Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controllo degli accessi DAX
DynamoDB Accelerator (DAX) è progettato per funzionare insieme a DynamoDB in modo da aggiungere senza problemi un livello di memorizzazione nella cache alle applicazioni. Tuttavia, DAX e DynamoDB hanno meccanismi di controllo degli accessi separati. Entrambi i servizi utilizzano AWS Identity and Access Management (IAM) per implementare le rispettive politiche di sicurezza, ma i modelli di sicurezza per DAX e DynamoDB sono diversi.
Consigliamo vivamente di informarsi su entrambi i modelli di sicurezza, in modo da poter implementare misure di sicurezza adeguate per le applicazioni che utilizzano DAX.
In questa sezione sono descritti i meccanismi di controllo degli accessi forniti da DAX e sono riportate le policy IAM di esempio che possono essere personalizzare in base alle esigenze.
Con DynamoDB è possibile creare policy IAM che limitano le operazioni che un utente può eseguire sulle singole risorse DynamoDB. Ad esempio, è possibile creare un ruolo utente che consenta all'utente solo di eseguire operazioni di sola lettura su una particolare tabella DynamoDB. Per ulteriori informazioni, consulta Identity and Access Management per Amazon DynamoDB. In confronto, il modello di sicurezza DAX si concentra sulla sicurezza dei cluster e sulla capacità del cluster di eseguire operazioni API DynamoDB per conto tuo.
avvertimento
Se attualmente vengono utilizzati ruoli e policy IAM per limitare l'accesso ai dati delle tabelle DynamoDB, l'uso di DAX può sovvertire tali policy. Ad esempio, un utente potrebbe avere accesso a una tabella DynamoDB tramite DAX ma non avere l'accesso esplicito alla stessa tabella accedendo a DynamoDB direttamente. Per ulteriori informazioni, consulta Identity and Access Management per Amazon DynamoDB.
DAX non applica la separazione a livello utente sui dati in DynamoDB. Gli utenti ereditano invece le autorizzazioni della policy IAM del cluster DAX quando accedono al cluster. Pertanto, quando si accede alle tabelle DynamoDB tramite DAX, gli unici controlli degli accessi in vigore sono le autorizzazioni nella policy IAM del cluster DAX. Non sono riconosciute altre autorizzazioni.
Se è necessario l'isolamento, consigliamo di creare altri cluster DAX e definire di conseguenza l'ambito della policy IAM per ciascun cluster. Ad esempio, è possibile creare più cluster DAX e consentire a ciascun cluster di accedere solo a una singola tabella.
Ruolo di servizio IAM per DAX
Quando si crea un cluster DAX, è necessario associare il cluster a un ruolo IAM. conosciuto con il termine ruolo del servizio per il cluster.
Si supponga di voler creare un nuovo cluster DAX denominato DAXCluster01. È possibile creare un ruolo di servizio denominato DAX e associarlo a ServiceRole DAXCluster01. La policy per DAX ServiceRole definirebbe le azioni DynamoDB che DAXCluster01 potrebbe eseguire per conto degli utenti che interagiscono con DAXCluster01.
Quando si crea un ruolo di servizio, è necessario specificare una relazione di trust tra DAX e il servizio DAX stesso. ServiceRole Una relazione di trust determina quali entità possono assumere un ruolo e utilizzarne le autorizzazioni. Di seguito è riportato un esempio di documento di relazione di fiducia per DAX: ServiceRole
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "dax.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Questa relazione di fiducia consente a un cluster DAX di assumere DAX ServiceRole ed eseguire chiamate API DynamoDB per tuo conto.
Le azioni dell'API DynamoDB consentite sono descritte in un documento di policy IAM, da allegare a DAX. ServiceRole Di seguito è riportato un esempio di documento di policy:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DaxAccessPolicy", "Effect": "Allow", "Action": [ "dynamodb:DescribeTable", "dynamodb:PutItem", "dynamodb:GetItem", "dynamodb:UpdateItem", "dynamodb:DeleteItem", "dynamodb:Query", "dynamodb:Scan", "dynamodb:BatchGetItem", "dynamodb:BatchWriteItem", "dynamodb:ConditionCheckItem" ], "Resource": [ "arn:aws:dynamodb:us-west-2:123456789012:table/Books" ] } ] }
Questa policy consente a DAX di eseguire tutte le operazioni API DynamoDB necessarie su una tabella DynamoDB. L'operazione dynamodb:DescribeTable è necessaria affinché DAX mantenga i metadati sulla tabella e le altre operazioni di lettura e scrittura eseguite sugli elementi della tabella. La tabella denominata Books si trova nella regione us-west-2 e appartiene all'ID account AWS 123456789012.
