Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan kebijakan berbasis identitas dengan Amazon DynamoDB
Topik ini mencakup penggunaan kebijakan berbasis identitas AWS Identity and Access Management (IAM) dengan Amazon DynamoDB dan memberikan contoh. Contoh menunjukkan bagaimana administrator akun dapat melampirkan kebijakan izin ke IAM identitas (pengguna, grup, dan peran) dan dengan demikian memberikan izin untuk melakukan operasi di sumber daya Amazon DynamoDB.
Bagian dalam topik ini mencakup hal berikut:
Berikut adalah contoh kebijakan izin.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DescribeQueryScanBooksTable", "Effect": "Allow", "Action": [ "dynamodb:DescribeTable", "dynamodb:Query", "dynamodb:Scan" ], "Resource": "arn:aws:dynamodb:us-west-2:account-id:table/Books" } ] }
Kebijakan sebelumnya memiliki satu pernyataan yang memberikan izin untuk tiga tindakan DynamoDB (dynamodb:DescribeTable,, dandynamodb:Scan) pada tabel di us-west-2 AWS Wilayahdynamodb:Query, yang dimiliki oleh akun yang ditentukan oleh. AWS account-idResource nilai menentukan tabel tempat izin diterapkan.
IAMizin yang diperlukan untuk menggunakan konsol Amazon DynamoDB
Untuk bekerja dengan konsol DynamoDB, pengguna harus memiliki set izin minimum yang memungkinkan pengguna untuk bekerja dengan sumber daya DynamoDB AWS akun mereka. Selain izin DynamoDB ini, konsol memerlukan izin:
-
CloudWatch Izin Amazon untuk menampilkan metrik dan grafik.
-
AWS Data Pipeline izin untuk mengekspor dan mengimpor data DynamoDB.
-
AWS Identity and Access Management izin untuk mengakses peran yang diperlukan untuk ekspor dan impor.
-
Izin Layanan Pemberitahuan Sederhana Amazon untuk memberi tahu Anda setiap kali CloudWatch alarm dipicu.
-
AWS Lambda izin untuk memproses catatan DynamoDB Streams.
Jika Anda membuat IAM kebijakan yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana dimaksud untuk pengguna dengan kebijakan tersebutIAM. Untuk memastikan bahwa pengguna tersebut masih dapat menggunakan konsol DynamoDB, lampirkan juga kebijakan terkelola AmazonDynamoDBReadOnlyAccess AWS ke pengguna, seperti yang dijelaskan dalam. AWS IAMkebijakan terkelola (standar) untuk Amazon DynamoDB
Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke Amazon DynamoDB AWS CLI API atau Amazon.
catatan
Jika Anda merujuk ke VPC titik akhir, Anda juga perlu mengotorisasi DescribeEndpoints API panggilan untuk IAM prinsipal yang meminta dengan IAM tindakan (dynamodb:). DescribeEndpoints Untuk informasi selengkapnya, lihat Kebijakan yang diperlukan untuk titik akhir.
AWS IAMkebijakan terkelola (standar) untuk Amazon DynamoDB
AWS mengatasi beberapa kasus penggunaan umum dengan menyediakan IAM kebijakan mandiri yang dibuat dan dikelola oleh AWS. Kebijakan AWS terkelola ini memberikan izin yang diperlukan untuk kasus penggunaan umum sehingga Anda dapat menghindari keharusan menyelidiki izin mana yang diperlukan. Untuk informasi selengkapnya, lihat Kebijakan AWS Terkelola di Panduan IAM Pengguna.
Kebijakan AWS terkelola berikut, yang dapat Anda lampirkan ke pengguna di akun Anda, khusus untuk DynamoDB dan dikelompokkan berdasarkan skenario kasus penggunaan:
-
AmazonDynamoDBReadOnlyAccess— Memberikan akses hanya-baca ke sumber daya DynamoDB melalui file. AWS Management Console
-
AmazonDynamoDBFullAccess— Memberikan akses penuh ke sumber daya DynamoDB melalui file. AWS Management Console
Anda dapat meninjau kebijakan izin AWS terkelola ini dengan masuk ke IAM konsol dan mencari kebijakan tertentu di sana.
penting
Praktik terbaik adalah membuat IAM kebijakan khusus yang memberikan hak istimewa paling sedikit kepada pengguna, peran, atau grup yang memerlukannya.
Contoh kebijakan yang dikelola pelanggan
Di bagian ini, Anda dapat menemukan contoh kebijakan yang memberikan izin untuk berbagai tindakan DynamoDB. Kebijakan ini berfungsi saat Anda menggunakan AWS SDKs atau AWS CLI. Saat menggunakan konsol, Anda perlu memberikan izin tambahan yang khusus untuk konsol tersebut. Untuk informasi selengkapnya, lihat IAMizin yang diperlukan untuk menggunakan konsol Amazon DynamoDB.
catatan
Semua contoh kebijakan berikut menggunakan salah satu AWS Wilayah dan berisi nama akun IDs dan tabel fiktif.
Contoh:
-
IAMkebijakan untuk memberikan izin ke semua tindakan DynamoDB pada tabel
-
IAMkebijakan untuk memberikan izin hanya-baca pada item dalam tabel DynamoDB
-
IAMkebijakan untuk memberikan akses ke tabel DynamoDB tertentu dan indeksnya
-
IAMkebijakan untuk membaca, menulis, memperbarui, dan menghapus akses pada tabel DynamoDB
-
IAMkebijakan untuk memisahkan lingkungan DynamoDB di akun yang sama AWS
-
IAMkebijakan untuk mencegah pembelian kapasitas cadangan DynamoDB
-
IAMkebijakan untuk memberikan akses baca hanya untuk aliran DynamoDB (bukan untuk tabel)
-
IAMkebijakan untuk mengizinkan AWS Lambda fungsi mengakses catatan aliran DynamoDB
-
IAMkebijakan untuk akses baca dan tulis ke klaster DynamoDB Accelerator () DAX
Panduan IAM Pengguna, mencakup tiga contoh DynamoDB tambahan:
