本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 資源層級許可
<a name="iam.resourcelevelpermissions"></a>

您可以在 IAM 政策中指定資源來限制許可的範圍。許多 AWS CLI API 動作支援的資源類型會根據動作的行為而有所不同。每個 IAM 政策陳述式授予在資源上執行動作的許可。當動作沒有作用於具名資源，或是當您授予對所有資源執行動作的許可，政策中資源的值是萬用字元 (\$1)。對於許多 API 動作，您可以透過指定資源的 Amazon Resource Name (ARN) 或符合多個資源的 ARN 模式，來限制使用者可以修改的資源。若要依照資源限制許可，請依照 ARN 指定資源。

**MemoryDB 資源 ARN 格式**

**注意**  
若要讓資源層級許可生效，ARN 字串中的資源名稱應為小寫。
+ 使用者 – arn：aws：memorydb：*us-east-1：123456789012*：user/user1
+ ACL – arn：aws：memorydb：*us-east-1：123456789012*：acl/my-acl
+ 叢集 – arn：aws：memorydb：*us-east-1：123456789012*：cluster/my-cluster
+ 快照 – arn：aws：memorydb：*us-east-1：123456789012*：snapshot/my-snapshot
+ 參數群組 – arn：aws：memorydb：*us-east-1：123456789012*：parametergroup/my-parameter-group
+ 子網路群組 – arn：aws：memorydb：*us-east-1：123456789012*：subnetgroup/my-subnet-group

**Topics**
+ [範例 1：允許使用者完整存取特定 MemoryDB 資源類型](#example-allow-list-current-memorydb-resources-resource)
+ [範例 2：拒絕使用者存取叢集。](#example-allow-specific-memorydb-actions-resource)

## 範例 1：允許使用者完整存取特定 MemoryDB 資源類型
<a name="example-allow-list-current-memorydb-resources-resource"></a>

下列政策明確允許指定的`account-id`完整存取子網路群組、安全群組和叢集類型的所有資源。

```
{
        "Sid": "Example1",
        "Effect": "Allow",
        "Action": "memorydb:*",
        "Resource": [
             "arn:aws:memorydb:us-east-1:account-id:subnetgroup/*",
             "arn:aws:memorydb:us-east-1:account-id:securitygroup/*",
             "arn:aws:memorydb:us-east-1:account-id:cluster/*"
        ]
}
```

## 範例 2：拒絕使用者存取叢集。
<a name="example-allow-specific-memorydb-actions-resource"></a>

下列範例明確拒絕特定叢集的指定`account-id`存取權。

```
{
        "Sid": "Example2",
        "Effect": "Deny",
        "Action": "memorydb:*",
        "Resource": [
                "arn:aws:memorydb:us-east-1:account-id:cluster/name"
        ]
}
```