Nota
DAX supporta meccanismi per prevenire la confusione del problema degli agenti secondari durante l'accesso tra servizi diversi. Per ulteriori informazioni, consultare Problema del "confused deputy" nella Guida per l'utente di IAM.
Policy IAM per consentire l'accesso del cluster DAX
Dopo aver creato un cluster DAX, sarà necessario concedere a un utente le autorizzazioni di accesso al cluster DAX.
Ad esempio, supponi di voler concedere l'accesso a DAXCluster01 a un'utente denominato Alice. È innanzitutto necessario creare una policy IAM (AliceAccessPolicy) che definisca i cluster DAX e le azioni dell'API DAX a cui il destinatario può accedere. Quindi devi conferire l'accesso collegando questa policy all'utente Alice.
Il seguente documento di policy fornisce al destinatario l'accesso completo al DAXCluster01.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "dax:*" ], "Effect": "Allow", "Resource": [ "arn:aws:dax:us-west-2:123456789012:cache/DAXCluster01" ] } ] }
Il documento di policy consente l'accesso al cluster DAX, ma non concede alcuna autorizzazione DynamoDB. Le autorizzazioni DynamoDB sono conferite dal ruolo del servizio DAX.
Per l'utente Alice, devi prima creare AliceAccessPolicy con il documento di policy mostrato in precedenza. Quindi devi collegare la policy ad Alice.
Nota
Invece di collegare la policy a un utente, è possibile collegarla a un ruolo IAM. In questo modo, tutti gli utenti che assumono quel ruolo avranno le autorizzazioni definite nella policy.
La policy dell'utente, insieme al ruolo del servizio DAX, determina le risorse DynamoDB e le operazioni API a cui il destinatario può accedere tramite DAX.
Caso di studio: accesso a DynamoDB e DAX
Il seguente scenario può aiutare a comprendere meglio le policy IAM da utilizzare con DAX. Si farà riferimento a questo scenario nella parte restante di questa sezione. Il seguente diagramma mostra una panoramica di alto livello dello scenario.
In questo scenario sono presenti le seguenti entità:
-
Un utente (Bob).
-
Un ruolo IAM (
BobUserRole). Bob assume questo ruolo al runtime. -
Una policy IAM (
BobAccessPolicy). Questa policy è collegata aBobUserRole.BobAccessPolicydefinisce le risorse DynamoDB e DAX a cuiBobUserRolepuò accedere. -
Un cluster DAX (
DAXCluster01). -
Un ruolo del servizio IAM (
DAXServiceRole). Tale ruolo consente aDAXCluster01di accedere a DynamoDB. -
Una policy IAM (
DAXAccessPolicy). Questa policy è collegata aDAXServiceRole.DAXAccessPolicydefinisce le API DynamoDB e le risorse a cuiDAXCluster01può accedere. -
Una tabella DynamoDB (
Books).
La combinazione di dichiarazioni di policy in BobAccessPolicy e DAXAccessPolicy determina le operazioni che Bob può eseguire con la tabella Books. Ad esempio, Bob potrebbe essere in grado di accedere a Books direttamente (tramite l'endpoint DynamoDB), indirettamente (tramite il cluster DAX) o in entrambi i modi. Bob potrebbe anche essere in grado di leggere i dati da Books, scrivere i dati in Books o di eseguire entrambe le operazioni.
Accesso a DynamoDB, ma senza accesso con DAX
È possibile consentire l'accesso diretto a una tabella DynamoDB e impedire l'accesso indiretto usando un cluster DAX. Per l'accesso diretto a DynamoDB, le autorizzazioni per BobUserRole sono determinate da BobAccessPolicy (che è collegato al ruolo).
Accesso in sola lettura a DynamoDB (solo)
Bobpuò accedere a DynamoDB conBobUserRole. La policy IAM collegata a questo ruolo (BobAccessPolicy) determina le tabelle DynamoDB a cui BobUserRole può accedere e le API che BobUserRole può richiamare.
Considera il seguente documento di policy per BobAccessPolicy.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DynamoDBAccessStmt", "Effect": "Allow", "Action": [ "dynamodb:GetItem", "dynamodb:BatchGetItem", "dynamodb:Query", "dynamodb:Scan" ], "Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/Books" } ] }
Quando questo documento è collegato a BobAccessPolicy, consente a BobUserRole di accedere all'endpoint DynamoDB ed eseguire le operazioni di sola lettura sulla tabella Books.
