Izin tingkat sumber daya - Amazon MemoryDB

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Izin tingkat sumber daya

Anda dapat membatasi cakupan izin dengan menentukan sumber daya dalam kebijakan. IAM Banyak AWS CLI API tindakan mendukung jenis sumber daya yang bervariasi tergantung pada perilaku tindakan. Setiap pernyataan IAM kebijakan memberikan izin untuk tindakan yang dilakukan pada sumber daya. Saat tindakan tersebut tidak dilakukan pada sumber daya yang disebutkan, atau saat Anda memberikan izin untuk melakukan tindakan pada semua sumber daya, maka nilai sumber daya dalam kebijakan tersebut adalah wildcard (*). Untuk banyak API tindakan, Anda dapat membatasi sumber daya yang dapat dimodifikasi pengguna dengan menentukan Amazon Resource Name (ARN) sumber daya, atau ARN pola yang cocok dengan beberapa sumber daya. Untuk membatasi izin berdasarkan sumber daya, tentukan sumber daya dengan. ARN

Format Sumber Daya MemoryDB ARN

catatan

Agar izin tingkat sumber daya efektif, nama sumber daya pada ARN string harus huruf kecil.

  • Pengguna - arn:aws:memorydb:us-east-1:123456789012:pengguna/pengguna1

  • ACL— arn:aws:memorydb:us-east-1:123456789012:acl/my-acl

  • Cluster — arn:aws:memorydb:us-east-1:123456789012:cluster/cluster saya

  • Snapshot - arn:aws:memorydb:us-east-1:123456789012:snapshot/snapshot saya

  • Kelompok parameter — arn:aws:memorydb:us-east-1:123456789012:parametergroup/ my-parameter-group

  • Grup subnet - arn:aws:memorydb:us-east-1:123456789012:subnetgroup/ my-subnet-group

Contoh 1: Izinkan pengguna akses penuh ke jenis sumber daya MemoryDB tertentu

Kebijakan berikut secara eksplisit memungkinkan akses account-id penuh yang ditentukan ke semua sumber daya grup subnet tipe, grup keamanan, dan klaster.

{ "Sid": "Example1", "Effect": "Allow", "Action": "memorydb:*", "Resource": [ "arn:aws:memorydb:us-east-1:account-id:subnetgroup/*", "arn:aws:memorydb:us-east-1:account-id:securitygroup/*", "arn:aws:memorydb:us-east-1:account-id:cluster/*" ] }

Contoh 2: Tolak akses pengguna ke cluster.

Contoh berikut secara eksplisit menyangkal account-id akses yang ditentukan ke cluster tertentu.

{ "Sid": "Example2", "Effect": "Deny", "Action": "memorydb:*", "Resource": [ "arn:aws:memorydb:us-east-1:account-id:cluster/name" ] }