Acciones, recursos y claves de condición para Amazon DynamoDB
Amazon DynamoDB (prefijo de servicio: dynamodb) proporciona las siguientes claves de contexto de condición, acciones y recursos específicos del servicio para su uso en las políticas de permisos de IAM.
Referencias:
-
Obtenga información para configurar este servicio.
-
Vea una lista de las operaciones de API disponibles para este servicio.
-
Obtenga información sobre cómo proteger este servicio y sus recursos mediante las políticas de permisos de IAM.
Temas
Acciones definidas por Amazon DynamoDB
Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.
La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el elemento Resource de una política de IAM, debe incluir un ARN o patrón para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.
La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.
nota
Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.
Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.
| Acciones | Descripción | Nivel de acceso | Tipos de recursos (*necesarios) | Claves de condición | Acciones dependientes |
|---|---|---|---|---|---|
| BatchGetItem | Otorga permisos para devolver los atributos de uno o varios elementos de una o varias tablas. | Leer | |||
| BatchWriteItem | Otorga permisos para colocar o eliminar varios elementos en una o varias tablas. | Escritura | |||
| ConditionCheckItem | Otorga permisos a la operación ConditionCheckItem que comprueba la existencia de un conjunto de atributos para el elemento con la clave principal especificada. | Leer | |||
| CreateBackup | Otorga permisos para crear una copia de seguridad de una tabla existente. | Escritura | |||
| CreateGlobalTable | Otorga permisos para crear una tabla global a partir de una tabla existente. | Escritura | |||
| CreateTable | Otorga permisos para que la operación CreateTable agregue una nueva tabla a la cuenta. | Escritura | |||
| CreateTableReplica [solo permiso] | Otorga permisos para agregar una nueva réplica de tabla. | Escritura | |||
| DeleteBackup | Otorga permisos para eliminar una copia de seguridad existente de una tabla. | Escritura | |||
| DeleteItem | Otorga permisos para eliminar un solo elemento de una tabla por clave principal. | Escritura | |||
| DeleteResourcePolicy | Concede permiso para eliminar la política basada en recursos asociada al recurso | Administración de permisos | |||
| DeleteTable | Otorga permisos a la operación DeleteTable que elimina una tabla y todos sus elementos. | Escritura | |||
| DeleteTableReplica [solo permiso] | Otorga permisos para eliminar una réplica de tabla y todos sus elementos. | Escritura | |||
| DescribeBackup | Otorga permisos para describir una copia de seguridad existente de una tabla. | Leer | |||
| DescribeContinuousBackups | Otorga permisos para verificar el estado de la configuración de restauración de copia de seguridad en la tabla especificada. | Leer | |||
| DescribeContributorInsights | Otorga permisos para describir el estado de Contributor Insights y los detalles relacionados de una tabla o un índice secundario global determinados. | Leer | |||
| DescribeEndpoints | Otorga permiso para devolver la información de punto de conexión regional | Leer | |||
| DescribeExport | Otorga permisos para describir una exportación existente de una tabla. | Leer | |||
| DescribeGlobalTable | Otorga permisos para devolver información sobre la tabla global especificada. | Leer | |||
| DescribeGlobalTableSettings | Otorga permisos para devolver información de configuración sobre la tabla global especificada. | Leer | |||
| DescribeImport | Concede permiso para describir una importación existente. | Leer | |||
| DescribeKinesisStreamingDestination | Otorga permisos para describir el estado del streaming de Kinesis y los detalles relacionados de una tabla determinada. | Leer | |||
| DescribeLimits | Otorga permiso para devolver los límites de capacidad aprovisionada para su Cuenta de AWS en una región, tanto para la región en su conjunto como para cualquier tabla individual de DynamoDB que se cree en ella | Leer | |||
| DescribeReservedCapacity [solo permiso] | Otorga permisos para describir una o más de las capacidades reservadas adquiridas. | Leer | |||
| DescribeReservedCapacityOfferings [solo permiso] | Otorga permisos para describir las ofertas de capacidades reservadas que están disponibles para la compra. | Leer | |||