DAX non è presente in questa policy e pertanto l'accesso tramite DAX non è consentito.
Accesso in lettura e scrittura a DynamoDB (solo)
Se BobUserRole richiede l'accesso in lettura/scrittura a DynamoDB, si può utilizzare la seguente policy.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DynamoDBAccessStmt", "Effect": "Allow", "Action": [ "dynamodb:GetItem", "dynamodb:BatchGetItem", "dynamodb:Query", "dynamodb:Scan", "dynamodb:PutItem", "dynamodb:UpdateItem", "dynamodb:DeleteItem", "dynamodb:BatchWriteItem", "dynamodb:ConditionCheckItem" ], "Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/Books" } ] }
Di nuovo, DAX non è presente in questa policy e pertanto l'accesso tramite DAX non è consentito.
Accesso a DynamoDB e a DAX
Per consentire l'accesso a un cluster DAX, è necessario includere le operazioni specifiche di DAX in una policy IAM.
Le seguenti operazioni specifiche di DAX corrispondono alle controparti con nome simile dell'API DynamoDB:
-
dax:GetItem -
dax:BatchGetItem -
dax:Query -
dax:Scan -
dax:PutItem -
dax:UpdateItem -
dax:DeleteItem -
dax:BatchWriteItem -
dax:ConditionCheckItem
Lo stesso vale per la chiave di condizione dax:EnclosingOperation.
Accesso in sola lettura a DynamoDB e accesso in sola lettura a DAX
Supponiamo che Bob richieda l'accesso in sola lettura alla tabella Books da DynamoDB e da DAX. La seguente policy (collegata a BobUserRole) conferisce questo accesso:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DAXAccessStmt", "Effect": "Allow", "Action": [ "dax:GetItem", "dax:BatchGetItem", "dax:Query", "dax:Scan" ], "Resource": "arn:aws:dax:us-west-2:123456789012:cache/DAXCluster01" }, { "Sid": "DynamoDBAccessStmt", "Effect": "Allow", "Action": [ "dynamodb:GetItem", "dynamodb:BatchGetItem", "dynamodb:Query", "dynamodb:Scan" ], "Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/Books" } ] }
La policy ha un'istruzione per l'accesso DAX (DAXAccessStmt) e un'altra istruzione per l'accesso DynamoDB (DynamoDBAccessStmt). Le istruzioni consentono a Bob di inviare richieste GetItem, BatchGetItem, Query e Scan a DAXCluster01.
Tuttavia, anche il ruolo del servizio per DAXCluster01 richiede l'accesso in sola lettura alla tabella Books in DynamoDB. La seguente policy IAM (collegata a DAXServiceRole) soddisfa questo requisito.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DynamoDBAccessStmt", "Effect": "Allow", "Action": [ "dynamodb:GetItem", "dynamodb:BatchGetItem", "dynamodb:Query", "dynamodb:Scan" ], "Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/Books" } ] }
Accesso in lettura e scrittura a DynamoDB e in sola scrittura a DAX
Per un determinato ruolo utente, è possibile fornire l'accesso in lettura e scrittura a una tabella DynamoDB e consentire anche l'accesso in sola lettura tramite DAX.
Per Bob, la policy IAM per BobUserRole dovrebbe consentire le operazioni di lettura e scrittura DynamoDB sulla tabella Books e supportare anche le operazioni di sola lettura tramite DAXCluster01.
