Utilizzo di IAM con informazioni sui CloudWatch contributori per DynamoDB - Amazon DynamoDB
Esempio: abilitare o disabilitare le informazioni sui CloudWatch contributori per DynamoDBEsempio: recupera il rapporto sulle regole di Contributor Insights CloudWatchEsempio: applica in modo selettivo le informazioni sui CloudWatch collaboratori per le autorizzazioni di DynamoDB in base alla risorsaUso di ruoli collegati ai servizi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di IAM con informazioni sui CloudWatch contributori per DynamoDB

La prima volta che abiliti Amazon CloudWatch Contributor Insights per Amazon DynamoDB, DynamoDB crea AWS Identity and Access Management automaticamente un ruolo collegato al servizio (IAM) per te. Questo ruolo consente a DynamoDB di CloudWatch gestire le regole di Contributor Insights per tuo conto. AWSServiceRoleForDynamoDBCloudWatchContributorInsights Non eliminare questo ruolo collegato al servizio. Se lo si elimina, tutte le regole gestite non verranno più pulite quando si elimina la tabella o l'indice secondario globale.

Per ulteriori informazioni sui ruoli collegati al servizio, consulta Utilizzo dei ruoli collegati al servizio nella Guida per l'utente IAM.

Sono richieste le seguenti autorizzazioni:

  • Per abilitare o disabilitare CloudWatch Contributor Insights for DynamoDB, è necessario dynamodb:UpdateContributorInsights disporre dell'autorizzazione per la tabella o l'indice.

  • Per visualizzare i grafici di CloudWatch Contributor Insights for DynamoDB, è necessario disporre dell'autorizzazione. cloudwatch:GetInsightRuleReport

  • Per descrivere CloudWatch Contributor Insights for DynamoDB per una determinata tabella o indice DynamoDB, è necessario disporre dell'autorizzazione. dynamodb:DescribeContributorInsights

  • Per elencare gli stati di CloudWatch Contributor Insights for DynamoDB per ogni tabella e indice secondario globale, è necessario disporre dell'autorizzazione. dynamodb:ListContributorInsights

Esempio: abilitare o disabilitare le informazioni sui CloudWatch contributori per DynamoDB

La seguente policy IAM concede le autorizzazioni per abilitare o disabilitare CloudWatch Contributor Insights for DynamoDB. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/contributorinsights.dynamodb.amazonaws.com/AWSServiceRoleForDynamoDBCloudWatchContributorInsights",
            "Condition": {"StringLike": {"iam:AWSServiceName": "contributorinsights.dynamodb.amazonaws.com"}}
        },
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:UpdateContributorInsights"
            ],
            "Resource": "arn:aws:dynamodb:*:*:table/*"
        }
    ]
}

Per le tabelle crittografate tramite chiave KMS, l'utente deve disporre delle autorizzazioni kms: Decrypt per aggiornare Contributor Insights. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/contributorinsights.dynamodb.amazonaws.com/AWSServiceRoleForDynamoDBCloudWatchContributorInsights",
            "Condition": {"StringLike": {"iam:AWSServiceName": "contributorinsights.dynamodb.amazonaws.com"}}
        },
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:UpdateContributorInsights"
            ],
            "Resource": "arn:aws:dynamodb:*:*:table/*"
        },
        {
            "Effect": "Allow",
            "Resource": "arn:aws:kms:*:*:key/*",
            "Action": [
                "kms:Decrypt"
            ],
        }
    ]
}

Esempio: recupera il rapporto sulle regole di Contributor Insights CloudWatch

La seguente policy IAM concede le autorizzazioni per recuperare CloudWatch il rapporto sulle regole di Contributor Insights.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetInsightRuleReport"
            ],
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/DynamoDBContributorInsights*"
        }
    ]
}

Esempio: applica in modo selettivo le informazioni sui CloudWatch collaboratori per le autorizzazioni di DynamoDB in base alla risorsa