| DescribeStream | Otorga permisos para devolver información sobre una transmisión, incluido el estado actual de la transmisión, su nombre de recurso de Amazon (ARN), la composición de sus fragmentos y su tabla de DynamoDB correspondiente. | Leer | |||
| DescribeTable | Otorga permisos para devolver información acerca de las tareas exportadas. | Leer | |||
| DescribeTableReplicaAutoScaling | Otorga permisos para describir la configuración de Auto Scaling en todas las réplicas de la tabla global. | Leer | |||
| DescribeTimeToLive | Otorga permisos para proporcionar una descripción del estado de periodo de vida (TTL) en la tabla especificada. | Leer | |||
| DisableKinesisStreamingDestination | Otorga permisos para otorgar permisos para detener la replicación de la tabla de DynamoDB en Kinesis Data Streams. | Escritura | |||
| EnableKinesisStreamingDestination | Otorga permisos para otorgar permisos para iniciar la replicación de los datos de la tabla en el flujo de datos de Kinesis especificado en una marca temporal elegida durante el flujo de trabajo de habilitación. | Escritura | |||
| ExportTableToPointInTime | Otorga permisos para iniciar una exportación de una tabla de DynamoDB a S3. | Escritura | |||
| GetItem | Otorga permisos a la operación GetItem que devuelve un conjunto de atributos del elemento con la clave principal especificada. | Leer | |||
| GetRecords | Otorga permisos para recuperar los registros de transmisión de un fragmento determinado. | Leer | |||
| GetResourcePolicy | Concede permiso para ver una política basada en recursos para un recurso | Leer | |||
| GetShardIterator | Otorga permisos para devolver un iterador de fragmentos. | Leer | |||
| ImportTable | Concede permiso para iniciar una exportación desde S3 a una tabla de DynamoDB. | Escritura | |||
| ListBackups | Otorga permisos para enumerar las copias de seguridad asociadas a la cuenta y el punto de conexión. | Enumeración | |||
| ListContributorInsights | Otorga permisos para enumerar el ContributorInsightsSummary para todas las tablas e indexaciones secundarias globales asociadas a la cuenta actual y al punto de conexión. | Enumeración | |||
| ListExports | Otorga permisos para enumerar las exportaciones asociadas a la cuenta y al punto de conexión. | Enumeración | |||
| ListGlobalTables | Otorga permisos para enumerar todas las tablas globales que tienen una réplica en la región especificada. | Enumeración | |||
| ListImports | Concede permiso para enumerar las importaciones asociadas a la cuenta y el punto de conexión. | Enumeración | |||
| ListStreams | Otorga permisos para devolver una matriz de los ARN de transmisión asociados con la cuenta y el punto de conexión actuales. | Leer | |||
| ListTables | Otorga permisos para devolver una matriz de los nombres de las tablas asociados con la cuenta y el punto de conexión actuales. | Enumeración | |||
| ListTagsOfResource | Otorga permisos para enumerar todas las etiquetas de un recurso de Amazon DynamoDB. | Leer | |||
| PartiQLDelete | Otorga permiso para eliminar un solo elemento de una tabla por clave principal | Write | |||
| PartiQLInsert | Otorga permiso para crear un nuevo elemento, si no existe en la tabla un elemento con la misma clave principal | Write | |||
| PartiQLSelect | Otorga permiso para leer un conjunto de atributos de los elementos de una tabla o un índice | Read | |||
| PartiQLUpdate | Otorga permiso para editar los atributos de un elemento existente | Escritura | |||
| PurchaseReservedCapacityOfferings [solo permiso] | Otorga permisos para comprar una capacidad reservada para su uso con su cuenta. | Escritura | |||
| PutItem | Otorga permisos para crear un nuevo elemento o sustituye un elemento antiguo por uno nuevo. | Escritura | |||
| PutResourcePolicy | Concede permiso para asociar una política basada en recursos al recurso | Administración de permisos | |||
| Query | Otorga permisos para utilizar la clave principal de una tabla o un índice secundario para acceder directamente a elementos de esa tabla o índice. | Leer | |||
| RestoreTableFromAwsBackup [solo permiso] | Otorga permiso para crear una nueva tabla desde el punto de recuperación en AWS Backup | Escritura | |||
| RestoreTableFromBackup | Otorga permisos para crear una nueva tabla a partir de una copia de seguridad existente. | Escritura |
dynamodb:BatchWriteItem dynamodb:DeleteItem dynamodb:GetItem dynamodb:PutItem dynamodb:Query dynamodb:Scan dynamodb:UpdateItem |
||
| RestoreTableToPointInTime | Otorga permisos para restaurar una tabla a un punto en el tiempo. | Escritura |
dynamodb:BatchWriteItem dynamodb:DeleteItem dynamodb:GetItem dynamodb:PutItem dynamodb:Query dynamodb:Scan dynamodb:UpdateItem |
