Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation des IAM politiques pour Amazon Kinesis Data Streams et Amazon DynamoDB
La première fois que vous activez Amazon Kinesis Data Streams pour Amazon DynamoDB, DynamoDB crée automatiquement un rôle lié à un service () pour vous. AWS Identity and Access Management IAM Ce rôle, AWSServiceRoleForDynamoDBKinesisDataStreamsReplication, permet à DynamoDB de gérer pour vous la réplication des modifications au niveau élément dans Kinesis Data Streams. Ne supprimez pas ce rôle lié à un service.
Pour plus d'informations sur les rôles liés à un service, consultez la section Utilisation des rôles liés à un service dans le Guide de l'utilisateur. IAM
Note
DynamoDB ne prend pas en charge les conditions basées sur des balises pour les politiques. IAM
Pour activer Amazon Kinesis Data Streams pour Amazon DynamoDB, vous devez disposer des autorisations suivantes sur la table.
-
dynamodb:EnableKinesisStreamingDestination -
kinesis:ListStreams -
kinesis:PutRecords -
kinesis:DescribeStream
Pour décrire Amazon Kinesis Data Streams pour Amazon DynamoDB pour une table DynamoDB donnée, vous devez disposer des autorisations suivantes sur la table.
-
dynamodb:DescribeKinesisStreamingDestination -
kinesis:DescribeStreamSummary -
kinesis:DescribeStream
Pour désactiver Amazon Kinesis Data Streams pour Amazon DynamoDB, vous devez disposer des autorisations suivantes sur la table.
-
dynamodb:DisableKinesisStreamingDestination
Pour mettre à jour Amazon Kinesis Data Streams pour Amazon DynamoDB, vous devez disposer des autorisations suivantes.
-
dynamodb:UpdateKinesisStreamingDestination
Les exemples suivants montrent comment utiliser des IAM politiques pour accorder des autorisations pour Amazon Kinesis Data Streams pour Amazon DynamoDB.
Exemple : Activer Amazon Kinesis Data Streams pour Amazon DynamoDB
La IAM politique suivante autorise l'activation d'Amazon Kinesis Data Streams pour Amazon Music DynamoDB pour la table. Il n'autorise pas la désactivation, la mise à jour ou la description de Kinesis Data Streams pour DynamoDB pour la table. Music
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/kinesisreplication.dynamodb.amazonaws.com/AWSServiceRoleForDynamoDBKinesisDataStreamsReplication", "Condition": {"StringLike": {"iam:AWSServiceName": "kinesisreplication.dynamodb.amazonaws.com"}} }, { "Effect": "Allow", "Action": [ "dynamodb:EnableKinesisStreamingDestination" ], "Resource": "arn:aws:dynamodb:us-west-2:12345678901:table/Music" } ] }
Exemple : mise à jour d'Amazon Kinesis Data Streams pour Amazon DynamoDB
La IAM politique suivante autorise la mise à jour d'Amazon Kinesis Data Streams pour Amazon Music DynamoDB pour la table. Il n'accorde aucune autorisation pour activer, désactiver ou décrire Amazon Kinesis Data Streams pour Amazon Music DynamoDB pour le tableau.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:UpdateKinesisStreamingDestination" ], "Resource": "arn:aws:dynamodb:us-west-2:12345678901:table/Music" } ] }
Exemple : Désactiver Amazon Kinesis Data Streams pour Amazon DynamoDB
La IAM politique suivante autorise la désactivation d'Amazon Kinesis Data Streams pour Amazon Music DynamoDB pour la table. Il n'accorde aucune autorisation pour activer, mettre à jour ou décrire Amazon Kinesis Data Streams pour Amazon Music DynamoDB pour le tableau.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:DisableKinesisStreamingDestination" ], "Resource": "arn:aws:dynamodb:us-west-2:12345678901:table/Music" } ] }
Exemple : appliquer de manière sélective des autorisations pour Amazon Kinesis Data Streams pour Amazon DynamoDB en fonction de la ressource
La IAM politique suivante accorde l'autorisation d'activer et de décrire Amazon Kinesis Data Streams pour Amazon DynamoDB Music pour la table, et refuse les autorisations de désactiver Amazon Kinesis Data Streams pour Amazon DynamoDB pour la table. Orders
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:EnableKinesisStreamingDestination", "dynamodb:DescribeKinesisStreamingDestination" ], "Resource": "arn:aws:dynamodb:us-west-2:12345678901:table/Music" }, { "Effect": "Deny", "Action": [ "dynamodb:DisableKinesisStreamingDestination" ], "Resource": "arn:aws:dynamodb:us-west-2:12345678901:table/Orders" } ] }
Utilisation de rôles liés à un service pour Kinesis Data Streams pour DynamoDB