La seguente policy IAM concede le autorizzazioni per le operazioni ListContributorInsights e DescribeContributorInsights e nega l'operazione UpdateContributorInsights per un indice secondario globale specifico.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:ListContributorInsights",
                "dynamodb:DescribeContributorInsights"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "dynamodb:UpdateContributorInsights"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/Books/index/Author-index"
        }
    ]
}

Utilizzo di ruoli collegati ai servizi per CloudWatch Contributor Insights for DynamoDB

CloudWatch Contributor Insights for DynamoDB AWS Identity and Access Management utilizza ruoli collegati ai servizi (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente a CloudWatch Contributor Insights for DynamoDB. I ruoli collegati ai servizi sono predefiniti da CloudWatch Contributor Insights per DynamoDB e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS

Un ruolo collegato al servizio semplifica la configurazione di CloudWatch Contributor Insights per DynamoDB perché non è necessario aggiungere manualmente le autorizzazioni necessarie. CloudWatch Contributor Insights for DynamoDB definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo CloudWatch Contributor Insights for DynamoDB può assumerne i ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere collegata a nessun'altra entità IAM.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta Servizi AWS che funzionano con IAM e cerca i servizi che riportano nella colonna Ruolo associato ai servizi. Scegli in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Autorizzazioni di ruolo collegate ai servizi per CloudWatch Contributor Insights for DynamoDB

CloudWatch Contributor Insights for DynamoDB utilizza il ruolo collegato al servizio denominato. AWSServiceRoleForDynamoDBCloudWatchContributorInsights Lo scopo del ruolo collegato ai servizi è consentire ad Amazon DynamoDB di gestire CloudWatch le regole di Amazon Contributor Insights create per le tabelle DynamoDB e gli indici secondari globali, per tuo conto.

Ai fini dell'assunzione del ruolo, il ruolo collegato ai servizi AWSServiceRoleForDynamoDBCloudWatchContributorInsights considera attendibili i seguenti servizi:

  • contributorinsights.dynamodb.amazonaws.com

La politica di autorizzazione dei ruoli consente a CloudWatch Contributor Insights for DynamoDB di completare le seguenti azioni sulle risorse specificate:

  • Operazione: Create and manage Insight Rules su DynamoDBContributorInsights

Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Creazione di un ruolo collegato ai servizi per CloudWatch Contributor Insights for DynamoDB

Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando abiliti Contributor Insights nella AWS Management Console, o nell' AWS API AWS CLI, CloudWatch Contributor Insights for DynamoDB crea automaticamente il ruolo collegato al servizio.

Se elimini questo ruolo collegato ai servizi, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell'account. Quando abiliti Contributor Insights, CloudWatch Contributor Insights for DynamoDB crea nuovamente il ruolo collegato al servizio per te.

Modifica di un ruolo collegato ai servizi per CloudWatch Contributor Insights for DynamoDB

CloudWatch Contributor Insights for DynamoDB non consente di modificare il ruolo collegato al servizio. AWSServiceRoleForDynamoDBCloudWatchContributorInsights Dopo aver creato un ruolo collegato al servizio, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.

Eliminazione di un ruolo collegato al servizio per CloudWatch Contributor Insights for DynamoDB

Non è necessario eliminare manualmente il ruolo AWSServiceRoleForDynamoDBCloudWatchContributorInsights. Quando disabiliti Contributor Insights nella AWS Management Console, o nell' AWS API AWS CLI, CloudWatch Contributor Insights for DynamoDB pulisce le risorse.

Puoi anche utilizzare la console IAM, AWS CLI o l' AWS API per eliminare manualmente il ruolo collegato al servizio. Per farlo, sarà necessario prima eseguire manualmente la pulizia delle risorse associate al ruolo collegato ai servizi e poi eliminarlo manualmente.

Nota

Se il servizio CloudWatch Contributor Insights for DynamoDB utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l'operazione.

Per eliminare manualmente il ruolo collegato ai servizi mediante IAM

Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al AWSServiceRoleForDynamoDBCloudWatchContributorInsights servizio. Per ulteriori informazioni, consultare Eliminazione del ruolo collegato ai servizi nella Guida per l'utente di IAM.