Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kontrol akses DAX
DynamoDB Accelerator (DAX) dirancang untuk bekerja sama dengan DynamoDB guna menambahkan lapisan caching ke aplikasi Anda dengan lancar. Namun, DAX dan DynamoDB memiliki mekanisme kontrol akses terpisah. Kedua layanan menggunakan AWS Identity and Access Management (IAM) untuk menerapkan kebijakan keamanan masing-masing, tetapi model keamanan untuk DAX dan DynamoDB berbeda.
*Kami sangat menyarankan agar Anda memahami kedua model keamanan*, sehingga dapat menerapkan langkah-langkah keamanan yang tepat untuk aplikasi Anda yang menggunakan DAX.
Bagian ini menjelaskan mekanisme kontrol akses yang disediakan oleh DAX dan memberikan contoh kebijakan IAM yang dapat disesuaikan dengan kebutuhan Anda.
Dengan DynamoDB, Anda dapat membuat kebijakan IAM yang membatasi tindakan yang dapat dilakukan pengguna pada sumber daya DynamoDB individu. Misalnya, Anda dapat membuat peran pengguna yang hanya mengizinkan pengguna melakukan tindakan hanya baca di tabel DynamoDB tertentu. (Untuk informasi selengkapnya, lihat [Manajemen Identitas dan Akses untuk Amazon DynamoDB](security-iam.md).) Sebagai perbandingan, model keamanan DAX berfokus pada keamanan klaster dan kemampuan klaster untuk melakukan tindakan API DynamoDB atas nama Anda.
**Awas**
Jika saat ini Anda menggunakan kebijakan dan peran IAM untuk membatasi akses ke data tabel DynamoDB, penggunaan DAX dapat **merusak** kebijakan tersebut. Misalnya, pengguna dapat memiliki akses ke tabel DynamoDB melalui DAX tetapi tidak memiliki akses eksplisit ke tabel yang sama yang mengakses DynamoDB secara langsung. Untuk informasi selengkapnya, lihat [Manajemen Identitas dan Akses untuk Amazon DynamoDB](security-iam.md).
DAX tidak memberlakukan pemisahan tingkat pengguna pada data di DynamoDB. Sebaliknya, pengguna mewarisi izin kebijakan IAM klaster DAX ketika mengakses klaster tersebut. Dengan demikian, ketika mengakses tabel DynamoDB melalui DAX, kontrol akses yang berlaku adalah izin di kebijakan IAM klaster DAX. Tidak ada izin lain yang diakui.
Jika memerlukan isolasi, sebaiknya Anda membuat klaster DAX tambahan dan lingkup kebijakan IAM untuk setiap klaster. Misalnya, Anda dapat membuat beberapa klaster DAX dan mengizinkan setiap klaster mengakses hanya satu tabel.
## Peran layanan IAM untuk DAX
Ketika membuat sebuah klaster DAX, Anda harus mengasosiasikan instans dengan peran IAM. Hal ini dikenal sebagai *peran layanan* untuk klaster.
Misalkan Anda ingin membuat cluster DAX baru bernama *DAXCluster01*. Anda dapat membuat peran layanan bernama *DAXServicePeran*, dan mengaitkan peran dengan *DAXCluster01*. Kebijakan untuk *DAXServicePeran* akan menentukan tindakan DynamoDB *DAXCluster01*yang dapat dilakukan, atas nama pengguna yang berinteraksi dengannya. *DAXCluster01*
Saat membuat peran layanan, Anda harus menentukan hubungan kepercayaan antara *DAXServicePeran* dan layanan DAX itu sendiri. Hubungan kepercayaan menentukan entitas yang dapat mengambil peran dan memanfaatkan izinnya. Berikut ini adalah contoh dokumen hubungan kepercayaan untuk *DAXServicePeran*:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "dax.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Hubungan kepercayaan ini memungkinkan klaster DAX untuk mengambil *DAXServicePeran* dan melakukan panggilan API DynamoDB atas nama Anda.
*Tindakan API DynamoDB yang diizinkan dijelaskan dalam dokumen kebijakan IAM, yang Anda lampirkan ke Peran. DAXService* Berikut adalah contoh dokumen kebijakan.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DaxAccessPolicy",
"Effect": "Allow",
"Action": [
"dynamodb:DescribeTable",
"dynamodb:PutItem",
"dynamodb:GetItem",
"dynamodb:UpdateItem",
"dynamodb:DeleteItem",
"dynamodb:Query",
"dynamodb:Scan",
"dynamodb:BatchGetItem",
"dynamodb:BatchWriteItem",
"dynamodb:ConditionCheckItem"
],
"Resource": [
"arn:aws:dynamodb:us-west-2:123456789012:table/Books"
]
}
]
}
```
------
Kebijakan ini mengizinkan DAX melakukan tindakan API DynamoDB yang diperlukan di tabel DynamoDB. Tindakan `dynamodb:DescribeTable` diperlukan agar DAX dapat mempertahankan metadata tentang tabel, dan tindakan lain adalah tindakan pembacaan dan penulisan yang dilakukan pada item dalam tabel. Tabel bernama `Books` berada di Wilayah us-west-2 dan dimiliki oleh ID akun AWS `123456789012`.
**catatan**
DAX mendukung mekanisme untuk mencegah masalah deputi yang membingungkan selama akses Cross-service. Untuk informasi selengkapnya, lihat [Masalah confused deputy](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) di *Panduan Pengguna IAM*.
## Kebijakan IAM untuk mengizinkan akses klaster DAX
Setelah membuat klaster DAX, Anda perlu memberikan izin untuk pengguna sehingga pengguna dapat mengakses klaster DAX.
Misalnya, Anda ingin memberikan akses *DAXCluster01*ke pengguna bernama Alice. Pertama-tama Anda akan membuat kebijakan IAM (*AliceAccessPolicy*) yang mendefinisikan cluster DAX dan tindakan API DAX yang dapat diakses oleh penerima. Kemudian, Anda akan memberikan akses dengan melampirkan kebijakan ini ke pengguna Alice.
Dokumen kebijakan berikut memberikan akses penuh kepada penerima *DAXCluster01*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"dax:*"
],
"Effect": "Allow",
"Resource": [
"arn:aws:dax:us-west-2:123456789012:cache/DAXCluster01"
]
}
]
}
```
------
Dokumen kebijakan mengizinkan akses ke klaster DAX, tetapi tidak memberikan izin DynamoDB apa pun. (Izin DynamoDB diberikan oleh peran layanan DAX).
Untuk pengguna Alice, Anda harus terlebih dahulu membuat `AliceAccessPolicy` dengan dokumen kebijakan yang ditampilkan sebelumnya. Kemudian, Anda akan melampirkan kebijakan tersebut pada Alice.
**catatan**
Selain melampirkan kebijakan kepada pengguna, Anda dapat melampirkannya ke peran IAM. Dengan cara itu, semua pengguna yang mengambil peran tersebut akan memiliki izin yang Anda tetapkan dalam kebijakan.
Kebijakan pengguna dan peran layanan DAX menentukan sumber daya DynamoDB dan tindakan API yang dapat diakses oleh penerima melalui DAX.
## Studi Kasus: Mengakses DynamoDB dan DAX
Skenario berikut dapat membantu Anda memahami lebih jauh tentang kebijakan IAM yang digunakan dengan DAX. (Skenario ini disebut di seluruh bagian ini). Diagram berikut menunjukkan gambaran umum tingkat tinggi skenario.
![\[Ikhtisar tingkat tinggi dari skenario kebijakan IAM untuk menggunakan DAX.\]](http://docs.aws.amazon.com/id_id/amazondynamodb/latest/developerguide/images/dax-access-control-scenario.png)
Dalam skenario ini, terdapat entitas berikut:
+ Pengguna (Bob).
+ Peran IAM (`BobUserRole`). Bob mengambil peran ini saat runtime.
+ Kebijakan IAM (`BobAccessPolicy`). Kebijakan ini dilampirkan pada `BobUserRole`. `BobAccessPolicy` menentukan sumber daya DynamoDB dan DAX yang dapat diakses `BobUserRole`.
+ Klaster DAX (`DAXCluster01`).
+ Peran layanan IAM (`DAXServiceRole`). Peran ini mengizinkan `DAXCluster01` untuk mengakses DynamoDB.
+ Kebijakan IAM (`DAXAccessPolicy`). Kebijakan ini dilampirkan pada`DAXServiceRole`. `DAXAccessPolicy`mendefinisikan APIs DynamoDB dan sumber daya `DAXCluster01` yang diizinkan untuk mengakses.