||
| Scan | Otorga permisos para devolver uno o varios elementos y atributos de elementos obteniendo acceso a todos los elementos de una tabla o un índice secundario. | Leer | |||
| StartAwsBackupJob [solo permiso] | Otorga permiso para crear una copia de seguridad en AWS Backup con características avanzadas habilitadas | Escritura | |||
| TagResource | Otorga permisos para asociar un conjunto de etiquetas con un recurso de Amazon DynamoDB. | Etiquetado | |||
| UntagResource | Otorga permisos para eliminar la asociación de etiquetas de un recurso de Amazon DynamoDB. | Etiquetado | |||
| UpdateContinuousBackups | Otorga permiso para habilitar o desactivar copias de seguridad continuas. | Escritura | |||
| UpdateContributorInsights | Otorga permisos para actualizar el estado de Contributor Insights para una tabla o un índice secundario global específicos. | Escritura | |||
| UpdateGlobalTable | Otorga permisos para que el usuario agregue o elimine las réplicas de la tabla global especificada. | Escritura | |||
| UpdateGlobalTableSettings | Otorga permisos para actualizar la configuración de un servicio global especificado. | Escritura | |||
| UpdateGlobalTableVersion [solo permiso] | Otorga permiso para actualizar la versión de la tabla global especificado | Escritura | |||
| UpdateItem | Otorga permisos para editar los atributos de un elemento existente o agrega un nuevo elemento a la tabla, si no existe ya. | Escritura | |||
| UpdateKinesisStreamingDestination | Concede permiso para actualizar las configuraciones de replicación de datos para la secuencia de datos de Kinesis especificada | Escritura | |||
| UpdateTable | Otorga permisos para modificar los ajustes de desempeño aprovisionado, índices secundarios globales o la configuración de DynamoDB Streams de una tabla determinada. | Escritura | |||
| UpdateTableReplicaAutoScaling | Otorga permisos para actualizar la configuración de Auto Scaling en la réplica de tabla. | Escritura | |||
| UpdateTimeToLive | Otorga permisos para habilitar o desactivar TTL para la tabla especificada. | Escritura |
Tipos de recurso definidos por Amazon DynamoDB
Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.
| Tipos de recurso | ARN | Claves de condición |
|---|---|---|
| index |
arn:${Partition}:dynamodb:${Region}:${Account}:table/${TableName}/index/${IndexName}
|
|
| stream |
arn:${Partition}:dynamodb:${Region}:${Account}:table/${TableName}/stream/${StreamLabel}
|
|
| table |
arn:${Partition}:dynamodb:${Region}:${Account}:table/${TableName}
|
|
| backup |
arn:${Partition}:dynamodb:${Region}:${Account}:table/${TableName}/backup/${BackupName}
|
|
| export |
arn:${Partition}:dynamodb:${Region}:${Account}:table/${TableName}/export/${ExportName}
|
|
| global-table |
arn:${Partition}:dynamodb::${Account}:global-table/${GlobalTableName}
|
|
| import |
arn:${Partition}:dynamodb:${Region}:${Account}:table/${TableName}/import/${ImportName}
|
Claves de condición de Amazon DynamoDB
Amazon DynamoDB define las siguientes claves de condición que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.
Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.
nota
Para obtener información sobre cómo utilizar las claves de contexto para ajustar el acceso de DynamoDB mediante una política de IAM, consulte Uso de condiciones de políticas de IAM para control de acceso preciso en la Guía para desarrolladores de Amazon DynamoDB.
| Claves de condición | Descripción | Tipo |
|---|---|---|
| dynamodb:Attributes | Filtra el acceso en función de los nombres de atributo (campo o columna) de la tabla | ArrayOfString |
| dynamodb:EnclosingOperation | Filtra el acceso bloqueando las llamadas a las API transaccionales y permitir llamadas a la API no transaccionales, y viceversa | Cadena |
| dynamodb:FullTableScan | Filtra el acceso bloqueando el escaneo completo de la tabla | Bool |
| dynamodb:LeadingKeys | Filtra el acceso en función de la clave de partición de la tabla | ArrayOfString |
| dynamodb:ReturnConsumedCapacity | Filtra el acceso en función del parámetro ReturnConsumedCapacity de una solicitud. Contiene "TOTAL" o "NONE". | Cadena |
| dynamodb:ReturnValues | Filtra el acceso en función del parámetro ReturnValues de una solicitud. Contiene una de las siguientes opciones: "ALL_OLD", "UPDATED_OLD","ALL_NEW","UPDATED_NEW" o "NONE". | Cadena |
| dynamodb:Select | Filtra el acceso en función del parámetro de Selección de una solicitud de Consulta o Escaneo | Cadena |
