资源级权限 - 用于 Redis 的 Amazon ElastiCache
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

资源级权限

您可以通过在IAM策略中指定资源来限制用户的权限范围。许多ElasticacheAPI操作支持的资源类型因操作的行为而异。每条 IAM 策略语句为对一个资源执行的一个操作授予权限。当操作不对指定资源执行操作,或者您授予对所有资源执行操作的权限时,策略中的资源值为通配符(*)。对于许多 API 操作,可以通过指定资源的 Amazon 资源名称 (ARN) 或与多个资源匹配的 ARN 模式来限制用户可修改的资源。要按资源限制权限,请指定资源的 ARN。

ElastiCache 资源ARN格式

  • 集群 – arn:aws:弹性痛:us-east-2:123456789012:群集:我的群集

  • 快照 – arn:aws:弹性痛:us-east-2:123456789012:群集:我的快照

  • 参数组 – arn:aws:弹性痛:us-east-2:123456789012:群集:My-参数组

  • 复制组 – arn:aws:弹性痛:us-east-2:123456789012:群集:My-复制-组

  • 安全组 – arn:aws:弹性痛:us-east-2:123456789012:群集:我的安全组

  • 子网组 – arn:aws:弹性痛:us-east-2:123456789012:群集:My-subnet-group

  • 保留的实例 – arn:aws:弹性痛:us-east-2:123456789012:群集:我的保留实例

  • 全局复制组 – arn:aws:弹性痛:123456789012:群集:My-global-repy-group

示例 1:允许用户完全访问特定 ElastiCache 资源类型

以下策略明确允许所有类型为子网组、安全组和复制组的资源。

{ "Sid": "Example1", "Effect": "Allow", "Action": "elasticache:*", "Resource": [ "arn:aws:elasticache:us-east-1:account-id:subnetgroup:*", "arn:aws:elasticache:us-east-1:account-id:securitygroup:*", "arn:aws:elasticache:us-east-1:account-id:replicationgroup:*" ] }

示例 2:拒绝用户访问复制组。

以下示例明确拒绝访问特定复制组。

{ "Sid": "Example2", "Effect": "Deny", "Action": "elasticache:*", "Resource": [ "arn:aws:elasticache:us-east-1:account-id:replicationgroup:name" ] }