando se concede permiso para realizar la acción sobre todos los recursos, el valor del recurso en la política es un comodín (*). Para muchas API acciones, puede restringir los recursos que un usuario puede modificar especificando el nombre del recurso de Amazon (ARN) de un recurso o un ARN patrón que coincida con varios recursos. Para restringir los permisos por recurso, especifique el recurso porARN.

Formato de recursos de MemoryDB ARN

Ejemplo 1: Permitir a un usuario obtener acceso completo a tipos de recursos de MemoryDB específicos

La siguiente política permite de forma explícita el acceso completo del account-id especificado a todos los recursos de tipo grupo de subredes, grupo de seguridad y clúster.

{
        "Sid": "Example1",
        "Effect": "Allow",
        "Action": "memorydb:*",
        "Resource": [
             "arn:aws:memorydb:us-east-1:account-id:subnetgroup/*",
             "arn:aws:memorydb:us-east-1:account-id:securitygroup/*",
             "arn:aws:memorydb:us-east-1:account-id:cluster/*"
        ]
}

Ejemplo 2: Denegarle a un usuario el acceso a un clúster.

En el siguiente ejemplo se deniega de forma explícita el acceso del account-id especificado a un determinado clúster.

{
        "Sid": "Example2",
        "Effect": "Deny",
        "Action": "memorydb:*",
        "Resource": [
                "arn:aws:memorydb:us-east-1:account-id:cluster/name"
        ]
}