Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Izin tingkat sumber daya
Anda dapat membatasi cakupan izin dengan menentukan sumber daya dalam kebijakan. IAM Banyak AWS CLI API tindakan mendukung jenis sumber daya yang bervariasi tergantung pada perilaku tindakan. Setiap pernyataan IAM kebijakan memberikan izin untuk tindakan yang dilakukan pada sumber daya. Saat tindakan tersebut tidak dilakukan pada sumber daya yang disebutkan, atau saat Anda memberikan izin untuk melakukan tindakan pada semua sumber daya, maka nilai sumber daya dalam kebijakan tersebut adalah wildcard (*). Untuk banyak API tindakan, Anda dapat membatasi sumber daya yang dapat dimodifikasi pengguna dengan menentukan Amazon Resource Name (ARN) sumber daya, atau ARN pola yang cocok dengan beberapa sumber daya. Untuk membatasi izin berdasarkan sumber daya, tentukan sumber daya dengan. ARN
Format Sumber Daya MemoryDB ARN
catatan
Agar izin tingkat sumber daya efektif, nama sumber daya pada ARN string harus huruf kecil.
Pengguna - arn:aws:memorydb:
us-east-1:123456789012
:pengguna/pengguna1ACL— arn:aws:memorydb:
us-east-1:123456789012
:acl/my-aclCluster — arn:aws:memorydb:
us-east-1:123456789012
:cluster/cluster sayaSnapshot - arn:aws:memorydb:
us-east-1:123456789012
:snapshot/snapshot sayaKelompok parameter — arn:aws:memorydb:
us-east-1:123456789012
:parametergroup/ my-parameter-groupGrup subnet - arn:aws:memorydb:
us-east-1:123456789012
:subnetgroup/ my-subnet-group
Contoh
Contoh 1: Izinkan pengguna akses penuh ke jenis sumber daya MemoryDB tertentu
Kebijakan berikut secara eksplisit memungkinkan akses account-id
penuh yang ditentukan ke semua sumber daya grup subnet tipe, grup keamanan, dan klaster.
{ "Sid": "Example1", "Effect": "Allow", "Action": "memorydb:*", "Resource": [ "arn:aws:memorydb:us-east-1:
account-id
:subnetgroup/*", "arn:aws:memorydb:us-east-1:account-id
:securitygroup/*", "arn:aws:memorydb:us-east-1:account-id
:cluster/*" ] }
Contoh 2: Tolak akses pengguna ke cluster.
Contoh berikut secara eksplisit menyangkal account-id
akses yang ditentukan ke cluster tertentu.
{ "Sid": "Example2", "Effect": "Deny", "Action": "memorydb:*", "Resource": [ "arn:aws:memorydb:us-east-1:
account-id
:cluster/name
" ] }