Esempio 1: consentire a un utente l'accesso completo a tipi di risorse MemoryDB specifici Esempio 2: negare a un utente l'accesso a un cluster.

Autorizzazioni a livello di risorsa

È possibile limitare l'ambito delle autorizzazioni specificando le risorse in una politica. IAM Molte AWS CLI API azioni supportano un tipo di risorsa che varia a seconda del comportamento dell'azione. Ogni dichiarazione IAM politica concede l'autorizzazione a un'azione eseguita su una risorsa. Quando l'operazione non agisce su una risorsa designata oppure quando concedi l'autorizzazione per eseguire l'operazione su tutte le risorse, il valore della risorsa nella policy è un carattere jolly (*). Per molte API azioni, puoi limitare le risorse che un utente può modificare specificando l'Amazon Resource Name (ARN) di una risorsa o uno ARN schema che corrisponda a più risorse. Per limitare le autorizzazioni per risorsa, specifica la risorsa per. ARN

Formato delle risorse MemoryDB ARN

Nota

Affinché le autorizzazioni a livello di risorsa siano efficaci, il nome della risorsa sulla stringa deve essere minuscolo. ARN

Utente — arn:aws:memorydb:us-east-1:123456789012: utente/utente1
ACL— arn:aws:memorydb:us-east-1:123456789012:acl/mio-acl
Cluster — arn:aws:memorydb:us-east-1:123456789012:cluster/my-cluster
Istantanea — arn:aws:memorydb:us-east-1:123456789012:snapshot/my-snapshot
Gruppo di parametri — arn:aws:memorydb:us-east-1:123456789012: gruppo di parametri/my-parameter-group
Gruppo di sottoreti — arn:aws:memorydb:us-east-1:123456789012: gruppo di sottoreti/my-subnet-group

Esempi

Esempio 1: consentire a un utente l'accesso completo a tipi di risorse MemoryDB specifici
Esempio 2: negare a un utente l'accesso a un cluster.

Esempio 1: consentire a un utente l'accesso completo a tipi di risorse MemoryDB specifici

La seguente politica consente esplicitamente l'accesso account-id completo specificato a tutte le risorse di tipo gruppo di sottorete, gruppo di sicurezza e cluster.


{
        "Sid": "Example1",
        "Effect": "Allow",
        "Action": "memorydb:*",
        "Resource": [
             "arn:aws:memorydb:us-east-1:account-id:subnetgroup/*",
             "arn:aws:memorydb:us-east-1:account-id:securitygroup/*",
             "arn:aws:memorydb:us-east-1:account-id:cluster/*"
        ]
}

Esempio 2: negare a un utente l'accesso a un cluster.

L'esempio seguente nega esplicitamente l'account-idaccesso specificato a un particolare cluster.


{
        "Sid": "Example2",
        "Effect": "Deny",
        "Action": "memorydb:*",
        "Resource": [
                "arn:aws:memorydb:us-east-1:account-id:cluster/name"
        ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Utilizzo di politiche (politiche) basate sull'identità IAM

Utilizzo di ruoli collegati ai servizi