资源级权限 - Amazon MemoryDB for Redis
示例 1:允许用户完全访问特定 MemoryDB 资源类型示例 2:拒绝用户访问集群。
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

资源级权限

您可以通过在 IAM policy 中指定资源来限制权限范围。很多Amazon CLIAPI 操作支持的资源类型因操作行为而有所不同。每条 IAM policy 语句为对一个资源执行的一个操作授予权限。如果操作不对指定资源执行操作,或者您授予对所有资源执行操作的权限,则策略中资源的值为通配符 (*)。对于许多 API 操作,可以通过指定资源的 Amazon Resource Name (ARN) 或与多个资源匹配的 ARN 模式来限制用户可修改的资源。要按资源限制权限,请指定资源的 ARN。

MemoryDB 资源 ARN 格式

注意

为了使资源级权限生效,ARN 字符串上的资源名称应该为小写。

  • 用户 — arn: aws: memorydb:us-east-1、:user/user1

  • ACL — arn: aws: memorydb:us-east-1、:acl/my-acl

  • 集群 — arn: aws: memorydb:us-east-1、:cluster/my-cluster

  • 快照 — arn: aws: memorydb:us-east-1、:快照/我的快照

  • 参数组 — arn: aws: memorydb:us-east-1、:parametergroup/my-parameter-group

  • 子网组 — arn: aws: memorydb:us-east-1、:子网组/my-subnet-group

示例 1:允许用户完全访问特定 MemoryDB 资源类型

以下策略明确允许指定的account-id对子网组、安全组和集群类型的所有资源的完全访问权限。

{
        "Sid": "Example1",
        "Effect": "Allow",
        "Action": "memorydb:*",
        "Resource": [
             "arn:aws:memorydb:us-east-1:account-id:subnetgroup/*",
             "arn:aws:memorydb:us-east-1:account-id:securitygroup/*",
             "arn:aws:memorydb:us-east-1:account-id:cluster/*"
        ]
}

示例 2:拒绝用户访问集群。

以下示例明确拒绝指定的account-id访问特定集群。

{
        "Sid": "Example2",
        "Effect": "Deny",
        "Action": "memorydb:*",
        "Resource": [
                "arn:aws:memorydb:us-east-1:account-id:cluster/name"
        ]
}