Amazon Kinesis Data Streams pour Amazon AWS Identity and Access Management DynamoDB IAM utilise () des rôles liés à un service. Un rôle lié à un service est un type unique de IAM rôle directement lié à Kinesis Data Streams for DynamoDB. Les rôles liés à un service sont prédéfinis par Kinesis Data Streams for DynamoDB et incluent toutes les autorisations dont le service a besoin pour appeler d'autres services en votre nom. AWS
Un rôle lié à un service simplifie la configuration de Kinesis Data Streams pour DynamoDB, car vous n'avez pas besoin d'ajouter manuellement les autorisations nécessaires. Kinesis Data Streams pour DynamoDB définit les autorisations de ses rôles liés à un service et, sauf définition contraire, seul Kinesis Data Streams pour DynamoDB peut endosser ses rôles. Les autorisations définies incluent la politique de confiance et la politique d'autorisations, et cette politique d'autorisations ne peut être attachée à aucune autre IAM entité.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section AWS Services compatibles avec IAM et recherchez les services dont la valeur est Oui dans la colonne Rôle lié au service. Choisissez un Oui ayant un lien permettant de consulter les détails du rôle pour ce service.
Autorisations de rôle lié à un service pour Kinesis Data Streams pour DynamoDB
Kinesis Data Streams for DynamoDB utilise le rôle lié à un service nommé. AWSServiceRoleForDynamoDBKinesisDataStreamsReplication L'objectif du rôle lié à un service est d'autoriser Amazon DynamoDB à gérer pour vous la réplication des modifications au niveau élément dans Kinesis Data Streams.
Le rôle lié à un service AWSServiceRoleForDynamoDBKinesisDataStreamsReplication approuve les services suivants pour endosser le rôle :
-
kinesisreplication.dynamodb.amazonaws.com
La politique d'autorisations de rôle permet à Kinesis Data Streams pour DynamoDB d'accomplir les actions suivantes sur les ressources spécifiées :
-
Action :
Put records and describesurKinesis stream -
Action :
Generate data keysactivée pour placer les donnéesAWS KMSdans les flux Kinesis chiffrés à l'aide de clés générées par l'utilisateur AWS KMS .
Pour le contenu exact du document de politique, voir ynamoDBKinesisReplicationServiceRolePolicyD.
Vous devez configurer les autorisations pour autoriser une IAM entité (telle qu'un utilisateur, un groupe ou un rôle) à créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez la section Autorisations relatives aux rôles liés à un service dans le guide de l'IAMutilisateur.
Création d'un rôle lié à un service pour Kinesis Data Streams pour DynamoDB
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous activez Kinesis Data Streams pour DynamoDB dans AWS Management Console le, Kinesis Data AWS API Streams for DynamoDB crée AWS CLI le rôle lié au service pour vous.
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous activez Kinesis Data Streams pour DynamoDB, le service crée pour vous le rôle lié à un service.
Modification d'un rôle lié à un service pour Kinesis Data Streams pour DynamoDB
Kinesis Data Streams pour DynamoDB ne vous permet pas de modifier le rôle lié à un service AWSServiceRoleForDynamoDBKinesisDataStreamsReplication. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Vous pouvez toutefois modifier la description du rôle à l'aide deIAM. Pour plus d'informations, consultez la section Modification d'un rôle lié à un service dans le guide de l'IAMutilisateur.
Suppression d'un rôle lié à un service pour Kinesis Data Streams pour DynamoDB
Vous pouvez également utiliser la IAM console AWS CLI ou le AWS API pour supprimer manuellement le rôle lié au service. Pour cela, vous devez commencer par nettoyer les ressources de votre rôle lié à un service. Vous pouvez ensuite supprimer ce rôle manuellement.
Note
Si le service Kinesis Data Streams pour DynamoDB utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression peut échouer. Si cela se produit, patientez quelques minutes et réessayez.
Pour supprimer manuellement le rôle lié à un service à l'aide de IAM
Utilisez la IAM console AWS CLI, le ou le AWS API pour supprimer le rôle AWSServiceRoleForDynamoDBKinesisDataStreamsReplication lié au service. Pour plus d'informations, consultez la section Suppression d'un rôle lié à un service dans le guide de l'IAMutilisateur.
