本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 资源级权限
<a name="iam.resourcelevelpermissions"></a>

您可以通过在 IAM 策略中指定资源来限制权限范围。许多 AWS CLI API 操作支持的资源类型因操作的行为而异。每条 IAM 策略语句为对一个资源执行的一个操作授予权限。如果操作不对指定资源执行操作，或者您授予对所有资源执行操作的权限，则策略中资源的值为通配符（\*）。对于许多 API 操作，可以通过指定资源的 Amazon 资源名称（ARN）或与多个资源匹配的 ARN 模式来限制用户可修改的资源。要按资源限制权限，请指定资源的 ARN。

**MemoryDB 资源 ARN 格式**

**注意**  
为了使资源级权限生效，ARN 字符串中的资源名称应为小写。
+ 用户 — arn: aws: memorydb:: user/user1 {{us-east-1:123456789012}}
+ ACL — arn: aws: memorydb:: acl/my-acl {{us-east-1:123456789012}}
+ 集群 — arn: aws: memorydb:: cluster/my-cluster {{us-east-1:123456789012}}
+ 快照 — arn: aws: memorydb:: snapshot/my-snapshot {{us-east-1:123456789012}}
+ 参数组 — arn: aws: memorydb:: parametergroup/ {{us-east-1:123456789012}} my-parameter-group
+ 子网组 — arn: aws: memorydb:: subnetgroup/ {{us-east-1:123456789012}} my-subnet-group

**Topics**
+ [示例 1：允许用户完全访问特定 MemoryDB 资源类型](#example-allow-list-current-memorydb-resources-resource)
+ [示例 2：拒绝用户访问集群。](#example-allow-specific-memorydb-actions-resource)

## 示例 1：允许用户完全访问特定 MemoryDB 资源类型
<a name="example-allow-list-current-memorydb-resources-resource"></a>

以下策略明确允许指定的 `account-id` 完全访问子网组、安全组和集群类型的所有资源。

```
{
        "Sid": "Example1",
        "Effect": "Allow",
        "Action": "memorydb:*",
        "Resource": [
             "arn:aws:memorydb:us-east-1:{{account-id}}:subnetgroup/*",
             "arn:aws:memorydb:us-east-1:{{account-id}}:securitygroup/*",
             "arn:aws:memorydb:us-east-1:{{account-id}}:cluster/*"
        ]
}
```

## 示例 2：拒绝用户访问集群。
<a name="example-allow-specific-memorydb-actions-resource"></a>

以下示例明确拒绝对特定集群进行指定 `account-id` 访问。

```
{
        "Sid": "Example2",
        "Effect": "Deny",
        "Action": "memorydb:*",
        "Resource": [
                "arn:aws:memorydb:us-east-1:{{account-id}}:cluster/{{name}}"
        ]
}
```