資源層級許可 - Amazon MemoryDB
範例 1:允許使用者完整存取特定 MemoryDB 資源類型範例 2:拒絕使用者存取叢集。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

資源層級許可

您可以在 IAM 政策中指定資源來限制許可的範圍。許多 AWS CLI API 動作支援的資源類型會因動作的行為而有所不同。每個 IAM 政策陳述式授予在資源上執行動作的許可。當動作沒有作用於具名資源,或是當您授予對所有資源執行動作的許可,政策中資源的值是萬用字元 (*)。對於許多 API 動作,您可以透過指定資源的 Amazon Resource Name (ARN) 或符合多個資源的 ARN 模式,來限制使用者可以修改的資源。若要依照資源限制許可,請依照 ARN 指定資源。

MemoryDB 資源 ARN 格式

注意

若要讓資源層級許可生效,ARN 字串上的資源名稱應為小寫。

  • 使用者 – arn:aws:memorydb:us-east-1:123456789012:user/user1

  • ACL – arn:aws:memorydb:us-east-1:123456789012:acl/my-acl

  • 叢集 – arn:aws:memorydb:us-east-1:123456789012:cluster/my-cluster

  • 快照 – arn:aws:memorydb:us-east-1:123456789012:snapshot/my-snapshot

  • 參數群組 – arn:aws:memorydb:us-east-1:123456789012:parametergroup/my-parameter-group

  • 子網路群組 – arn:aws:memorydb:us-east-1:123456789012:subnetgroup/my-subnet-group

範例 1:允許使用者完整存取特定 MemoryDB 資源類型

下列政策明確允許指定的account-id完整存取子網路群組、安全群組和叢集類型的所有資源。

{
        "Sid": "Example1",
        "Effect": "Allow",
        "Action": "memorydb:*",
        "Resource": [
             "arn:aws:memorydb:us-east-1:account-id:subnetgroup/*",
             "arn:aws:memorydb:us-east-1:account-id:securitygroup/*",
             "arn:aws:memorydb:us-east-1:account-id:cluster/*"
        ]
}

範例 2:拒絕使用者存取叢集。

下列範例明確拒絕特定叢集的指定account-id存取權。

{
        "Sid": "Example2",
        "Effect": "Deny",
        "Action": "memorydb:*",
        "Resource": [
                "arn:aws:memorydb:us-east-1:account-id:cluster/name"
        ]
}