+ Tabel DynamoDB (`Books`).
Kombinasi pernyataan kebijakan di `BobAccessPolicy` dan `DAXAccessPolicy` menentukan apa yang dapat dilakukan Bob dengan tabel `Books`. Misalnya, Bob mungkin dapat mengakses `Books` secara langsung (menggunakan titik akhir DynamoDB), secara tidak langsung (menggunakan klaster DAX), atau keduanya. Bob mungkin juga dapat membaca data dari `Books`, menulis data ke `Books`, atau keduanya.
## Akses ke DynamoDB, tetapi tidak ada akses ke DAX
![\[Ikhtisar kebijakan IAM yang memungkinkan akses langsung ke tabel, tetapi memblokir akses tidak langsung menggunakan kluster DAX.\]](http://docs.aws.amazon.com/id_id/amazondynamodb/latest/developerguide/images/dax-access-control-ddb-only.png)
Mengizinkan akses langsung ke tabel DynamoDB sekaligus mencegah akses tidak langsung menggunakan klaster DAX dapat dilakukan. Untuk akses langsung ke DynamoDB, izin untuk `BobUserRole` ditentukan oleh `BobAccessPolicy` (yang terlampir pada peran).
### Akses hanya baca ke DynamoDB (khusus)
*Bob* dapat mengakses DynamoDB dengan `BobUserRole`. Kebijakan IAM yang dilampirkan pada role (`BobAccessPolicy`) ini menentukan tabel DynamoDB `BobUserRole` yang dapat mengakses, dan APIs apa yang dapat dipanggil. `BobUserRole`
Pertimbangkan dokumen kebijakan berikut untuk `BobAccessPolicy`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DynamoDBAccessStmt",
"Effect": "Allow",
"Action": [
"dynamodb:GetItem",
"dynamodb:BatchGetItem",
"dynamodb:Query",
"dynamodb:Scan"
],
"Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/Books"
}
]
}
```
------
Ketika dilampirkan ke `BobAccessPolicy`, dokumen ini mengizinkan `BobUserRole` untuk mengakses titik akhir DynamoDB dan melakukan operasi hanya baca pada tabel `Books`.
DAX tidak muncul dalam kebijakan ini, sehingga akses melalui DAX ditolak.
### Akses baca/tulis ke DynamoDB (khusus)
Jika `BobUserRole` memerlukan read/write akses ke DynamoDB, kebijakan berikut akan berfungsi.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DynamoDBAccessStmt",
"Effect": "Allow",
"Action": [
"dynamodb:GetItem",
"dynamodb:BatchGetItem",
"dynamodb:Query",
"dynamodb:Scan",
"dynamodb:PutItem",
"dynamodb:UpdateItem",
"dynamodb:DeleteItem",
"dynamodb:BatchWriteItem",
"dynamodb:ConditionCheckItem"
],
"Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/Books"
}
]
}
```
------
Sekali lagi, DAX tidak muncul dalam kebijakan ini, sehingga akses melalui DAX ditolak.
## Akses ke DynamoDB dan DAX
![\[Kebijakan IAM yang memberikan akses ke tabel DynamoDB dan cluster DAX.\]](http://docs.aws.amazon.com/id_id/amazondynamodb/latest/developerguide/images/dax-access-control-ddb-and-dax.png)
Untuk mengizinkan akses ke klaster DAX, Anda harus menyertakan tindakan khusus DAX dalam kebijakan IAM.
Tindakan khusus DAX berikut sesuai dengan tindakan serupa yang memiliki nama serupa di API DynamoDB:
+ `dax:GetItem`
+ `dax:BatchGetItem`
+ `dax:Query`
+ `dax:Scan`
+ `dax:PutItem`
+ `dax:UpdateItem`
+ `dax:DeleteItem`
+ `dax:BatchWriteItem`
+ `dax:ConditionCheckItem`
Hal yang sama berlaku untuk kunci syarat `dax:EnclosingOperation`.
