Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von identitätsbasierten Richtlinien mit Amazon DynamoDB
Dieses Thema behandelt die Verwendung identitätsbasierter AWS Identity and Access Management (IAM) Richtlinien mit Amazon DynamoDB und bietet Beispiele. Die Beispiele zeigen, wie ein Kontoadministrator Berechtigungsrichtlinien an IAM Identitäten (Benutzer, Gruppen und Rollen) anhängen und dadurch Berechtigungen zur Ausführung von Vorgängen auf Amazon DynamoDB DynamoDB-Ressourcen gewähren kann.
Dieses Thema besteht aus folgenden Abschnitten:
Nachstehend finden Sie ein Beispiel für eine Berechtigungsrichtlinie.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DescribeQueryScanBooksTable", "Effect": "Allow", "Action": [ "dynamodb:DescribeTable", "dynamodb:Query", "dynamodb:Scan" ], "Resource": "arn:aws:dynamodb:us-west-2:account-id:table/Books" } ] }
Die obige Richtlinie enthält eine Anweisung, die Berechtigungen für drei DynamoDB-Aktionen (dynamodb:DescribeTabledynamodb:Query, unddynamodb:Scan) für eine Tabelle in der us-west-2 AWS Region gewährt, die dem von angegebenen AWS Konto gehört. account-idResource Wert gibt die Tabelle an, für die die Berechtigungen gelten.
IAMBerechtigungen, die für die Verwendung der Amazon DynamoDB DynamoDB-Konsole erforderlich sind
Um mit der DynamoDB-Konsole arbeiten zu können, muss ein Benutzer über Mindestberechtigungen verfügen, die es ihm ermöglichen, mit den DynamoDB-Ressourcen seines AWS Kontos zu arbeiten. Zusätzlich zu diesen DynamoDB-Berechtigungen erfordert die Konsole Berechtigungen von den folgenden Services:
-
CloudWatch Amazon-Berechtigungen zur Anzeige von Metriken und Grafiken.
-
AWS Data Pipeline Berechtigungen zum Exportieren und Importieren von DynamoDB-Daten.
-
AWS Identity and Access Management Berechtigungen für den Zugriff auf Rollen, die für Exporte und Importe erforderlich sind.
-
Amazon Simple Notification Service berechtigt, Sie zu benachrichtigen, wenn ein CloudWatch Alarm ausgelöst wird.
-
AWS Lambda Berechtigungen zur Verarbeitung von DynamoDB Streams Streams-Datensätzen.
Wenn Sie eine IAM Richtlinie erstellen, die restriktiver ist als die erforderlichen Mindestberechtigungen, funktioniert die Konsole für Benutzer mit dieser IAM Richtlinie nicht wie vorgesehen. Um sicherzustellen, dass diese Benutzer die DynamoDB-Konsole weiterhin verwenden können, fügen Sie dem Benutzer auch die AmazonDynamoDBReadOnlyAccess AWS verwaltete Richtlinie hinzu, wie unter beschrieben. AWS verwaltete (vordefinierte) IAM Richtlinien für Amazon DynamoDB
Sie müssen Benutzern, die nur Amazon DynamoDB API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. AWS CLI
Anmerkung
Wenn Sie auf einen VPC Endpunkt verweisen, müssen Sie auch den DescribeEndpoints API Aufruf für die anfragenden IAM Principal (s) mit der IAM Aktion (dynamodb:) autorisieren. DescribeEndpoints Weitere Informationen finden Sie unter Erforderliche Richtlinie für Endpunkte.
AWS verwaltete (vordefinierte) IAM Richtlinien für Amazon DynamoDB
AWS adressiert einige gängige Anwendungsfälle durch die Bereitstellung eigenständiger IAM Richtlinien, die von erstellt und verwaltet werden. AWS Diese AWS verwalteten Richtlinien gewähren die erforderlichen Berechtigungen für allgemeine Anwendungsfälle, sodass Sie nicht erst untersuchen müssen, welche Berechtigungen benötigt werden. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien.
Die folgenden AWS verwalteten Richtlinien, die Sie Benutzern in Ihrem Konto zuordnen können, sind spezifisch für DynamoDB und nach Anwendungsszenarien gruppiert:
-
AmazonDynamoDBReadOnlyAccess— Gewährt schreibgeschützten Zugriff auf DynamoDB-Ressourcen über die. AWS Management Console
-
AmazonDynamoDBFullAccess— Gewährt vollen Zugriff auf DynamoDB-Ressourcen über die. AWS Management Console
Sie können diese Richtlinien für AWS verwaltete Berechtigungen überprüfen, indem Sie sich bei der IAM Konsole anmelden und dort nach bestimmten Richtlinien suchen.
Wichtig
Es hat sich bewährt, benutzerdefinierte IAM Richtlinien zu erstellen, die den Benutzern, Rollen oder Gruppen, für die sie erforderlich sind, die geringsten Rechte gewähren.
Beispiele für vom Kunden verwaltete Richtlinien
In diesem Abschnitt finden Sie Beispiele für Benutzerrichtlinien, die Berechtigungen für verschiedene DynamoDB-Aktionen gewähren. Diese Richtlinien funktionieren, wenn Sie oder die verwenden AWS SDKs. AWS CLI Wenn Sie die Konsole verwenden, müssen Sie zusätzliche konsolenspezifische Berechtigungen erteilen. Weitere Informationen finden Sie unter IAMBerechtigungen, die für die Verwendung der Amazon DynamoDB DynamoDB-Konsole erforderlich sind.
Anmerkung
Alle folgenden Richtlinienbeispiele verwenden eine der AWS Regionen und enthalten fiktive Konto- IDs und Tabellennamen.
Beispiele:
-
IAMRichtlinie zum Erteilen von Berechtigungen für alle DynamoDB-Aktionen in einer Tabelle
-
IAMRichtlinie zur Gewährung von Nur-Lese-Berechtigungen für Elemente in einer DynamoDB-Tabelle
-
IAMRichtlinie zur Gewährung des Zugriffs auf eine bestimmte DynamoDB-Tabelle und ihre Indizes
-
IAMRichtlinie für den Lese-, Schreib-, Aktualisierungs- und Löschzugriff auf eine DynamoDB-Tabelle
-
IAMRichtlinie zur Trennung von DynamoDB-Umgebungen im selben Konto AWS
-
IAMRichtlinie zur Verhinderung des Erwerbs von reservierter DynamoDB-Kapazität
-
IAMRichtlinie, um Lesezugriff nur für einen DynamoDB-Stream zu gewähren (nicht für die Tabelle)
-
IAMRichtlinie für Lese- und Schreibzugriff auf einen DynamoDB Accelerator () -Cluster DAX
Das IAMBenutzerhandbuch enthält drei weitere DynamoDB-Beispiele:
