Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
DAXcontrollo degli accessi
DynamoDB Accelerator DAX () è progettato per funzionare insieme a DynamoDB, per aggiungere senza problemi un livello di caching alle tue applicazioni. Tuttavia, DAX e DynamoDB dispongono di meccanismi di controllo degli accessi separati. Entrambi i servizi utilizzano AWS Identity and Access Management (IAM) per implementare le rispettive politiche di sicurezza, ma i modelli di sicurezza per DynamoDB DAX e DynamoDB sono diversi.
Ti consigliamo vivamente di comprendere entrambi i modelli di sicurezza, in modo da poter implementare misure di sicurezza adeguate per le applicazioni che utilizzi. DAX
Questa sezione descrive i meccanismi di controllo degli accessi forniti da DAX e fornisce esempi IAM di policy che è possibile personalizzare in base alle proprie esigenze.
Con DynamoDB, è possibile IAM creare policy che limitano le azioni che un utente può eseguire su singole risorse DynamoDB. Ad esempio, è possibile creare un ruolo utente che consenta all'utente solo di eseguire operazioni di sola lettura su una particolare tabella DynamoDB. Per ulteriori informazioni, consulta Identity and Access Management per Amazon DynamoDB. In confronto, il modello DAX di sicurezza si concentra sulla sicurezza del cluster e sulla capacità del cluster di eseguire azioni DynamoDB per API conto dell'utente.
avvertimento
Se attualmente utilizzi IAM ruoli e policy per limitare l'accesso ai dati delle tabelle DynamoDB, l'uso DAX di può sovvertire tali policy. Ad esempio, un utente potrebbe avere accesso a una tabella DynamoDB DAX tramite ma non avere accesso esplicito alla stessa tabella accedendo direttamente a DynamoDB. Per ulteriori informazioni, consulta Identity and Access Management per Amazon DynamoDB.
DAXnon impone la separazione a livello utente sui dati in DynamoDB. Al contrario, gli utenti ereditano le autorizzazioni della IAM politica del DAX cluster quando accedono a quel cluster. Pertanto, quando si accede alle tabelle DynamoDB DAX tramite, gli unici controlli di accesso attivi sono le autorizzazioni nella DAX politica del cluster. IAM Non sono riconosciute altre autorizzazioni.
Se hai bisogno di isolamento, ti consigliamo di creare DAX cluster aggiuntivi e di definire di conseguenza la IAM policy per ogni cluster. Ad esempio, è possibile creare più DAX cluster e consentire a ciascun cluster di accedere solo a una singola tabella.
IAMruolo di servizio per DAX
Quando si crea un DAX cluster, è necessario associare il cluster a un IAM ruolo. conosciuto con il termine ruolo del servizio per il cluster.
Supponiamo di voler creare un nuovo DAX cluster denominato DAXCluster01. È possibile creare un ruolo di servizio denominato DAXServiceRolee associare il ruolo a DAXCluster01. La policy for DAXServiceRoledefinirebbe le azioni DynamoDB DAXClusterche 01 potrebbe eseguire per conto degli utenti che interagiscono con 01. DAXCluster
Quando si crea un ruolo di servizio, è necessario specificare una relazione di fiducia tra DAXServiceRolee il DAX servizio stesso. Una relazione di trust determina quali entità possono assumere un ruolo e utilizzarne le autorizzazioni. Di seguito è riportato un esempio di documento di relazione fiduciaria per DAXServiceRole:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "dax.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Questa relazione di fiducia consente a un DAX cluster di assumere DAXServiceRoleed eseguire chiamate API DynamoDB per tuo conto.
Le azioni API DynamoDB consentite sono descritte in IAM un documento di policy, a cui si allega. DAXServiceRole Di seguito è riportato un esempio di documento di policy:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DaxAccessPolicy", "Effect": "Allow", "Action": [ "dynamodb:DescribeTable", "dynamodb:PutItem", "dynamodb:GetItem", "dynamodb:UpdateItem", "dynamodb:DeleteItem", "dynamodb:Query", "dynamodb:Scan", "dynamodb:BatchGetItem", "dynamodb:BatchWriteItem", "dynamodb:ConditionCheckItem" ], "Resource": [ "arn:aws:dynamodb:us-west-2:123456789012:table/Books" ] } ] }
Questa policy consente di DAX eseguire le azioni DynamoDB necessarie su una API tabella DynamoDB. L'dynamodb:DescribeTableazione è necessaria per DAX mantenere i metadati sulla tabella, mentre le altre sono azioni di lettura e scrittura eseguite sugli elementi della tabella. La tabella, denominataBooks, si trova nella regione us-west-2 ed è di proprietà AWS dell'ID dell'account. 123456789012
Nota
DAXsupporta meccanismi per prevenire il problema confuso dei deputati durante l'accesso interservizi. Per ulteriori informazioni, vedere Il problema del deputato confuso nella Guida per l'IAMutente.