Il seguente documento di policy di esempio per BobUserRole conferisce questo accesso:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DAXAccessStmt", "Effect": "Allow", "Action": [ "dax:GetItem", "dax:BatchGetItem", "dax:Query", "dax:Scan" ], "Resource": "arn:aws:dax:us-west-2:123456789012:cache/DAXCluster01" }, { "Sid": "DynamoDBAccessStmt", "Effect": "Allow", "Action": [ "dynamodb:GetItem", "dynamodb:BatchGetItem", "dynamodb:Query", "dynamodb:Scan", "dynamodb:PutItem", "dynamodb:UpdateItem", "dynamodb:DeleteItem", "dynamodb:BatchWriteItem", "dynamodb:DescribeTable", "dynamodb:ConditionCheckItem" ], "Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/Books" } ] }
Inoltre, DAXServiceRole richiederebbe una policy IAM che consenta a DAXCluster01 di eseguire operazioni di sola lettura sulla tabella Books.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DynamoDBAccessStmt", "Effect": "Allow", "Action": [ "dynamodb:GetItem", "dynamodb:BatchGetItem", "dynamodb:Query", "dynamodb:Scan", "dynamodb:DescribeTable" ], "Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/Books" } ] }
Accesso in lettura e scrittura a DynamoDB e accesso in lettura e scrittura a DAX
Supponiamo ora che Bob abbia richiesto l'accesso in lettura e scrittura alla tabella Books direttamente da DynamoDB o indirettamente da DAXCluster01. Il seguente documento di policy, collegato a BobAccessPolicy, conferisce questo accesso.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DAXAccessStmt", "Effect": "Allow", "Action": [ "dax:GetItem", "dax:BatchGetItem", "dax:Query", "dax:Scan", "dax:PutItem", "dax:UpdateItem", "dax:DeleteItem", "dax:BatchWriteItem", "dax:ConditionCheckItem" ], "Resource": "arn:aws:dax:us-west-2:123456789012:cache/DAXCluster01" }, { "Sid": "DynamoDBAccessStmt", "Effect": "Allow", "Action": [ "dynamodb:GetItem", "dynamodb:BatchGetItem", "dynamodb:Query", "dynamodb:Scan", "dynamodb:PutItem", "dynamodb:UpdateItem", "dynamodb:DeleteItem", "dynamodb:BatchWriteItem", "dynamodb:DescribeTable", "dynamodb:ConditionCheckItem" ], "Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/Books" } ] }
Inoltre, DAXServiceRole richiederebbe una policy IAM che consente a DAXCluster01 di eseguire operazioni di lettura/scrittura sulla tabella Books.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DynamoDBAccessStmt", "Effect": "Allow", "Action": [ "dynamodb:GetItem", "dynamodb:BatchGetItem", "dynamodb:Query", "dynamodb:Scan", "dynamodb:PutItem", "dynamodb:UpdateItem", "dynamodb:DeleteItem", "dynamodb:BatchWriteItem", "dynamodb:DescribeTable" ], "Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/Books" } ] }
Accesso a DynamoDB tramite DAX, ma senza accesso diretto a DynamoDB
In questo scenario Bob può accedere alla tabella Books tramite DAX, ma non dispone dell'accesso diretto alla tabella Books in DynamoDB. Quindi, quando Bob ottiene l'accesso a DAX, ottiene anche l'accesso a una tabella DynamoDB a cui altrimenti potrebbe non essere in grado di accedere. Quando si configuri una policy IAM per il ruolo di servizio DAX, tenere presente che qualsiasi utente a cui viene dato l'accesso al cluster DAX tramite la policy di accesso utente ottiene l'accesso alle tabelle specificate in tale policy. In questo caso, BobAccessPolicy ottiene l'accesso alle tabelle specificate in DAXAccessPolicy.
Se stai attualmente utilizzando ruoli e policy IAM per limitare l'accesso a tabelle e dati DynamoDB, l'uso di DAX può sovvertire tali policy. Nella policy seguente, Bob dispone dell'accesso a una tabella DynamoDB tramite DAX, ma non dispone dell'accesso diretto esplicito alla stessa tabella in DynamoDB.
Il seguente documento di policy (BobAccessPolicy), collegato a BobUserRole, conferisce questo accesso.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DAXAccessStmt", "Effect": "Allow", "Action": [ "dax:GetItem", "dax:BatchGetItem", "dax:Query", "dax:Scan", "dax:PutItem", "dax:UpdateItem", "dax:DeleteItem", "dax:BatchWriteItem", "dax:ConditionCheckItem" ], "Resource": "arn:aws:dax:us-west-2:123456789012:cache/DAXCluster01" } ] }
In questa policy di accesso non ci sono autorizzazioni per accedere direttamente a DynamoDB.
Insieme a BobAccessPolicy, la seguente DAXAccessPolicy fornisce a BobUserRole l'accesso alla tabella DynamoDB Books anche se BobUserRole non può accedere direttamente alla tabella Books.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DynamoDBAccessStmt", "Effect": "Allow", "Action": [ "dynamodb:GetItem", "dynamodb:BatchGetItem", "dynamodb:Query", "dynamodb:Scan", "dynamodb:PutItem", "dynamodb:UpdateItem", "dynamodb:DeleteItem", "dynamodb:BatchWriteItem", "dynamodb:DescribeTable", "dynamodb:ConditionCheckItem" ], "Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/Books" } ] }
Come mostra questo esempio, quando si configura il controllo di accesso per la politica di accesso utente e la politica di accesso al cluster DAX, è necessario comprendere appieno l' end-to-end accesso per garantire che venga rispettato il principio del privilegio minimo. Assicura, inoltre, che fornendo l'accesso utente a un cluster DAX, le policy di controllo degli accessi precedentemente stabilite non vengano sovvertite.
