Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Menggunakan kontrol akses berbasis atribut dengan DynamoDB

PDF
RSS
Mode fokus
Menggunakan kontrol akses berbasis atribut dengan DynamoDB - Amazon DynamoDB
Mengapa saya harus menggunakanABAC?Kunci syaratPertimbangan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Attribute-based access control (ABAC) adalah strategi otorisasi yang menentukan izin akses berdasarkan kondisi tag dalam kebijakan berbasis identitas Anda atau kebijakan lain, seperti kebijakan berbasis sumber daya dan AWS kebijakan organisasi. IAM Anda dapat melampirkan tag ke tabel DynamoDB, yang kemudian dievaluasi terhadap kondisi berbasis tag. Indeks yang terkait dengan tabel mewarisi tag yang Anda tambahkan ke tabel. Anda dapat menambahkan hingga 50 tag untuk setiap tabel DynamoDB. Ukuran maksimum yang didukung untuk semua tag dalam tabel adalah 10 KB. Untuk informasi selengkapnya tentang menandai sumber daya DynamoDB dan pembatasan penandaan, lihat Menandai sumber daya di DynamoDB dan Pembatasan penandaan di DynamoDB.

Untuk informasi selengkapnya tentang penggunaan tag untuk mengontrol akses ke AWS sumber daya, lihat topik berikut di Panduan IAM Pengguna:

Dengan menggunakanABAC, Anda dapat menerapkan tingkat akses yang berbeda untuk tim dan aplikasi Anda untuk melakukan tindakan pada tabel DynamoDB menggunakan kebijakan yang lebih sedikit. Anda dapat menentukan tag dalam elemen kondisi IAM kebijakan untuk mengontrol akses ke tabel atau indeks DynamoDB Anda. Kondisi ini menentukan tingkat akses yang dimiliki IAM prinsipal, pengguna, atau peran ke tabel dan indeks DynamoDB. Saat IAM prinsipal membuat permintaan akses ke DynamoDB, tag sumber daya dan identitas dievaluasi terhadap kondisi tag dalam kebijakan. IAM Setelah itu, kebijakan menjadi efektif hanya jika kondisi tag terpenuhi. Ini memungkinkan Anda untuk membuat IAM kebijakan yang secara efektif mengatakan salah satu dari berikut:

  • Izinkan pengguna untuk mengelola hanya sumber daya yang memiliki tag dengan kunci X dan nilai Y.

  • Tolak akses ke semua pengguna ke sumber daya yang ditandai dengan kunci X.

Misalnya, Anda dapat membuat kebijakan yang memungkinkan pengguna memperbarui tabel hanya jika memiliki pasangan nilai kunci tag:. "environment": "staging" Anda dapat menggunakan kunci ResourceTag kondisi aws: untuk mengizinkan atau menolak akses ke tabel berdasarkan tag yang dilampirkan ke tabel tersebut.

Anda dapat menyertakan kondisi berbasis atribut saat membuat kebijakan atau yang lebih baru menggunakan AWS Management Console, AWS API, AWS Command Line Interface (AWS CLI) AWS SDK, atau. AWS CloudFormation

Contoh berikut memungkinkan UpdateItemtindakan pada tabel bernama MusicTable jika menyertakan kunci tag dengan nama environment dan nilaiproduction.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "dynamodb:UpdateItem"
      ],
      "Resource": "arn:aws:dynamodb:*:*:table/MusicTable",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/environment": "production"
        }
      }
    }
  ]
}
Topik

Mengapa saya harus menggunakanABAC?

  • Manajemen kebijakan yang lebih sederhana: Anda menggunakan lebih sedikit kebijakan karena Anda tidak perlu membuat kebijakan yang berbeda untuk menentukan tingkat akses untuk setiap IAM prinsipal.

  • Kontrol akses yang dapat diskalakan: Menskalakan kontrol akses lebih mudah ABAC karena Anda tidak perlu memperbarui kebijakan saat membuat sumber daya DynamoDB baru. Anda dapat menggunakan tag untuk mengotorisasi akses ke IAM prinsipal yang berisi tag yang cocok dengan tag sumber daya. Anda dapat menggunakan IAM prinsipal baru atau sumber daya DynamoDB dan menerapkan tag yang sesuai untuk secara otomatis memberikan izin yang diperlukan tanpa harus membuat perubahan kebijakan apa pun.

  • Manajemen izin berbutir halus: Merupakan praktik terbaik untuk memberikan hak istimewa paling sedikit saat Anda membuat kebijakan. Dengan menggunakanABAC, Anda dapat membuat tag untuk IAM prinsipal, dan menggunakannya untuk memberikan akses ke tindakan dan sumber daya tertentu yang cocok dengan tag pada IAM prinsipal.

  • Penyelarasan dengan direktori perusahaan: Anda dapat memetakan tag dengan atribut karyawan yang ada dari direktori perusahaan Anda untuk menyelaraskan kebijakan kontrol akses Anda dengan struktur organisasi Anda.

Kunci kondisi untuk diimplementasikan ABAC dengan DynamoDB

Anda dapat menggunakan kunci kondisi berikut dalam AWS kebijakan Anda untuk mengontrol tingkat akses ke tabel dan indeks DynamoDB Anda:

  • aws: ResourceTag /tag-key: Mengontrol akses berdasarkan apakah pasangan nilai kunci tag pada tabel atau indeks DynamoDB cocok dengan kunci tag dan nilai dalam kebijakan. Kunci kondisi ini relevan dengan semua APIs yang beroperasi pada tabel atau indeks yang ada.

    dynamodb:ResourceTagKondisi dievaluasi seolah-olah Anda tidak melampirkan tag apa pun ke sumber daya.

  • aws: RequestTag /tag-key: Memungkinkan membandingkan pasangan nilai kunci tag yang diteruskan dalam permintaan dengan pasangan tag yang Anda tentukan dalam kebijakan. Kunci kondisi ini relevan dengan APIs yang berisi tag sebagai bagian dari payload permintaan. Ini APIs termasuk CreateTabledan TagResource.

  • aws: TagKeys: Membandingkan kunci tag dalam permintaan dengan kunci yang Anda tentukan dalam kebijakan. Kunci kondisi ini relevan dengan APIs yang berisi tag sebagai bagian dari payload permintaan. Ini APIs termasukCreateTable,TagResource, danUntagResource.

Pertimbangan untuk menggunakan ABAC dengan DynamoDB

Bila Anda menggunakan ABAC dengan tabel atau indeks DynamoDB, pertimbangan berikut berlaku:

  • Menandai dan ABAC tidak didukung untuk DynamoDB Streams.

  • Menandai dan ABAC tidak didukung untuk backup DynamoDB. Untuk digunakan ABAC dengan cadangan, kami sarankan Anda menggunakannya. AWS Backup

  • Tag tidak disimpan dalam tabel yang dipulihkan. Anda perlu menambahkan tag ke tabel yang dipulihkan sebelum dapat menggunakan kondisi berbasis tag dalam kebijakan Anda.

Di halaman ini

Related resources

Amazon DynamoDB Referensi API
Lembar Cheat
Menggunakan Amazon DynamoDB dengan AWS SDK

Related resources

Amazon DynamoDB Referensi API
Lembar Cheat
Menggunakan Amazon DynamoDB dengan AWS SDK
PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.