Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation d'IAM avec la sauvegarde et la restauration dans DynamoDB
Vous pouvez utiliser Gestion des identités et des accès AWS (IAM) pour restreindre les actions de sauvegarde et de restauration Amazon DynamoDB pour certaines ressources. Les `CreateBackup` et `RestoreTableFromBackup` APIs fonctionnent par table.
Pour plus d’informations sur l’utilisation de politiques IAM dans DynamoDB, consultez [Politiques basées sur l’identité pour DynamoDB](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies).
Vous trouverez ci-dessous des exemples de politiques IAM que vous pouvez utiliser pour configurer une fonctionnalité de sauvegarde et restauration spécifique dans DynamoDB.
## Exemple 1 : Autoriser les RestoreTableFromBackup actions CreateBackup et
La politique IAM suivante autorise les actions DynamoDB `CreateBackup` et `RestoreTableFromBackup` sur toutes les tables :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dynamodb:CreateBackup",
"dynamodb:RestoreTableFromBackup",
"dynamodb:PutItem",
"dynamodb:UpdateItem",
"dynamodb:DeleteItem",
"dynamodb:GetItem",
"dynamodb:Query",
"dynamodb:Scan",
"dynamodb:BatchWriteItem"
],
"Resource": "*"
}
]
}
```
------
**Important**
Les autorisations RestoreTableFromBackup DynamoDB sont nécessaires sur la sauvegarde source, et les autorisations de lecture et d'écriture DynamoDB sur la table cible sont nécessaires pour la fonctionnalité de restauration.
Les autorisations RestoreTableToPointInTime DynamoDB sont nécessaires sur la table source, et les autorisations de lecture et d'écriture DynamoDB sur la table cible sont nécessaires pour la fonctionnalité de restauration.
## Exemple 2 : autoriser CreateBackup et refuser RestoreTableFromBackup
La politique IAM suivante autorise l’action `CreateBackup` et rejette l’action `RestoreTableFromBackup` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["dynamodb:CreateBackup"],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": ["dynamodb:RestoreTableFromBackup"],
"Resource": "*"
}
]
}
```
------
## Exemple 3 : autoriser ListBackups et refuser CreateBackup et RestoreTableFromBackup
La politique IAM suivante autorise l’action `ListBackups` et rejette les actions `CreateBackup` et `RestoreTableFromBackup` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["dynamodb:ListBackups"],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"dynamodb:CreateBackup",
"dynamodb:RestoreTableFromBackup"
],
"Resource": "*"
}
]
}
```
------
## Exemple 4 : autoriser ListBackups et refuser DeleteBackup
La politique IAM suivante autorise l’action `ListBackups` et rejette l’action `DeleteBackup` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["dynamodb:ListBackups"],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": ["dynamodb:DeleteBackup"],
"Resource": "*"
}
]
}
```
------
## Exemple 5 : autoriser RestoreTableFromBackup et DescribeBackup pour toutes les ressources et refuser DeleteBackup une sauvegarde spécifique
La politique IAM suivante autorise les actions `RestoreTableFromBackup` et `DescribeBackup`, et rejette l’action `DeleteBackup` pour une ressource de sauvegarde spécifique :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dynamodb:DescribeBackup",
"dynamodb:RestoreTableFromBackup"
],
"Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/Music/backup/01489173575360-b308cd7d"
},
{
"Effect": "Allow",
"Action": [
"dynamodb:PutItem",
"dynamodb:UpdateItem",
"dynamodb:DeleteItem",
"dynamodb:GetItem",
"dynamodb:Query",
"dynamodb:Scan",
"dynamodb:BatchWriteItem"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"dynamodb:DeleteBackup"
],
"Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/Music/backup/01489173575360-b308cd7d"
}
]
}
```
------
**Important**
Les autorisations RestoreTableFromBackup DynamoDB sont nécessaires sur la sauvegarde source, et les autorisations de lecture et d'écriture DynamoDB sur la table cible sont nécessaires pour la fonctionnalité de restauration.
Les autorisations RestoreTableToPointInTime DynamoDB sont nécessaires sur la table source, et les autorisations de lecture et d'écriture DynamoDB sur la table cible sont nécessaires pour la fonctionnalité de restauration.
## Exemple 6 : CreateBackup Autoriser un tableau spécifique
La politique IAM suivante autorise l’action `CreateBackup` sur la table `Movies` uniquement :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["dynamodb:CreateBackup"],
"Resource": [
"arn:aws:dynamodb:us-east-1:123456789012:table/Movies"
]
}
]
}
```
------
## Exemple 7 : Autoriser ListBackups
La politique IAM suivante autorise l’action `ListBackups` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["dynamodb:ListBackups"],
"Resource": "*"
}
]
}
```
------
**Important**
Vous ne pouvez pas autoriser l’action `ListBackups` sur une table spécifique.
## Exemple 8 : Autoriser l'accès aux AWS Backup fonctionnalités
Vous aurez besoin des autorisations API pour l’action `StartAwsBackupJob` en vue d’une sauvegarde réussie avec des fonctions avancées, et pour l’action `dynamodb:RestoreTableFromAwsBackup` en vue d’une restauration réussie de cette sauvegarde.
La politique IAM suivante accorde AWS Backup les autorisations nécessaires pour déclencher des sauvegardes avec des fonctionnalités avancées et des restaurations. Notez également que si les tables sont chiffrées, la politique devra accéder à la [clé KMS AWS](encryption.usagenotes.html#dynamodb-kms-authz).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DescribeQueryScanBooksTable",
"Effect": "Allow",
"Action": [
"dynamodb:StartAwsBackupJob",
"dynamodb:DescribeTable",
"dynamodb:Query",
"dynamodb:Scan"
],
"Resource": "arn:aws:dynamodb:us-west-2:111122223333:table/Books"
},
{
"Sid": "AllowRestoreFromAwsBackup",
"Effect": "Allow",
"Action": [
"dynamodb:RestoreTableFromAwsBackup"
],
"Resource": "*"
}
]
}
```
------
## Exemple 9 : Refus RestoreTableToPointInTime pour une table source spécifique
La stratégie IAM suivante refuse les autorisations pour l’action `RestoreTableToPointInTime` pour une table source spécifique :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"dynamodb:RestoreTableToPointInTime"
],
"Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/Music"
}
]
}
```
------
## Exemple 10 : Refus RestoreTableFromBackup de toutes les sauvegardes pour une table source spécifique
La stratégie IAM suivante refuse les autorisations pour l’action `RestoreTableToPointInTime` pour toutes les sauvegardes d’une table source spécifique :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"dynamodb:RestoreTableFromBackup"
],
"Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/Music/backup/*"
}
]
}
```
------