Uso de las políticas basadas en identidades con Amazon DynamoDB
Este tema cubre el uso de las políticas AWS Identity and Access Management basadas en la identidad (IAM) con Amazon DynamoDB y proporciona ejemplos. Los siguientes ejemplos muestran cómo un administrador de la cuenta puede asociar políticas de permisos a identidades de IAM (es decir, usuarios, grupos y roles) y, por lo tanto, conceder permisos para realizar operaciones en recursos de Amazon DynamoDB.
En las secciones de este tema se explica lo siguiente:
A continuación se muestra un ejemplo de una política de permisos.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DescribeQueryScanBooksTable", "Effect": "Allow", "Action": [ "dynamodb:DescribeTable", "dynamodb:Query", "dynamodb:Scan" ], "Resource": "arn:aws:dynamodb:us-west-2:account-id:table/Books" } ] }
La política anterior contiene una instrucción que concede permisos para tres acciones de DynamoDB (dynamodb:DescribeTable, dynamodb:Query y dynamodb:Scan) en una tabla de la región us-west-2AWS, propiedad de la cuenta de AWS especificada por account-idResource especifica la tabla a la que se aplican los permisos.
Permisos de IAM necesarios para usar la consola de Amazon DynamoDB
Para trabajar con la consola de DynamoDB, los usuarios deben tener un conjunto mínimo de permisos que les permitan trabajar con los recursos de DynamoDB en su cuenta de AWS. Además de estos permisos de DynamoDB, la consola requiere permisos:
-
Permisos de Amazon CloudWatch para mostrar las métricas y los gráficos.
-
Permisos de AWS Data Pipeline para exportar e importar datos de DynamoDB.
-
Permisos de AWS Identity and Access Management para obtener acceso a los roles necesarios para importar y exportar.
-
Permisos de Amazon Simple Notification Service para recibir notificaciones cada vez que se active una alarma de CloudWatch.
-
Permisos de AWS Lambda para procesar registros de DynamoDB Streams.
Si crea una política de IAM que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para los usuarios con esa política de IAM. Para asegurarse de que esos usuarios puedan seguir usando la consola de DynamoDB, asocie también la política administrada AmazonDynamoDBReadOnlyAccess AWS al usuario, según se explica en Políticas de IAM administradas (predefinidas) de AWS para Amazon DynamoDB.
No es necesario que conceda permisos mínimos para la consola a los usuarios que solo realizan llamadas a la AWS CLI o a la API de Amazon DynamoDB.
nota
Si hace referencia a un punto de conexión de VPC, también tendrá que autorizar la llamada a la API DescribeEndpoints para las entidades principales de IAM solicitantes mediante la acción de IAM (dynamodb:DescribeEndpoints). Para obtener más información, consulte Política necesaria para puntos de conexión.
Políticas de IAM administradas (predefinidas) de AWS para Amazon DynamoDB
AWS aborda muchos casos de uso comunes proporcionando políticas de IAM independientes creadas y administradas por AWS. Estas políticas administradas por AWS conceden los permisos necesarios para casos de uso comunes, lo que le evita tener que investigar los permisos que se necesitan. Para más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.
Las siguientes políticas administradas de AWS, que puede asociar a los usuarios de su cuenta, son específicas de DynamoDB y se agrupan según los escenarios de caso de uso:
-
AmazonDynamoDBReadOnlyAccess: concede acceso de solo lectura a los recursos de DynamoDB mediante la AWS Management Console.
-
AmazonDynamoDBFullAccess: concede acceso pleno a los recursos de DynamoDB mediante la AWS Management Console.
Para consultar estas políticas de permisos administradas por AWS, inicie sesión en la consola de IAM y busque las políticas específicas.
importante
La práctica recomendada es crear políticas de IAM personalizadas que otorguen privilegio mínimo a los usuarios, los roles o los grupos que las requieran.
Ejemplos de políticas administradas por el cliente
En esta sección, encontrará ejemplos de políticas de usuario que conceden permisos para diversas acciones de DynamoDB. Estas políticas funcionan cuando se utilizan los SDK o la AWS de AWS CLI. Cuando usa la consola, debe conceder permisos adicionales específicos a la consola. Para obtener más información, consulte Permisos de IAM necesarios para usar la consola de Amazon DynamoDB.
nota
En los siguientes ejemplos de políticas se emplea una de las regiones de AWS y que contiene un ID de cuenta y nombres de tablas ficticios.
Ejemplos:
-
Política de IAM para conceder permisos a todas las acciones de DynamoDB en una tabla
-
Política de IAM para conceder permisos de solo lectura en los elementos de una tabla de DynamoDB
-
Política de IAM para conceder acceso a una tabla de DynamoDB específica y sus índices
-
Política de IAM para leer, escribir, actualizar y eliminar el acceso en una tabla de DynamoDB
-
Política de IAM para separar entornos de DynamoDB en la misma cuenta de AWS
-
Política de IAM para evitar la compra de capacidad reservada de DynamoDB
-
Política de IAM para conceder acceso de lectura solamente a DynamoDB Streams (no para la tabla)
-
Política de IAM para permitir una función AWS Lambda para acceder a registros de DynamoDB Stream
-
Política de IAM para el acceso de lectura y escritura a un clúster de DynamoDB Accelerator (DAX)
La Guía del usuario de IAM, incluye tres ejemplos adicionales de DynamoDB:
