资源级权限 - Amazon ElastiCache for Redis
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

资源级权限

您可以通过在 IAM 策略中指定资源来限制权限范围。许多 Elasticache API 操作都支持资源类型,这些类型根据操作的行为而有所不同。每条 IAM 策略语句为对一个资源执行的一个操作授予权限。如果操作不对指定资源执行操作,或者您授予对所有资源执行操作的权限,则策略中资源的值为通配符 (*)。对于许多 API 操作,可以通过指定资源的 Amazon 资源名称 (ARN) 或与多个资源匹配的 ARN 模式来限制用户可修改的资源。要按资源限制权限,请指定资源的 ARN。

ElastiCache 资源 ARN 格式

注意

要使资源级权限生效,ARN 字符串上的资源名称应该为小写。

  • (对于 Redis 6.x 以上版本)用户–ARN: aws: 弹性:-us-east-2: 用户:用户 1

  • (对于 Redis 6.x 以上版本)用户组–ARN: aws: 弹性:-us-east-2: 用户组:my-用户组

  • 群集–ARN: aws: 弹性:-us-east-2: 群集:我的群集

  • 快照–ARN: aws: 弹性:-us-east-2: 快照:我的快照

  • 参数组–ARN: aws: 弹性:-us-east-2: 参数组:my-group

  • 复制组–ARN: aws: 弹性:-us-east-2: 复制组:m-复制组

  • 安全组–ARN: aws: 弹性:-us-east-2: 安全组:我的安全组

  • 子网组–ARN: aws: 弹性:-us-east-2: 子网组:我的子网组

  • 预留实例–ARN: aws: 弹性:-us-east-2: 保留:我的保留实例

  • 全局复制组–ARN: aws: 弹性:123456789012: 全局复制组:my-global-replication-group

示例 1:允许用户完全访问特定ElastiCache资源类型

以下策略明确允许子网组、安全组和复制组类型的所有资源。

{ "Sid": "Example1", "Effect": "Allow", "Action": "elasticache:*", "Resource": [ "arn:aws:elasticache:us-east-1:account-id:subnetgroup:*", "arn:aws:elasticache:us-east-1:account-id:securitygroup:*", "arn:aws:elasticache:us-east-1:account-id:replicationgroup:*" ] }

示例 2:拒绝用户访问复制组。

以下示例显式拒绝访问特定复制组。

{ "Sid": "Example2", "Effect": "Deny", "Action": "elasticache:*", "Resource": [ "arn:aws:elasticache:us-east-1:account-id:replicationgroup:name" ] }