Exemple 1 : accorder à un utilisateur un accès complet à des types de ressources MemoryDB spécifiques Exemple 2 : refuser à un utilisateur l'accès à un cluster.

Autorisations de niveau ressource

Vous pouvez limiter l'étendue des autorisations en spécifiant les ressources dans une IAM politique. De nombreuses AWS CLI API actions prennent en charge un type de ressource qui varie en fonction du comportement de l'action. Chaque déclaration de IAM politique autorise une action exécutée sur une ressource. Lorsque l'action n'agit pas sur une ressource nommée, ou lorsque vous accordez l'autorisation d'effectuer l'action sur toutes les ressources, la valeur de la ressource de la politique est un caractère générique (*). Pour de nombreuses API actions, vous pouvez restreindre les ressources qu'un utilisateur peut modifier en spécifiant le nom de ressource Amazon (ARN) d'une ressource ou en utilisant un ARN modèle correspondant à plusieurs ressources. Pour restreindre les autorisations par ressource, spécifiez la ressource parARN.

Format de ressource MemoryDB ARN

Note

Pour que les autorisations au niveau des ressources soient effectives, le nom de la ressource sur la ARN chaîne doit être en minuscules.

Utilisateur — arn:aws:memorydb :us-east-1:123456789012:utilisateur/utilisateur1
ACL— arn:aws:memorydb :us-east-1:123456789012:acl/my-acl
Cluster — arn:aws:memorydb :us-east-1:123456789012:cluster/mon-cluster
Instantané — arn:aws:memorydb :us-east-1:123456789012:snapshot/mon-instantané
Groupe de paramètres — arn:aws:memorydb :us-east-1:123456789012:groupe de paramètres/ my-parameter-group
Groupe de sous-réseaux — arn:aws:memorydb :us-east-1:123456789012:groupe de sous-réseaux/ my-subnet-group

Exemples

Exemple 1 : accorder à un utilisateur un accès complet à des types de ressources MemoryDB spécifiques
Exemple 2 : refuser à un utilisateur l'accès à un cluster.

Exemple 1 : accorder à un utilisateur un accès complet à des types de ressources MemoryDB spécifiques

La politique suivante autorise explicitement l'accès account-id complet spécifié à toutes les ressources de type groupe de sous-réseaux, groupe de sécurité et cluster.


{
        "Sid": "Example1",
        "Effect": "Allow",
        "Action": "memorydb:*",
        "Resource": [
             "arn:aws:memorydb:us-east-1:account-id:subnetgroup/*",
             "arn:aws:memorydb:us-east-1:account-id:securitygroup/*",
             "arn:aws:memorydb:us-east-1:account-id:cluster/*"
        ]
}

Exemple 2 : refuser à un utilisateur l'accès à un cluster.

L'exemple suivant refuse explicitement l'account-idaccès spécifié à un cluster particulier.


{
        "Sid": "Example2",
        "Effect": "Deny",
        "Action": "memorydb:*",
        "Resource": [
                "arn:aws:memorydb:us-east-1:account-id:cluster/name"
        ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Utilisation de politiques basées sur l'identité (politiques) IAM

Utilisation des rôles liés à un service