IAMpolitica per consentire l'accesso al DAX cluster
Dopo aver creato un DAX cluster, è necessario concedere le autorizzazioni a un utente in modo che l'utente possa accedere al DAX cluster.
Ad esempio, si supponga di voler concedere l'accesso a DAXCluster01 a un utente di nome Alice. Dovreste innanzitutto creare una IAM policy (AliceAccessPolicy) che definisca DAX i cluster e DAX API le azioni a cui il destinatario può accedere. Quindi devi conferire l'accesso collegando questa policy all'utente Alice.
Il seguente documento di policy fornisce al destinatario l'accesso completo su DAXCluster01.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "dax:*" ], "Effect": "Allow", "Resource": [ "arn:aws:dax:us-west-2:123456789012:cache/DAXCluster01" ] } ] }
Il documento di policy consente l'accesso al DAX cluster, ma non concede alcuna autorizzazione per DynamoDB. (Le autorizzazioni DynamoDB sono conferite dal ruolo di servizio.) DAX
Per l'utente Alice, devi prima creare AliceAccessPolicy con il documento di policy mostrato in precedenza. Quindi devi collegare la policy ad Alice.
Nota
Invece di associare la policy a un utente, è possibile collegarla a un ruolo. IAM In questo modo, tutti gli utenti che assumono quel ruolo avranno le autorizzazioni definite nella policy.
La policy utente, insieme al ruolo del DAX servizio, determina le risorse API e le azioni di DynamoDB a cui il destinatario può accedere. DAX
Case study: Accesso a DynamoDB e DAX
Lo scenario seguente può aiutarti a comprendere meglio IAM le politiche da utilizzare con. DAX Si farà riferimento a questo scenario nella parte restante di questa sezione. Il seguente diagramma mostra una panoramica di alto livello dello scenario.
In questo scenario sono presenti le seguenti entità:
-
Un utente (Bob).
-
Un IAM ruolo (
BobUserRole). Bob assume questo ruolo al runtime. -
Una IAM politica (
BobAccessPolicy). Questa politica è allegata aBobUserRole.BobAccessPolicydefinisce il DynamoDB DAX e le risorse aBobUserRolecui è consentito accedere. -
Un DAX cluster ()
DAXCluster01. -
Un ruolo del servizio IAM (
DAXServiceRole). Tale ruolo consente aDAXCluster01di accedere a DynamoDB. -
Una IAM politica (
DAXAccessPolicy). Questa politica è allegata aDAXServiceRole.DAXAccessPolicydefinisce il APIs DynamoDB e le risorse aDAXCluster01cui è consentito accedere. -
Una tabella DynamoDB (
Books).
La combinazione di dichiarazioni di policy in BobAccessPolicy e DAXAccessPolicy determina le operazioni che Bob può eseguire con la tabella Books. Ad esempio, Bob potrebbe essere in grado di accedere Books direttamente (utilizzando l'endpoint DynamoDB), indirettamente (utilizzando DAX il cluster) o entrambi. Bob potrebbe anche essere in grado di leggere i dati da Books, scrivere i dati in Books o di eseguire entrambe le operazioni.
Accesso a DynamoDB, ma nessun accesso con DAX
È possibile consentire l'accesso diretto a una tabella DynamoDB, impedendo al contempo l'accesso indiretto tramite un cluster. DAX Per l'accesso diretto a DynamoDB, le autorizzazioni per BobUserRole sono determinate da BobAccessPolicy (che è collegato al ruolo).
Accesso in sola lettura a DynamoDB (solo)
Bobpuò accedere a DynamoDB conBobUserRole. La IAM policy associata a questo ruolo (BobAccessPolicy) determina le tabelle DynamoDB a BobUserRole cui è possibile accedere e APIs cosa BobUserRole possono richiamare.
