Verwendung IAM mit DynamoDB-Backup und -Wiederherstellung - Amazon-DynamoDB
Beispiel 1: Die CreateBackup Aktionen und zulassen RestoreTableFromBackup Beispiel 2: Zulassen und Verweigern CreateBackup RestoreTableFromBackup Beispiel 3: Zulassen ListBackups und verweigern CreateBackup und RestoreTableFromBackup Beispiel 4: Zulassen ListBackups und Verweigern DeleteBackup Beispiel 5: Zulassen RestoreTableFromBackup und DescribeBackup für alle Ressourcen und Verweigern DeleteBackup für ein bestimmtes Backup Beispiel 6: Erlauben Sie eine bestimmte Tabelle CreateBackup Beispiel 7: Zulassen ListBackups Beispiel 8: Zugriff auf AWS Backup Funktionen zulassen Beispiel 9: RestoreTableToPointInTime Für eine bestimmte Quelltabelle verweigern Beispiel 10: Verweigern RestoreTableFromBackup Sie alle Backups für eine bestimmte Quelltabelle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung IAM mit DynamoDB-Backup und -Wiederherstellung

Sie können AWS Identity and Access Management (IAM) verwenden, um die Sicherungs- und Wiederherstellungsaktionen von Amazon DynamoDB für einige Ressourcen einzuschränken. Die CreateBackup und werden für RestoreTableFromBackup APIs jede Tabelle einzeln ausgeführt.

Weitere Informationen zur Verwendung von IAM Richtlinien in DynamoDB finden Sie unter. Identitätsbasierte Richtlinien für DynamoDB

Im Folgenden finden Sie Beispiele für IAM Richtlinien, mit denen Sie bestimmte Sicherungs- und Wiederherstellungsfunktionen in DynamoDB konfigurieren können.

Beispiel 1: Die CreateBackup Aktionen und zulassen RestoreTableFromBackup

Die folgende IAM Richtlinie gewährt Berechtigungen, um die CreateBackup und RestoreTableFromBackup DynamoDB-Aktionen für alle Tabellen zuzulassen:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:CreateBackup",
                "dynamodb:RestoreTableFromBackup",
                "dynamodb:PutItem",
                "dynamodb:UpdateItem",
                "dynamodb:DeleteItem",
                "dynamodb:GetItem",
                "dynamodb:Query",
                "dynamodb:Scan",
                "dynamodb:BatchWriteItem"   
            ],
            "Resource": "*"
        }
    ]
}
Wichtig

RestoreTableFromBackup DynamoDB-Berechtigungen sind für das Quell-Backup erforderlich, und DynamoDB-Lese- und Schreibberechtigungen für die Zieltabelle sind für die Wiederherstellungsfunktion erforderlich.

RestoreTableToPointInTime DynamoDB-Berechtigungen sind für die Quelltabelle erforderlich, und DynamoDB-Lese- und Schreibberechtigungen für die Zieltabelle sind für die Wiederherstellungsfunktion erforderlich.

Beispiel 2: Zulassen und Verweigern CreateBackup RestoreTableFromBackup

Mit der folgenden IAM-Richtlinie werden die Berechtigungen zum Zulassen der Aktion CreateBackup und zum Ablehnen der Aktion RestoreTableFromBackup erteilt:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["dynamodb:CreateBackup"],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": ["dynamodb:RestoreTableFromBackup"],
            "Resource": "*"
        }
        
    ]
}

Beispiel 3: Zulassen ListBackups und verweigern CreateBackup und RestoreTableFromBackup

Die folgende IAM Richtlinie gewährt Berechtigungen für die ListBackups Aktion und verweigert die RestoreTableFromBackup Aktionen CreateBackup und:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["dynamodb:ListBackups"],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "dynamodb:CreateBackup",
                "dynamodb:RestoreTableFromBackup"
            ],
            "Resource": "*"
        }
        
    ]
}

Beispiel 4: Zulassen ListBackups und Verweigern DeleteBackup

Mit der folgenden IAM-Richtlinie werden die Berechtigungen zum Zulassen der Aktion ListBackups und zum Ablehnen der Aktion DeleteBackup erteilt:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["dynamodb:ListBackups"],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": ["dynamodb:DeleteBackup"],
            "Resource": "*"
        }
        