### Akses hanya baca ke DynamoDB dan akses hanya baca ke DAX
Anggaplah Bob membutuhkan akses hanya baca ke tabel `Books`, dari DynamoDB dan dari DAX. Kebijakan berikut (dilampirkan pada `BobUserRole`) memberikan akses ini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DAXAccessStmt",
"Effect": "Allow",
"Action": [
"dax:GetItem",
"dax:BatchGetItem",
"dax:Query",
"dax:Scan"
],
"Resource": "arn:aws:dax:us-west-2:123456789012:cache/DAXCluster01"
},
{
"Sid": "DynamoDBAccessStmt",
"Effect": "Allow",
"Action": [
"dynamodb:GetItem",
"dynamodb:BatchGetItem",
"dynamodb:Query",
"dynamodb:Scan"
],
"Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/Books"
}
]
}
```
------
Kebijakan ini memiliki pernyataan untuk DAX access (`DAXAccessStmt`) dan pernyataan lain untuk Dynamo DBaccess (`DynamoDBAccessStmt`). Pernyataan tersebut mengizinkan Bob mengirim permintaan `GetItem`, `BatchGetItem`, `Query`, dan `Scan` ke `DAXCluster01`.
Namun, peran layanan untuk `DAXCluster01` juga akan membutuhkan akses hanya baca ke tabel `Books` di DynamoDB. Kebijakan IAM berikut, yang terlampir pada `DAXServiceRole`, akan memenuhi persyaratan ini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DynamoDBAccessStmt",
"Effect": "Allow",
"Action": [
"dynamodb:GetItem",
"dynamodb:BatchGetItem",
"dynamodb:Query",
"dynamodb:Scan"
],
"Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/Books"
}
]
}
```
------
### Akses baca/tulis ke DynamoDB dan hanya baca dengan DAX
Untuk peran pengguna tertentu, Anda dapat memberikan read/write akses ke tabel DynamoDB, sekaligus mengizinkan akses hanya-baca melalui DAX.
Untuk Bob, kebijakan IAM untuk `BobUserRole` perlu mengizinkan DynamoDB membaca dan menulis tindakan pada tabel `Books`, sekaligus mendukung tindakan hanya baca melalui `DAXCluster01`.
Dokumen kebijakan contoh untuk `BobUserRole` berikut memberikan akses ini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DAXAccessStmt",
"Effect": "Allow",
"Action": [
"dax:GetItem",
"dax:BatchGetItem",
"dax:Query",
"dax:Scan"
],
"Resource": "arn:aws:dax:us-west-2:123456789012:cache/DAXCluster01"
},
{
"Sid": "DynamoDBAccessStmt",
"Effect": "Allow",
"Action": [
"dynamodb:GetItem",
"dynamodb:BatchGetItem",
"dynamodb:Query",
"dynamodb:Scan",
"dynamodb:PutItem",
"dynamodb:UpdateItem",
"dynamodb:DeleteItem",
"dynamodb:BatchWriteItem",
"dynamodb:DescribeTable",
"dynamodb:ConditionCheckItem"
],
"Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/Books"
}
]
}
```
------
Selain itu, `DAXServiceRole` akan memerlukan kebijakan IAM yang mengizinkan `DAXCluster01` melakukan tindakan hanya baca pada tabel `Books`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DynamoDBAccessStmt",
"Effect": "Allow",
"Action": [
"dynamodb:GetItem",
"dynamodb:BatchGetItem",
"dynamodb:Query",
"dynamodb:Scan",
"dynamodb:DescribeTable"
],
"Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/Books"
}
]
}
```
------
### Read/write access to DynamoDB and read/writeakses ke DAX
Sekarang anggaplah Bob memerlukan read/write akses ke `Books` tabel, langsung dari DynamoDB atau secara tidak langsung dari. `DAXCluster01` Dokumen kebijakan yang dilampirkan pada `BobAccessPolicy` berikut memberikan akses ini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DAXAccessStmt",
"Effect": "Allow",
"Action": [
"dax:GetItem",
"dax:BatchGetItem",
"dax:Query",
"dax:Scan",
"dax:PutItem",
"dax:UpdateItem",
"dax:DeleteItem",
"dax:BatchWriteItem",
"dax:ConditionCheckItem"
],
"Resource": "arn:aws:dax:us-west-2:123456789012:cache/DAXCluster01"
},
{
"Sid": "DynamoDBAccessStmt",
"Effect": "Allow",
