本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
资源级权限
您可以通过在 IAM policy 中指定资源来限制权限范围。许多 Amazon CLI API 操作支持的资源类型因操作的行为而异。每条 IAM policy 语句为对一个资源执行的一个操作授予权限。如果操作不对指定资源执行操作,或者您授予对所有资源执行操作的权限,则策略中资源的值为通配符 (*)。对于许多 API 操作,可以通过指定资源的 Amazon Resource Name (ARN) 或与多个资源匹配的 ARN 模式来限制用户可修改的资源。要按资源限制权限,请指定资源的 ARN。
MemoryDB 资源 ARN 格式
注意
为了使资源级权限生效,ARN 字符串上的资源名称应该为小写。
用户 — arn: aws: memorydb: us-east-1:123456789012: user/user1
ACL — arn: aws: memorydb: us-east-1:123456789012: acl/my-acl
cluster — arn: aws: memorydb: us-east-1:123456789012: cluster/my-cluster
快照 — arn: aws: memorydb: us-east-1:123456789012: snapshot/my-snapshot
参数组 — arn: aws: memorydb: us-east-1:123456789012: parametergroup/
my-parameter-group子网组 — arn: aws: memorydb: us-east-1:123456789012: subnetgroup/
my-subnet-group
示例 1:允许用户完全访问特定 MemoryDB 资源类型
以下策略明确允许对子网组、安全组和群集类型的所有资源进行指定的account-id
完全访问权限。
{ "Sid": "Example1", "Effect": "Allow", "Action": "memorydb:*", "Resource": [ "arn:aws:memorydb:us-east-1:
account-id
:subnetgroup/*", "arn:aws:memorydb:us-east-1:account-id
:securitygroup/*", "arn:aws:memorydb:us-east-1:account-id
:cluster/*" ] }
示例 2:拒绝用户访问集群。
以下示例明确拒绝对特定集群的指定account-id
访问权限。
{ "Sid": "Example2", "Effect": "Deny", "Action": "memorydb:*", "Resource": [ "arn:aws:memorydb:us-east-1:
account-id
:cluster/name
" ] }