Considera il seguente documento di policy per BobAccessPolicy.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DynamoDBAccessStmt", "Effect": "Allow", "Action": [ "dynamodb:GetItem", "dynamodb:BatchGetItem", "dynamodb:Query", "dynamodb:Scan" ], "Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/Books" } ] }
Quando questo documento è collegato a BobAccessPolicy, consente a BobUserRole di accedere all'endpoint DynamoDB ed eseguire le operazioni di sola lettura sulla tabella Books.
DAXnon compare in questa politica, quindi l'accesso tramite DAX è negato.
Accesso in lettura e scrittura a DynamoDB (solo)
Se BobUserRole richiede l'accesso in lettura/scrittura a DynamoDB, si può utilizzare la seguente policy.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DynamoDBAccessStmt", "Effect": "Allow", "Action": [ "dynamodb:GetItem", "dynamodb:BatchGetItem", "dynamodb:Query", "dynamodb:Scan", "dynamodb:PutItem", "dynamodb:UpdateItem", "dynamodb:DeleteItem", "dynamodb:BatchWriteItem", "dynamodb:ConditionCheckItem" ], "Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/Books" } ] }
Anche in questo caso, DAX non compare in questa politica, quindi l'accesso tramite DAX è negato.
Accesso a DynamoDB e a DAX
Per consentire l'accesso a un DAX cluster, è necessario includere azioni DAX specifiche in una policy. IAM
Le seguenti azioni DAX specifiche corrispondono alle loro controparti con nomi simili in DynamoDB: API
-
dax:GetItem -
dax:BatchGetItem -
dax:Query -
dax:Scan -
dax:PutItem -
dax:UpdateItem -
dax:DeleteItem -
dax:BatchWriteItem -
dax:ConditionCheckItem
Lo stesso vale per la chiave di condizione dax:EnclosingOperation.
Accesso in sola lettura a DynamoDB e accesso in sola lettura a DAX
Supponiamo che Bob richieda l'accesso in sola lettura alla Books tabella, da DynamoDB e da. DAX La seguente policy (collegata a BobUserRole) conferisce questo accesso:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DAXAccessStmt", "Effect": "Allow", "Action": [ "dax:GetItem", "dax:BatchGetItem", "dax:Query", "dax:Scan" ], "Resource": "arn:aws:dax:us-west-2:123456789012:cache/DAXCluster01" }, { "Sid": "DynamoDBAccessStmt", "Effect": "Allow", "Action": [ "dynamodb:GetItem", "dynamodb:BatchGetItem", "dynamodb:Query", "dynamodb:Scan" ], "Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/Books" } ] }
La policy contiene un'istruzione per DAX access (DAXAccessStmt) e un'altra dichiarazione per D (). ynamoDBaccess DynamoDBAccessStmt Le istruzioni consentono a Bob di inviare richieste GetItem, BatchGetItem, Query e Scan a DAXCluster01.
Tuttavia, anche il ruolo del servizio per DAXCluster01 richiede l'accesso in sola lettura alla tabella Books in DynamoDB. La seguente IAM politica, allegata aDAXServiceRole, soddisferebbe questo requisito.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DynamoDBAccessStmt", "Effect": "Allow", "Action": [ "dynamodb:GetItem", "dynamodb:BatchGetItem", "dynamodb:Query", "dynamodb:Scan" ], "Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/Books" } ] }
Accesso in lettura/scrittura a DynamoDB e in sola lettura con DAX
Per un determinato ruolo utente, puoi fornire l'accesso in lettura/scrittura a una tabella DynamoDB, consentendo anche l'accesso in sola lettura tramite. DAX
Per Bob, la IAM policy for BobUserRole dovrebbe consentire le azioni di lettura e scrittura di DynamoDB sulla Books tabella, supportando anche le azioni di sola lettura tramite. DAXCluster01
Il seguente documento di policy di esempio per BobUserRole conferisce questo accesso:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DAXAccessStmt", "Effect": "Allow", "Action": [ "dax:GetItem", "dax:BatchGetItem", "dax:Query", "dax:Scan" ], "Resource": "arn:aws:dax:us-west-2:123456789012:cache/DAXCluster01" }, { "Sid": "DynamoDBAccessStmt", "Effect": "Allow", "Action": [ "dynamodb:GetItem", "dynamodb:BatchGetItem", "dynamodb:Query", "dynamodb:Scan", "dynamodb:PutItem", "dynamodb:UpdateItem", "dynamodb:DeleteItem", "dynamodb:BatchWriteItem", "dynamodb:DescribeTable", "dynamodb:ConditionCheckItem" ], "Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/Books" } ] }
