Contoh: Mengaktifkan Amazon Kinesis Data Streams untuk Amazon DynamoDB Contoh: Perbarui Amazon Kinesis Data Streams untuk Amazon DynamoDB Contoh: Menonaktifkan Amazon Kinesis Data Streams untuk Amazon DynamoDB Contoh: Selektif menerapkan izin untuk Amazon Kinesis Data Streams untuk Amazon DynamoDB berdasarkan sumber daya Menggunakan peran terkait layanan

Menggunakan IAM kebijakan untuk Amazon Kinesis Data Streams dan Amazon DynamoDB

Saat pertama kali Anda mengaktifkan Amazon Kinesis Data Streams untuk Amazon DynamoDB, DynamoDB secara otomatis membuat peran terkait layanan () untuk Anda. AWS Identity and Access Management IAM Peran ini, AWSServiceRoleForDynamoDBKinesisDataStreamsReplication, memungkinkan DynamoDB untuk mengelola replikasi perubahan tingkat item ke Kinesis Data Streams atas nama Anda. Jangan hapus peran tertaut layanan ini.

Untuk informasi selengkapnya tentang peran terkait layanan, lihat Menggunakan peran terkait layanan di Panduan Pengguna. IAM

catatan

DynamoDB tidak mendukung kondisi berbasis tag untuk kebijakan. IAM

Untuk mengaktifkan Amazon Kinesis Data Streams untuk Amazon DynamoDB, Anda harus memiliki izin berikut di tabel:

dynamodb:EnableKinesisStreamingDestination
kinesis:ListStreams
kinesis:PutRecords
kinesis:DescribeStream

Untuk menjelaskan Amazon Kinesis Data Streams untuk Amazon DynamoDB untuk tabel DynamoDB tertentu, Anda harus memiliki izin berikut pada tabel.

dynamodb:DescribeKinesisStreamingDestination
kinesis:DescribeStreamSummary
kinesis:DescribeStream

Untuk menonaktifkan Amazon Kinesis Data Streams untuk Amazon DynamoDB, Anda harus memiliki izin berikut pada tabel.

dynamodb:DisableKinesisStreamingDestination

Untuk memperbarui Amazon Kinesis Data Streams untuk Amazon DynamoDB, Anda harus memiliki izin berikut di atas tabel.

dynamodb:UpdateKinesisStreamingDestination

Contoh berikut menunjukkan cara menggunakan IAM kebijakan untuk memberikan izin untuk Amazon Kinesis Data Streams untuk Amazon DynamoDB.

Contoh: Mengaktifkan Amazon Kinesis Data Streams untuk Amazon DynamoDB

IAMKebijakan berikut memberikan izin untuk mengaktifkan Amazon Kinesis Data Streams untuk Amazon DynamoDB untuk tabel. Music Itu tidak memberikan izin untuk menonaktifkan, memperbarui atau menjelaskan Kinesis Data Streams untuk DynamoDB untuk tabel. Music


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/kinesisreplication.dynamodb.amazonaws.com/AWSServiceRoleForDynamoDBKinesisDataStreamsReplication",
            "Condition": {"StringLike": {"iam:AWSServiceName": "kinesisreplication.dynamodb.amazonaws.com"}}
        },
        {
            "Effect": "Allow",
            "Action": [

                "dynamodb:EnableKinesisStreamingDestination"

            ],
            "Resource": "arn:aws:dynamodb:us-west-2:12345678901:table/Music"
        }
    ]
}

Contoh: Perbarui Amazon Kinesis Data Streams untuk Amazon DynamoDB

IAMKebijakan berikut memberikan izin untuk memperbarui Amazon Kinesis Data Streams untuk Amazon DynamoDB untuk tabel. Music Itu tidak memberikan izin untuk mengaktifkan, menonaktifkan, atau menjelaskan Amazon Kinesis Data Streams untuk Amazon DynamoDB untuk tabel. Music


{
"Version": "2012-10-17",
    "Statement": [
        {
"Effect": "Allow",
            "Action": [                
                "dynamodb:UpdateKinesisStreamingDestination"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:12345678901:table/Music"
        }
    ]
}

Contoh: Menonaktifkan Amazon Kinesis Data Streams untuk Amazon DynamoDB

IAMKebijakan berikut memberikan izin untuk menonaktifkan Amazon Kinesis Data Streams untuk Amazon DynamoDB untuk tabel. Music Itu tidak memberikan izin untuk mengaktifkan, memperbarui, atau menjelaskan Amazon Kinesis Data Streams untuk Amazon DynamoDB untuk tabel. Music


{
"Version": "2012-10-17",
    "Statement": [
        {
"Effect": "Allow",
            "Action": [                
                "dynamodb:DisableKinesisStreamingDestination"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:12345678901:table/Music"
        }
    ]
}

Contoh: Selektif menerapkan izin untuk Amazon Kinesis Data Streams untuk Amazon DynamoDB berdasarkan sumber daya