    ]
}

Beispiel 5: Zulassen RestoreTableFromBackup und DescribeBackup für alle Ressourcen und Verweigern DeleteBackup für ein bestimmtes Backup

Mit der folgenden IAM-Richtlinie werden die Berechtigungen für die Aktionen RestoreTableFromBackup und DescribeBackup erteilt und die Aktion DeleteBackup für eine bestimmte Sicherungsressource abgelehnt:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:DescribeBackup",
                "dynamodb:RestoreTableFromBackup",
            ],
            "Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/Music/backup/01489173575360-b308cd7d"
        },
        {
             "Effect": "Allow",
             "Action": [
                "dynamodb:PutItem",
                "dynamodb:UpdateItem",
                "dynamodb:DeleteItem",
                "dynamodb:GetItem",
                "dynamodb:Query",
                "dynamodb:Scan",
                "dynamodb:BatchWriteItem"
            ],
            "Resource": "*" 
        },
        {
            "Effect": "Deny",
            "Action": [
                "dynamodb:DeleteBackup"
            ],
            "Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/Music/backup/01489173575360-b308cd7d"
        }
    ]
}
Wichtig

RestoreTableFromBackup DynamoDB-Berechtigungen sind für das Quell-Backup erforderlich, und DynamoDB-Lese- und Schreibberechtigungen für die Zieltabelle sind für die Wiederherstellungsfunktion erforderlich.

RestoreTableToPointInTime DynamoDB-Berechtigungen sind für die Quelltabelle erforderlich, und DynamoDB-Lese- und Schreibberechtigungen für die Zieltabelle sind für die Wiederherstellungsfunktion erforderlich.

Beispiel 6: Erlauben Sie eine bestimmte Tabelle CreateBackup

Mit der folgenden IAM-Richtlinie werden die Berechtigungen für die Aktion CreateBackup nur für die Tabelle Movies erteilt:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["dynamodb:CreateBackup"],
            "Resource": [
                "arn:aws:dynamodb:us-east-1:123456789012:table/Movies"
            ]
        }
    ]
}

Beispiel 7: Zulassen ListBackups

Mit der folgenden IAM-Richtlinie werden Berechtigungen für die Aktion ListBackups erteilt:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["dynamodb:ListBackups"],
            "Resource": "*"
        }
    ]
}
}
Wichtig

Sie können keine Berechtigungen für die ListBackups Aktion für eine bestimmte Tabelle gewähren.

Beispiel 8: Zugriff auf AWS Backup Funktionen zulassen

Für eine erfolgreiche Sicherung mit erweiterten Funktionen benötigen Sie API Berechtigungen für die StartAwsBackupJob Aktion sowie für die dynamodb:RestoreTableFromAwsBackup Aktion, um diese Sicherung erfolgreich wiederherzustellen.

Die folgende IAM Richtlinie gewährt AWS Backup die Berechtigungen zum Auslösen von Backups mit erweiterten Funktionen und Wiederherstellungen. Beachten Sie außerdem, dass die Richtlinie Zugriff auf den AWS KMSSchlüssel benötigt, wenn die Tabellen verschlüsselt sind. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DescribeQueryScanBooksTable",
            "Effect": "Allow",
            "Action": [
                "dynamodb:StartAwsBackupJob",
                "dynamodb:DescribeTable",
                "dynamodb:Query",
                "dynamodb:Scan"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:account-id:table/Books"
        },
        {
            "Sid": "AllowRestoreFromAwsBackup",
            "Effect": "Allow",
            "Action": ["dynamodb:RestoreTableFromAwsBackup"],
            "Resource": "*"
        },

    ]
}

Beispiel 9: RestoreTableToPointInTime Für eine bestimmte Quelltabelle verweigern

Die folgende IAM Richtlinie verweigert Berechtigungen für die RestoreTableToPointInTime Aktion für eine bestimmte Quelltabelle: 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "dynamodb:RestoreTableToPointInTime"
            ],
            "Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/Music"
        }
    ]
}

Beispiel 10: Verweigern RestoreTableFromBackup Sie alle Backups für eine bestimmte Quelltabelle

Die folgende IAM Richtlinie verweigert allen Backups für eine bestimmte Quelltabelle die Berechtigungen für die RestoreTableToPointInTime Aktion: 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "dynamodb:RestoreTableFromBackup"
            ],
            "Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/Music/backup/*"
        }
    ]
}