IAMpolitique visant à empêcher l'achat de capacité réservée DynamoDB - Amazon DynamoDB

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

IAMpolitique visant à empêcher l'achat de capacité réservée DynamoDB

Avec une capacité réservée Amazon DynamoDB, vous payez un droit initial unique, et vous engagez à payer pour un niveau d'utilisation minimal, avec à la clé la réalisation d'économies considérables au fil du temps. Vous pouvez utiliser le AWS Management Console pour consulter et acheter la capacité réservée. Cependant, il se peut que vous ne souhaitiez pas que tous les utilisateurs au sein de votre organisation puissent acheter de la capacité réservée. Pour plus d'informations sur la capacité réservée, consultez Tarification Amazon DynamoDB.

DynamoDB fournit les opérations API suivantes pour contrôler l'accès à la gestion des capacités réservées :

  • dynamodb:DescribeReservedCapacity – Renvoie les achats de capacité réservée qui sont actuellement en vigueur.

  • dynamodb:DescribeReservedCapacityOfferings – Renvoie des détails sur les plans de capacité réservée actuellement proposés par AWS.

  • dynamodb:PurchaseReservedCapacityOfferings – Effectue un achat réel de capacité réservée.

Il AWS Management Console utilise ces API actions pour afficher les informations sur les capacités réservées et effectuer des achats. Vous ne pouvez pas appeler ces opérations à partir d'un programme d'application, car elles ne sont accessibles qu'à partir de la console. Toutefois, vous pouvez autoriser ou refuser l'accès à ces opérations dans le cadre d'une politique d'IAMautorisation.

La politique suivante permet aux utilisateurs de consulter les achats et les offres de capacité réservée en utilisant le AWS Management Console , mais les nouveaux achats sont refusés.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowReservedCapacityDescriptions",
            "Effect": "Allow",
            "Action": [
                "dynamodb:DescribeReservedCapacity",
                "dynamodb:DescribeReservedCapacityOfferings"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:123456789012:*"
        },
        {
            "Sid": "DenyReservedCapacityPurchases",
            "Effect": "Deny",
            "Action": "dynamodb:PurchaseReservedCapacityOfferings",
            "Resource": "arn:aws:dynamodb:us-west-2:123456789012:*"
        }
    ]
}

Notez que cette politique utilise le caractère générique (*) pour décrire les autorisations pour tous, et pour rejeter l'achat de capacité réservée DynamoDB pour tous.