Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation des politiques basées sur une identité avec Amazon DynamoDB
Cette rubrique traite de l'utilisation des politiques basées sur l'identité AWS Identity and Access Management (IAM) avec Amazon DynamoDB et fournit des exemples. Les exemples montrent comment un administrateur de compte peut associer des politiques d'autorisation aux IAM identités (utilisateurs, groupes et rôles) et ainsi accorder des autorisations pour effectuer des opérations sur les ressources Amazon DynamoDB.
Les sections de cette rubrique couvrent les sujets suivants :
Un exemple de politique d'autorisation est exposé ci-dessous.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DescribeQueryScanBooksTable", "Effect": "Allow", "Action": [ "dynamodb:DescribeTable", "dynamodb:Query", "dynamodb:Scan" ], "Resource": "arn:aws:dynamodb:us-west-2:account-id:table/Books" } ] }
La politique précédente contient une déclaration qui accorde des autorisations pour trois actions DynamoDB dynamodb:DescribeTable (dynamodb:Query,, dynamodb:Scan et) sur une table de us-west-2 AWS la région, qui appartient au compte spécifié par AWS . account-idResource valeur indique la table à laquelle les autorisations s'appliquent.
IAMautorisations requises pour utiliser la console Amazon DynamoDB
Pour utiliser la console DynamoDB, un utilisateur doit disposer d'un ensemble minimal d'autorisations lui permettant d'utiliser les ressources DynamoDB de son AWS compte. Outre ces autorisations DynamoDB, la console nécessite d'autres autorisations :
-
CloudWatch Autorisations Amazon pour afficher les statistiques et les graphiques.
-
AWS Data Pipeline autorisations d'exportation et d'importation de données DynamoDB.
-
AWS Identity and Access Management autorisations d'accès aux rôles nécessaires pour les exportations et les importations.
-
Amazon Simple Notification Service est autorisé à vous avertir chaque fois qu'une CloudWatch alarme est déclenchée.
-
AWS Lambda autorisations pour traiter les enregistrements DynamoDB Streams.
Si vous créez une IAM politique plus restrictive que les autorisations minimales requises, la console ne fonctionnera pas comme prévu pour les utilisateurs dotés de cette IAM politique. Pour garantir que ces utilisateurs peuvent toujours utiliser la console DynamoDB, associez également la politique gérée à AmazonDynamoDBReadOnlyAccess AWS l'utilisateur, comme décrit dans. AWS IAMpolitiques gérées (prédéfinies) pour Amazon DynamoDB
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui passent des appels uniquement à Amazon DynamoDB AWS CLI ou à Amazon DynamoDBAPI.
Note
Si vous faites référence à un VPC point de terminaison, vous devrez également autoriser l' DescribeEndpoints APIappel pour le ou les IAM principaux demandeurs avec l'IAMaction (dynamodb :DescribeEndpoints). Pour plus d'informations, voir Politique requise pour les points de terminaison.
AWS IAMpolitiques gérées (prédéfinies) pour Amazon DynamoDB
AWS répond à certains cas d'utilisation courants en fournissant des IAM politiques autonomes créées et administrées par AWS. Ces politiques AWS gérées accordent les autorisations nécessaires pour les cas d'utilisation courants afin que vous puissiez éviter d'avoir à rechercher les autorisations nécessaires. Pour plus d'informations, consultez la section Politiques AWS gérées dans le guide de IAM l'utilisateur.
Les politiques AWS gérées suivantes, que vous pouvez associer aux utilisateurs de votre compte, sont spécifiques à DynamoDB et sont regroupées par scénario d'utilisation :
-
AmazonDynamoDBReadOnlyAccess— Accorde un accès en lecture seule aux ressources DynamoDB via le. AWS Management Console
-
AmazonDynamoDBFullAccess— Accorde un accès complet aux ressources DynamoDB via le. AWS Management Console
Vous pouvez consulter ces politiques d'autorisations AWS gérées en vous connectant à la IAM console et en y recherchant des politiques spécifiques.
Important
La meilleure pratique consiste à créer des IAM politiques personnalisées qui accordent le moindre privilège aux utilisateurs, aux rôles ou aux groupes qui en ont besoin.
Exemples de politiques gérées par le client
Cette section contient des exemples de politiques qui accordent des autorisations pour diverses actions DynamoDB. Ces politiques fonctionnent lorsque vous utilisez AWS SDKs ou le AWS CLI. Lorsque vous utilisez la console, vous devez accorder des autorisations supplémentaires spécifiques de la console. Pour de plus amples informations, veuillez consulter IAMautorisations requises pour utiliser la console Amazon DynamoDB.
Note
Tous les exemples de politique suivants utilisent l'une des AWS régions et contiennent des noms de comptes IDs et de tables fictifs.
Exemples :
-
IAMpolitique visant à accorder des autorisations à toutes les actions DynamoDB sur une table
-
IAMpolitique permettant d'accorder l'accès à une table DynamoDB spécifique et à ses index
-
IAMpolitique visant à séparer les environnements DynamoDB dans le même compte AWS
-
IAMpolitique visant à empêcher l'achat de capacité réservée DynamoDB
-
IAMpolitique visant à accorder l'accès en lecture à un flux DynamoDB uniquement (pas à la table)
-
IAMpolitique permettant à une AWS Lambda fonction d'accéder aux enregistrements de flux DynamoDB
-
IAMpolitique d'accès en lecture et en écriture à un cluster DynamoDB Accelerator () DAX
Le guide de IAM l'utilisateur inclut trois exemples supplémentaires de DynamoDB :