"Action": [
"dynamodb:GetItem",
"dynamodb:BatchGetItem",
"dynamodb:Query",
"dynamodb:Scan",
"dynamodb:PutItem",
"dynamodb:UpdateItem",
"dynamodb:DeleteItem",
"dynamodb:BatchWriteItem",
"dynamodb:DescribeTable",
"dynamodb:ConditionCheckItem"
],
"Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/Books"
}
]
}
```
------
Selain itu, `DAXServiceRole` akan memerlukan kebijakan IAM yang memungkinkan `DAXCluster01` untuk melakukan read/write tindakan di atas `Books` meja.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DynamoDBAccessStmt",
"Effect": "Allow",
"Action": [
"dynamodb:GetItem",
"dynamodb:BatchGetItem",
"dynamodb:Query",
"dynamodb:Scan",
"dynamodb:PutItem",
"dynamodb:UpdateItem",
"dynamodb:DeleteItem",
"dynamodb:BatchWriteItem",
"dynamodb:DescribeTable"
],
"Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/Books"
}
]
}
```
------
## Akses ke DynamoDB melalui DAX, tetapi tidak ada akses langsung ke DynamoDB
Dalam skenario ini, Bob dapat mengakses tabel `Books` melalui DAX, tetapi tidak memiliki akses langsung ke tabel `Books` di DynamoDB. Dengan demikian, ketika mendapatkan akses ke DAX, Bob juga mendapatkan akses ke tabel DynamoDB yang mungkin tidak dapat diakses. Ketika Anda mengonfigurasi kebijakan IAM untuk peran layanan DAX, ingat bahwa setiap pengguna yang diberikan akses ke klaster DAX melalui kebijakan akses pengguna mendapatkan akses ke tabel yang ditentukan dalam kebijakan tersebut. Dalam kasus ini, `BobAccessPolicy` mendapat akses ke tabel yang ditentukan di `DAXAccessPolicy`.
![\[Skenario di mana pengguna dapat mengakses tabel melalui cluster DAX tanpa akses DynamoDB langsung.\]](http://docs.aws.amazon.com/id_id/amazondynamodb/latest/developerguide/images/dax-access-control-dax-only.png)
Jika saat ini Anda menggunakan kebijakan dan peran IAM untuk membatasi akses ke tabel dan data DynamoDB, penggunaan DAX dapat merusak kebijakan tersebut. Dalam kebijakan berikut, Bob memiliki akses ke tabel DynamoDB melalui DAX, tetapi tidak memiliki akses langsung eksplisit ke tabel yang sama di DynamoDB.
Dokumen kebijakan berikut (`BobAccessPolicy`), yang dilampirkan pada `BobUserRole`, memberikan akses ini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DAXAccessStmt",
"Effect": "Allow",
"Action": [
"dax:GetItem",
"dax:BatchGetItem",
"dax:Query",
"dax:Scan",
"dax:PutItem",
"dax:UpdateItem",
"dax:DeleteItem",
"dax:BatchWriteItem",
"dax:ConditionCheckItem"
],
"Resource": "arn:aws:dax:us-west-2:123456789012:cache/DAXCluster01"
}
]
}
```
------
Dalam kebijakan akses ini, tidak ada izin untuk mengakses DynamoDB secara langsung.
Bersama dengan `BobAccessPolicy`, `DAXAccessPolicy` berikut memberi `BobUserRole` akses ke tabel DynamoDB `Books` meskipun `BobUserRole` tidak dapat langsung mengakses tabel `Books`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DynamoDBAccessStmt",
"Effect": "Allow",
"Action": [
"dynamodb:GetItem",
"dynamodb:BatchGetItem",
"dynamodb:Query",
"dynamodb:Scan",
"dynamodb:PutItem",
"dynamodb:UpdateItem",
"dynamodb:DeleteItem",
"dynamodb:BatchWriteItem",
"dynamodb:DescribeTable",
"dynamodb:ConditionCheckItem"
],
"Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/Books"
}
]
}
```
------
Seperti yang ditunjukkan contoh ini, saat Anda mengonfigurasi kontrol akses untuk kebijakan akses pengguna dan kebijakan akses klaster DAX, Anda harus sepenuhnya memahami end-to-end akses untuk memastikan bahwa prinsip hak istimewa paling sedikit dipatuhi. Pastikan juga bahwa pemberian akses ke klaster DAX kepada pengguna tidak merusak kebijakan kontrol akses yang telah ada sebelumnya.