IAMKebijakan berikut memberikan izin untuk mengaktifkan dan menjelaskan Amazon Kinesis Data Streams untuk Amazon DynamoDB untuk tabel, dan menolak izin untuk menonaktifkan Amazon Kinesis Data Streams Music untuk Amazon DynamoDB untuk tabel. Orders


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:EnableKinesisStreamingDestination",
                "dynamodb:DescribeKinesisStreamingDestination"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:12345678901:table/Music"
        },
        {
            "Effect": "Deny",
            "Action": [
                "dynamodb:DisableKinesisStreamingDestination"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:12345678901:table/Orders"
        }
        
    ]
}

Menggunakan peran tertaut layanan untuk Kinesis Data Streams untuk DynamoDB

Amazon Kinesis Data Streams untuk Amazon DynamoDB menggunakan peran terkait layanan (). AWS Identity and Access Management IAM Peran terkait layanan adalah jenis peran unik yang ditautkan langsung ke Kinesis Data Streams untuk DynamoDB. IAM Peran terkait layanan telah ditentukan sebelumnya oleh Kinesis Data Streams untuk DynamoDB dan menyertakan semua izin yang diperlukan layanan untuk memanggil layanan lain atas nama Anda. AWS

Peran tertaut layanan membuat pengaturan Kinesis Data Streams untuk DynamoDB lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Kinesis Data Streams untuk DynamoDB menentukan izin peran terkait layanannya, dan kecuali ditentukan lain, hanya Kinesis Data Streams untuk DynamoDB yang dapat mengambil peran tersebut. Izin yang ditetapkan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas lain mana pun. IAM

Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat AWS Layanan yang Bekerja dengan IAM dan cari layanan yang memiliki Ya di kolom Peran Tertaut Layanan. Pilih Ya dengan tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.

Izin peran tertaut layanan untuk Kinesis Data Streams untuk DynamoDB

Kinesis Data Streams untuk DynamoDB menggunakan peran terkait layanan bernama. AWSServiceRoleForDynamoDBKinesisDataStreamsReplication Tujuan dari peran tertaut layanan adalah untuk memungkinkan Amazon DynamoDB mengelola replikasi perubahan tingkat item pada Kinesis Data Streams, atas nama Anda.

Peran tertaut layanan AWSServiceRoleForDynamoDBKinesisDataStreamsReplication memercayai layanan berikut untuk mengambil peran tersebut:

kinesisreplication.dynamodb.amazonaws.com

Kebijakan izin peran memungkinkan Kinesis Data Streams for DynamoDB menyelesaikan tindakan berikut pada sumber daya yang ditentukan:

Tindakan: Put records and describe pada Kinesis stream
Tindakan: Generate data keys aktif AWS KMS untuk menempatkan data pada aliran Kinesis yang dienkripsi menggunakan kunci Buatan Pengguna. AWS KMS

Untuk isi dokumen kebijakan yang tepat, lihat D ynamoDBKinesis ReplicationServiceRolePolicy.

Anda harus mengonfigurasi izin untuk mengizinkan IAM entitas (seperti pengguna, grup, atau peran) membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat Izin Peran Tertaut Layanan di Panduan Pengguna. IAM

Membuat peran tertaut layanan untuk Kinesis Data Streams untuk DynamoDB

Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda mengaktifkan Kinesis Data Streams untuk AWS Management Console DynamoDB di AWS CLI,, atau, Kinesis Data Streams untuk DynamoDB membuat peran terkait layanan untuk Anda. AWS API

Jika Anda menghapus peran tertaut layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda mengaktifkan Kinesis Data Streams untuk DynamoDB, Kinesis Data Streams untuk DynamoDB menciptakan peran terkait layanan untuk Anda lagi.

Mengedit peran tertaut layanan untuk Kinesis Data Streams untuk DynamoDB

Kinesis Data Streams untuk DynamoDB tidak mengizinkan Anda mengedit peran tertaut layanan AWSServiceRoleForDynamoDBKinesisDataStreamsReplication. Setelah Anda membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat mengedit deskripsi peran menggunakanIAM. Untuk informasi selengkapnya, lihat Mengedit Peran Tertaut Layanan di IAMPanduan Pengguna.

Menghapus peran tertaut layanan untuk Kinesis Data Streams untuk DynamoDB

Anda juga dapat menggunakan IAM konsol, AWS CLI atau AWS API untuk menghapus peran terkait layanan secara manual. Untuk melakukannya, Anda harus membersihkan sumber daya untuk peran tertaut layanan terlebih dahulu, lalu Anda dapat menghapusnya secara manual.

catatan

Jika layanan Kinesis Data Streams for DynamoDB menggunakan peran tersebut saat Anda mencoba menghapus sumber daya, maka penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.

Untuk menghapus peran terkait layanan secara manual menggunakan IAM

Gunakan IAM konsol, AWS CLI, atau AWS API untuk menghapus peran AWSServiceRoleForDynamoDBKinesisDataStreamsReplication terkait layanan. Untuk informasi selengkapnya, lihat Menghapus Peran Tertaut Layanan di Panduan Pengguna. IAM

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Menggunakan pecahan dan memantau metrik tingkat shard

Bekerja dengan DynamoDB Streams