Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wenn Sie Amazon Kinesis Data Streams für Amazon DynamoDB zum ersten Mal aktivieren, erstellt DynamoDB automatisch eine AWS Identity and Access Management (IAM) -Serviceverknüpfte Rolle für Sie. Diese Rolle AWSServiceRoleForDynamoDBKinesisDataStreamsReplication ermöglicht DynamoDB, die Replikation von Änderungen auf Elementebene in Kinesis Data Streams in Ihrem Auftrag zu verwalten. Löschen Sie diese serviceverknüpfte Rolle nicht.
Weitere Informationen zu serviceverknüpften Rollen finden Sie unter Verwenden serviceverknüpfter Rollen im IAM-Benutzerhandbuch.
Anmerkung
DynamoDB unterstützt keine tagbasierten Bedingungen für IAM-Richtlinien.
Damit Sie Amazon Kinesis Data Streams für Amazon DynamoDB aktivieren können, benötigen Sie die folgenden Berechtigungen für die Tabelle:
-
dynamodb:EnableKinesisStreamingDestination -
kinesis:ListStreams -
kinesis:PutRecords -
kinesis:DescribeStream
Wenn Sie Amazon Kinesis Data Streams für Amazon DynamoDB für eine bestimmte DynamoDB-Tabelle beschreiben möchten, benötigen Sie die folgenden Berechtigungen für die Tabelle.
-
dynamodb:DescribeKinesisStreamingDestination -
kinesis:DescribeStreamSummary -
kinesis:DescribeStream
Damit Sie Amazon Kinesis Data Streams für Amazon DynamoDB deaktivieren können, benötigen Sie die folgenden Berechtigungen für die Tabelle.
-
dynamodb:DisableKinesisStreamingDestination
Um Amazon Kinesis Data Streams für Amazon DynamoDB zu aktualisieren, benötigen Sie die folgenden Berechtigungen für die Tabelle.
-
dynamodb:UpdateKinesisStreamingDestination
Die folgenden Beispiele zeigen, wie IAM-Richtlinien verwendet werden, um Berechtigungen für Amazon Kinesis Data Streams für Amazon DynamoDB zu erteilen.
Beispiel: Aktivieren von Amazon Kinesis Data Streams für Amazon DynamoDB
Die folgende IAM-Richtlinie gewährt Berechtigungen zur Aktivierung von Amazon Kinesis Data Streams für Amazon DynamoDB für die Tabelle. Music Es gewährt keine Berechtigungen zum Deaktivieren, Aktualisieren oder Beschreiben von Kinesis Data Streams for DynamoDB für die Tabelle. Music
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/kinesisreplication.dynamodb.amazonaws.com/AWSServiceRoleForDynamoDBKinesisDataStreamsReplication",
"Condition": {"StringLike": {"iam:AWSServiceName": "kinesisreplication.dynamodb.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": [
"dynamodb:EnableKinesisStreamingDestination"
],
"Resource": "arn:aws:dynamodb:us-west-2:12345678901:table/Music"
}
]
}Beispiel: Amazon Kinesis Data Streams für Amazon DynamoDB aktualisieren
Die folgende IAM-Richtlinie gewährt Berechtigungen zur Aktualisierung von Amazon Kinesis Data Streams for Amazon DynamoDB für die Tabelle. Music Es gewährt keine Berechtigungen zur Aktivierung, Deaktivierung oder Beschreibung von Amazon Kinesis Data Streams for Amazon DynamoDB für die Tabelle. Music
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dynamodb:UpdateKinesisStreamingDestination"
],
"Resource": "arn:aws:dynamodb:us-west-2:12345678901:table/Music"
}
]
}Beispiel: Deaktivieren von Amazon Kinesis Data Streams für Amazon DynamoDB
Die folgende IAM-Richtlinie gewährt Berechtigungen zur Deaktivierung von Amazon Kinesis Data Streams for Amazon DynamoDB für die Tabelle. Music Es gewährt keine Berechtigungen zur Aktivierung, Aktualisierung oder Beschreibung von Amazon Kinesis Data Streams for Amazon DynamoDB für die Tabelle. Music
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dynamodb:DisableKinesisStreamingDestination"
],
"Resource": "arn:aws:dynamodb:us-west-2:12345678901:table/Music"
}
]
}Beispiel: Selektives Anwenden von Berechtigungen für Amazon Kinesis Data Streams für Amazon DynamoDB basierend auf Ressource
Die folgende IAM-Richtlinie gewährt Berechtigungen zur Aktivierung und Beschreibung von Amazon Kinesis Data Streams for Amazon DynamoDB für die Music Tabelle und verweigert Berechtigungen zur Deaktivierung von Amazon Kinesis Data Streams for Amazon DynamoDB für die Tabelle. Orders
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dynamodb:EnableKinesisStreamingDestination",
