選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶

管理 MemoryDB 資源存取許可的概觀

PDF
RSS
焦點模式
管理 MemoryDB 資源存取許可的概觀 - Amazon MemoryDB
MemoryDB 資源和操作了解資源所有權管理 資源的存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

每個 AWS 資源都由 AWS 帳戶擁有,而建立或存取資源的許可受許可政策的約束。帳戶管理員可以將許可政策連接到 IAM 身分 (即使用者、群組和角色)。此外,MemoryDB 也支援將許可政策連接至 資源。

注意

帳戶管理員 (或管理員使用者) 是具有管理員權限的使用者。如需詳細資訊,請參《IAM 使用者指南》中的 IAM 最佳實務

若要提供存取權,請新增權限至您的使用者、群組或角色:

  • 中的使用者和群組 AWS IAM Identity Center:

    建立權限合集。請按照 AWS IAM Identity Center 使用者指南 中的 建立權限合集 說明進行操作。

  • 透過身分提供者在 IAM 中管理的使用者:

    建立聯合身分的角色。遵循「IAM 使用者指南」的為第三方身分提供者 (聯合) 建立角色中的指示。

  • IAM 使用者:

主題

MemoryDB 資源和操作

在 MemoryDB 中,主要資源是叢集

這些資源各與唯一的 Amazon 資源名稱 (ARN) 相關聯,如下表所示。

注意

若要讓資源層級許可生效,ARN 字串上的資源名稱應為小寫。

資源類型 ARN 格式

使用者

arn:aws:memorydb:us-east-1:123456789012:user/user1

存取控制清單 (ACL)

arn:aws:memorydb:us-east-1:123456789012:acl/myacl

叢集

arn:aws:memorydb:us-east-1:123456789012:cluster/my-cluster

快照

arn:aws:memorydb:us-east-1:123456789012:snapshot/my-snapshot

參數群組

arn:aws:memorydb:us-east-1:123456789012:parametergroup/my-parameter-group

子網路群組

arn:aws:memorydb:us-east-1:123456789012:subnetgroup/my-subnet-group

MemoryDB 提供一組操作來使用 MemoryDB 資源。如需可用操作的清單,請參閱 MemoryDB 動作

了解資源所有權

資源擁有者是建立資源 AWS 的帳戶。也就是說,資源擁有者是驗證建立資源之請求的主體實體 AWS 帳戶。主體實體可以是根帳戶、IAM 使用者或 IAM 角色。下列範例說明其如何運作:

  • 假設您使用 AWS 帳戶的根帳戶登入資料來建立叢集。在這種情況下, AWS 您的帳戶是 資源的擁有者。在 MemoryDB 中,資源是叢集。

  • 假設您在 AWS 帳戶中建立 IAM 使用者,並將建立叢集的許可授予該使用者。在這種情況下,使用者可以建立叢集。不過,使用者所屬 AWS 的帳戶擁有叢集資源。

  • 假設您在 AWS 帳戶中建立具有建立叢集許可的 IAM 角色。在這種情況下,任何可以擔任該角色的人都可以建立叢集。您的 AWS 帳戶屬於該角色,擁有叢集資源。

管理 資源的存取

許可政策描述誰可以存取哪些資源。下一節說明可用來建立許可政策的選項。

注意

本節討論在 MemoryDB 內容中使用 IAM。它不提供 IAM 服務的詳細資訊。如需完整的 IAM 文件,請參閱IAM 使用者指南中的什麼是 IAM。如需有關 IAM 政策語法和說明的資訊,請參閱IAM 使用者指南中的 AWS IAM 政策參考

連接到 IAM 身分的政策稱為身分類型政策 (IAM 政策)。連接到資源的政策稱為資源型政策。

身分類型政策 (IAM 政策)

您可以將政策連接到 IAM 身分。例如,您可以執行下列動作:

  • 將許可政策連接至帳戶中的使用者或群組 - 帳戶管理員能夠透過與特定使用者相關聯的許可政策來授予許可。在此情況下,該使用者可建立 MemoryDB 資源的許可,例如叢集、參數群組或安全群組。

  • 將許可政策連接至角色 (授予跨帳戶許可):您可以將身分識別型許可政策連接至 IAM 角色,藉此授予跨帳戶許可。例如,帳戶 A 中的管理員可以建立角色,將跨帳戶許可授予另一個 AWS 帳戶 (例如帳戶 B) 或服務, AWS 如下所示:

    1. 帳戶 A 管理員建立 IAM 角色,並將許可政策連接到可授與帳戶 A 中資源許可的角色。

    2. 帳戶 A 管理員將信任政策連接至該角色,識別帳戶 B 做為可擔任該角的委託人。

    3. 然後,帳戶 B 管理員可以將擔任角色的許可委派給帳戶 B 中的任何使用者。這樣做可讓帳戶 B 中的使用者在帳戶 A 中建立或存取資源。在某些情況下,您可能想要授予 AWS 服務擔任角色的許可。為了支援此方法,信任政策中的委託人也可以是 AWS 服務委託人。

    如需使用 IAM 來委派許可的相關資訊,請參閱《IAM 使用者指南》中的存取管理

以下是允許使用者執行您 AWS 帳戶DescribeClusters動作的範例政策。MemoryDB 也支援使用 API 動作的資源 ARNs來識別特定資源。(此方法也稱為資源層級許可)。

{
   "Version": "2012-10-17",
   "Statement": [{
      "Sid": "DescribeClusters",
      "Effect": "Allow",
      "Action": [
         "memorydb:DescribeClusters"],
      "Resource": resource-arn
      }
   ]
}

如需搭配 MemoryDB 使用身分型政策的詳細資訊,請參閱 針對 MemoryDB 使用身分型政策 (IAM 政策)。如需使用者、群組、角色和許可的詳細資訊,請參閱 IAM 使用者指南中的身分 (使用者、群組和角色)

指定政策元素:動作、效果、資源和主體

對於每個 MemoryDB 資源 (請參閱 MemoryDB 資源和操作),服務會定義一組 API 操作 (請參閱動作)。若要授予這些 API 操作的許可,MemoryDB 會定義一組您可以在政策中指定的動作。例如,針對 MemoryDB 叢集資源,會定義下列動作:CreateClusterDeleteClusterDescribeClusters。執行一項 API 操作可能需要多個動作的許可。

以下是最基本的政策元素:

  • 資源 – 在政策中,您可以使用 Amazon Resource Name (ARN) 來識別要套用政策的資源。如需詳細資訊,請參閱MemoryDB 資源和操作

  • 動作:使用動作關鍵字識別您要允許或拒絕的資源操作。例如,根據指定的 Effectmemorydb:CreateCluster許可允許或拒絕使用者執行 MemoryDB CreateCluster操作的許可。

  • 效果 - 您可以指定使用者要求特定動作時會有什麼效果;可為允許或拒絕。如果您未明確授予存取 (允許) 資源,則隱含地拒絕存取。您也可以明確拒絕存取資源。例如,您可以這樣做以確保使用者無法存取資源,即使不同的政策授與存取。

  • 主體:在以身分為基礎的政策 (IAM 政策) 中,政策所連接的使用者就是隱含主體。對於資源型政策,您可以指定想要收到許可的使用者、帳戶、服務或其他實體 (僅適用於資源型政策)。

如需進一步了解有關 IAM 政策語法和說明的詳細資訊,請參閱《IAM 使用者指南》 中的 AWS IAM 政策參考

如需顯示所有 MemoryDB API 動作的資料表,請參閱 MemoryDB API 許可:動作、資源和條件參考

在政策中指定條件

當您授與許可時,您可以使用 IAM 政策語言指定政策生效時間的條件。例如,建議只在特定日期之後套用政策。如需使用政策語言指定條件的詳細資訊,請參閱IAM 使用者指南中的條件

在本頁面

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。