Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Contoh kebijakan berbasis sumber daya DynamoDB
Bila Anda menentukan ARN di Resource bidang kebijakan berbasis sumber daya, kebijakan akan berlaku hanya jika yang ditentukan ARN cocok dengan sumber daya DynamoDB ARN yang dilampirkan.
catatan
Ingatlah untuk mengganti italicized teks dengan informasi spesifik sumber daya Anda.
Kebijakan berbasis sumber daya untuk tabel
Kebijakan berbasis sumber daya berikut yang dilampirkan ke tabel DynamoDB bernamaMusicCollection, memberikan IAM pengguna John dan Jane izin untuk melakukan dan tindakan pada sumber daya. GetItemBatchGetItemMusicCollection
{ "Version": "2012-10-17", "Statement": [ { "Sid": "1111", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:user/John", "arn:aws:iam::111122223333:user/Jane" ] }, "Action": [ "dynamodb:GetItem", "dynamodb:BatchGetItem" ], "Resource": [ "arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection" ] } ] }
Kebijakan berbasis sumber daya untuk aliran
Kebijakan berbasis sumber daya berikut yang dilampirkan ke aliran DynamoDB bernama 2024-02-12T18:57:26.492 memberikan IAM pengguna John dan Jane izin untuk melakukan GetRecords, serta tindakan pada sumber daya. GetShardIteratorDescribeStreamAPI2024-02-12T18:57:26.492
{ "Version": "2012-10-17", "Statement": [ { "Sid": "1111", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:user/John", "arn:aws:iam::111122223333:user/Jane" ] }, "Action": [ "dynamodb:DescribeStream", "dynamodb:GetRecords", "dynamodb:GetShardIterator" ], "Resource": [ "arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection/stream/2024-02-12T18:57:26.492" ] } ] }
Kebijakan berbasis sumber daya untuk akses untuk melakukan semua tindakan pada sumber daya tertentu
Untuk memungkinkan pengguna melakukan semua tindakan pada tabel dan semua indeks terkait dengan tabel, Anda dapat menggunakan wildcard (*) untuk mewakili tindakan dan sumber daya yang terkait dengan tabel. Menggunakan karakter wild card untuk sumber daya, akan memungkinkan pengguna mengakses tabel DynamoDB dan semua indeks terkait, termasuk yang belum dibuat. Misalnya, kebijakan berikut akan memberikan John izin kepada pengguna untuk melakukan tindakan apa pun di atas MusicCollection meja dan semua indeksnya, termasuk indeks apa pun yang akan dibuat di masa mendatang.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "1111", "Effect": "Allow", "Principal":"arn:aws:iam::111122223333:user/John", "Action": "dynamodb:*", "Resource": [ "arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection", "arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection/index/*" ] } ] }
Kebijakan berbasis sumber daya untuk akses lintas akun
Anda dapat menentukan izin untuk IAM identitas lintas akun untuk mengakses sumber daya DynamoDB. Misalnya, Anda mungkin memerlukan pengguna dari akun tepercaya untuk mendapatkan akses membaca konten tabel Anda, dengan syarat bahwa mereka hanya mengakses item tertentu dan atribut tertentu dalam item tersebut. Kebijakan berikut memungkinkan akses ke pengguna John dari Akun AWS ID tepercaya 111111111111 untuk mengakses data dari tabel di akun 123456789012 dengan menggunakan GetItemAPI. Kebijakan ini memastikan bahwa pengguna hanya dapat mengakses item dengan kunci utama Jane dan pengguna hanya dapat mengambil atribut Artist danSongTitle, tetapi tidak ada atribut lainnya.
penting
Jika Anda tidak menentukan SPECIFIC_ATTRIBUTES kondisi, Anda akan melihat semua atribut untuk item yang dikembalikan.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CrossAccountTablePolicy", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111111111111:user/John" }, "Action": "dynamodb:GetItem", "Resource": [ "arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection" ], "Condition": { "ForAllValues:StringEquals": { "dynamodb:LeadingKeys": "Jane", "dynamodb:Attributes": [ "Artist", "SongTitle" ] }, "StringEquals": { "dynamodb:Select": "SPECIFIC_ATTRIBUTES" } } } ] }
Selain kebijakan berbasis sumber daya sebelumnya, kebijakan berbasis identitas yang dilampirkan pada pengguna John juga perlu memungkinkan tindakan agar akses lintas akun berfungsi. GetItem API Berikut ini adalah contoh kebijakan berbasis identitas yang harus Anda lampirkan ke pengguna. John
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CrossAccountIdentityBasedPolicy", "Effect": "Allow", "Action": [ "dynamodb:GetItem" ], "Resource": [ "arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection" ], "Condition": { "ForAllValues:StringEquals": { "dynamodb:LeadingKeys": "Jane", "dynamodb:Attributes": [ "Artist", "SongTitle" ] }, "StringEquals": { "dynamodb:Select": "SPECIFIC_ATTRIBUTES" } } } ] }
Pengguna John dapat membuat GetItem permintaan dengan menentukan tabel ARN dalam table-name parameter untuk mengakses tabel MusicCollection di akun. 123456789012
aws dynamodb get-item \ --table-name arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection\ --key '{"Artist": {"S": "Jane"}' \ --projection-expression 'Artist, SongTitle' \ --return-consumed-capacity TOTAL
Kebijakan berbasis sumber daya dengan kondisi alamat IP
Anda dapat menerapkan kondisi untuk membatasi alamat IP sumber, virtual private cloud (VPCs), dan VPC endpoint (VPCE). Anda dapat menentukan izin berdasarkan alamat sumber permintaan asal. Misalnya, Anda mungkin ingin mengizinkan pengguna mengakses sumber daya DynamoDB hanya jika mereka diakses dari sumber IP tertentu, seperti titik akhir perusahaan. VPN Tentukan alamat IP ini dalam Condition pernyataan.
Contoh berikut memungkinkan pengguna John mengakses sumber daya DynamoDB apa pun saat sumbernya IPs dan. 54.240.143.0/24 2001:DB8:1234:5678::/64
{ "Id":"PolicyId2", "Version":"2012-10-17", "Statement":[ { "Sid":"AllowIPmix", "Effect":"Allow", "Principal":"arn:aws:iam::111111111111:user/John", "Action":"dynamodb:*", "Resource":"*", "Condition": { "IpAddress": { "aws:SourceIp": [ "54.240.143.0/24", "2001:DB8:1234:5678::/64" ] } } } ] }
Anda juga dapat menolak semua akses ke sumber daya DynamoDB kecuali jika sumbernya adalah titik akhir VPC tertentu, misalnya. vpce-1a2b3c4d
{ "Id":"PolicyId", "Version":"2012-10-17", "Statement": [ { "Sid": "AccessToSpecificVPCEOnly", "Principal": "*", "Action": "dynamodb:*", "Effect": "Deny", "Resource": "*", "Condition": { "StringNotEquals":{ "aws:sourceVpce":"vpce-1a2b3c4d" } } } ] }
Kebijakan berbasis sumber daya menggunakan peran IAM
Anda juga dapat menentukan peran IAM layanan dalam kebijakan berbasis sumber daya. IAMentitas yang mengambil peran ini dibatasi oleh tindakan yang diizinkan yang ditentukan untuk peran dan kumpulan sumber daya tertentu dalam kebijakan berbasis sumber daya.
Contoh berikut memungkinkan IAM entitas untuk melakukan semua tindakan DynamoDB pada sumber daya MusicCollection dan MusicCollection DynamoDB.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "1111", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/John" }, "Action": "dynamodb:*", "Resource": [ "arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection", "arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection/*" ] } ] }
