资源级权限 - Amazon MemoryDB for Redis
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

资源级权限

您可以通过在 IAM policy 中指定资源来限制权限范围。许多 Amazon CLI API 操作支持的资源类型因操作的行为而异。每条 IAM policy 语句为对一个资源执行的一个操作授予权限。如果操作不对指定资源执行操作,或者您授予对所有资源执行操作的权限,则策略中资源的值为通配符 (*)。对于许多 API 操作,可以通过指定资源的 Amazon Resource Name (ARN) 或与多个资源匹配的 ARN 模式来限制用户可修改的资源。要按资源限制权限,请指定资源的 ARN。

MemoryDB 资源 ARN 格式

注意

为了使资源级权限生效,ARN 字符串上的资源名称应该为小写。

  • 用户 — arn: aws: memorydb: us-east-1:123456789012: user/user1

  • ACL — arn: aws: memorydb: us-east-1:123456789012: acl/my-acl

  • cluster — arn: aws: memorydb: us-east-1:123456789012: cluster/my-cluster

  • 快照 — arn: aws: memorydb: us-east-1:123456789012: snapshot/my-snapshot

  • 参数组 — arn: aws: memorydb: us-east-1:123456789012: parametergroup/ my-parameter-group

  • 子网组 — arn: aws: memorydb: us-east-1:123456789012: subnetgroup/ my-subnet-group

示例 1:允许用户完全访问特定 MemoryDB 资源类型

以下策略明确允许对子网组、安全组和群集类型的所有资源进行指定的account-id完全访问权限。

{ "Sid": "Example1", "Effect": "Allow", "Action": "memorydb:*", "Resource": [ "arn:aws:memorydb:us-east-1:account-id:subnetgroup/*", "arn:aws:memorydb:us-east-1:account-id:securitygroup/*", "arn:aws:memorydb:us-east-1:account-id:cluster/*" ] }

示例 2:拒绝用户访问集群。

以下示例明确拒绝对特定集群的指定account-id访问权限。

{ "Sid": "Example2", "Effect": "Deny", "Action": "memorydb:*", "Resource": [ "arn:aws:memorydb:us-east-1:account-id:cluster/name" ] }