"dynamodb:DescribeKinesisStreamingDestination"
],
"Resource": "arn:aws:dynamodb:us-west-2:12345678901:table/Music"
},
{
"Effect": "Deny",
"Action": [
"dynamodb:DisableKinesisStreamingDestination"
],
"Resource": "arn:aws:dynamodb:us-west-2:12345678901:table/Orders"
}
]
}Verwenden von serviceverknüpften Rollen für Kinesis Data Streams für DynamoDB
Amazon Kinesis Data Streams für Amazon DynamoDB verwendet AWS Identity and Access Management (IAM) service-verknüpfte Rollen. Eine serviceverknüpfte Rolle ist ein spezieller Typ einer IAM-Rolle, die direkt mit Kinesis Data Streams für DynamoDB verknüpft ist. Dienstbezogene Rollen sind von Kinesis Data Streams for DynamoDB vordefiniert und beinhalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine serviceverknüpfte Rolle vereinfacht das Einrichten von Kinesis Data Streams für DynamoDB, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Kinesis Data Streams für DynamoDB definiert die Berechtigungen seiner serviceverknüpften Rollen. Sofern keine andere Einstellung festgelegt wurde, können nur Kinesis Data Streams für DynamoDB die Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Informationen zu anderen Services, die serviceverknüpften Rollen unterstützen, finden Sie unter AWS -Services, die mit IAM funktionieren. Suchen Sie nach den Services, für die Ja in der Spalte Serviceverknüpfte Rolle angegeben ist. Wählen Sie über einen Link Yes (Ja) aus, um die Dokumentation zu einer servicegebundenen Rolle für diesen Service anzuzeigen.
Berechtigungen von serviceverknüpften Rollen für Kinesis Data Streams für DynamoDB
Kinesis Data Streams for DynamoDB verwendet die mit dem Service verknüpfte Rolle namens. AWSServiceRoleForDynamoDBKinesisDataStreamsReplication Die serviceverknüpfte Rolle ermöglicht es Amazon DynamoDB, in Ihrem Namen die Replikation von Änderungen auf Elementebene in Kinesis Data Streams zu verwalten.
Die serviceverknüpfte Rolle AWSServiceRoleForDynamoDBKinesisDataStreamsReplication vertraut darauf, dass die folgenden Services die Rolle annehmen:
-
kinesisreplication.dynamodb.amazonaws.com
Die Richtlinie für Rollenberechtigungen erlaubt Kinesis Data Streams für DynamoDB die folgenden Aktionen auf den angegebenen Ressourcen durchzuführen:
-
Aktion:
Put records and describefürKinesis stream -
Aktion:
Generate data keysaktiviert, um DatenAWS KMSin Kinesis-Streams zu speichern, die mit benutzergenerierten AWS KMS Schlüsseln verschlüsselt sind.
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter serviceverknüpfte Rollenberechtigungen im IAM-Benutzerhandbuch.
Erstellen einer serviceverknüpften Rolle für Kinesis Data Streams für DynamoDB
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie Kinesis Data Streams for DynamoDB in der AWS Management Console, der oder der AWS API aktivieren, erstellt Kinesis Data Streams for DynamoDB die serviceverknüpfte Rolle für Sie. AWS CLI
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie Kinesis Data Streams für DynamoDB aktivieren, erstellt Kinesis Data Streams für DynamoDB die serviceverknüpfte Rolle erneut für Sie.
Bearbeiten einer serviceverknüpften Rolle für Kinesis Data Streams für DynamoDB
Kinesis Data Streams für DynamoDB ermöglicht es Ihnen nicht, die mit der AWSServiceRoleForDynamoDBKinesisDataStreamsReplication serviceverknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Löschen einer serviceverknüpften Rolle für Kinesis Data Streams für DynamoDB
Sie können auch die IAM-Konsole, die AWS CLI oder die API verwenden, um die serviceverknüpfte Rolle manuell zu löschen AWS . Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zuerst manuell bereinigen, bevor Sie diese manuell löschen können.
Anmerkung
Wenn der Kinesis Data Streams für DynamoDB-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
So löschen Sie die serviceverknüpfte Rolle mit IAM
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die serviceverknüpfte Rolle zu löschen. AWSServiceRoleForDynamoDBKinesisDataStreamsReplication Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Leitfaden.