Inoltre, DAXServiceRole richiederebbe una IAM policy che DAXCluster01 consenta di eseguire azioni di sola lettura sulla tabella. Books
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DynamoDBAccessStmt", "Effect": "Allow", "Action": [ "dynamodb:GetItem", "dynamodb:BatchGetItem", "dynamodb:Query", "dynamodb:Scan", "dynamodb:DescribeTable" ], "Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/Books" } ] }
Accesso in lettura/scrittura a DynamoDB e accesso in lettura/scrittura a DAX
Supponiamo ora che Bob abbia richiesto l'accesso in lettura e scrittura alla tabella Books direttamente da DynamoDB o indirettamente da DAXCluster01. Il seguente documento di policy, collegato a BobAccessPolicy, conferisce questo accesso.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DAXAccessStmt", "Effect": "Allow", "Action": [ "dax:GetItem", "dax:BatchGetItem", "dax:Query", "dax:Scan", "dax:PutItem", "dax:UpdateItem", "dax:DeleteItem", "dax:BatchWriteItem", "dax:ConditionCheckItem" ], "Resource": "arn:aws:dax:us-west-2:123456789012:cache/DAXCluster01" }, { "Sid": "DynamoDBAccessStmt", "Effect": "Allow", "Action": [ "dynamodb:GetItem", "dynamodb:BatchGetItem", "dynamodb:Query", "dynamodb:Scan", "dynamodb:PutItem", "dynamodb:UpdateItem", "dynamodb:DeleteItem", "dynamodb:BatchWriteItem", "dynamodb:DescribeTable", "dynamodb:ConditionCheckItem" ], "Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/Books" } ] }
Inoltre, DAXServiceRole richiederebbe una IAM politica che consenta di eseguire azioni di lettura/scrittura sulla DAXCluster01 tabella. Books
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DynamoDBAccessStmt", "Effect": "Allow", "Action": [ "dynamodb:GetItem", "dynamodb:BatchGetItem", "dynamodb:Query", "dynamodb:Scan", "dynamodb:PutItem", "dynamodb:UpdateItem", "dynamodb:DeleteItem", "dynamodb:BatchWriteItem", "dynamodb:DescribeTable" ], "Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/Books" } ] }
Accesso a DynamoDB DAX tramite, ma nessun accesso diretto a DynamoDB
In questo scenario, Bob può accedere alla Books tabella tramiteDAX, ma non ha accesso diretto alla Books tabella in DynamoDB. Pertanto, quando Bob ottiene l'accessoDAX, ottiene anche l'accesso a una tabella DynamoDB a cui altrimenti potrebbe non essere in grado di accedere. Quando configurate una IAM policy per il ruolo di DAX servizio, ricordate che qualsiasi utente a cui viene concesso l'accesso al DAX cluster tramite la policy di accesso utente ottiene l'accesso alle tabelle specificate in tale policy. In questo caso, BobAccessPolicy ottiene l'accesso alle tabelle specificate in DAXAccessPolicy.
Se attualmente utilizzi IAM ruoli e policy per limitare l'accesso alle tabelle e ai dati di DynamoDB, l'DAXutilizzo può sovvertire tali policy. Nella seguente politica, Bob ha accesso a una tabella DynamoDB DAX tramite ma non ha accesso diretto esplicito alla stessa tabella in DynamoDB.
Il seguente documento di policy (BobAccessPolicy), collegato a BobUserRole, conferisce questo accesso.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DAXAccessStmt", "Effect": "Allow", "Action": [ "dax:GetItem", "dax:BatchGetItem", "dax:Query", "dax:Scan", "dax:PutItem", "dax:UpdateItem", "dax:DeleteItem", "dax:BatchWriteItem", "dax:ConditionCheckItem" ], "Resource": "arn:aws:dax:us-west-2:123456789012:cache/DAXCluster01" } ] }
In questa policy di accesso non ci sono autorizzazioni per accedere direttamente a DynamoDB.
Insieme a BobAccessPolicy, la seguente DAXAccessPolicy fornisce a BobUserRole l'accesso alla tabella DynamoDB Books anche se BobUserRole non può accedere direttamente alla tabella Books.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DynamoDBAccessStmt", "Effect": "Allow", "Action": [ "dynamodb:GetItem", "dynamodb:BatchGetItem", "dynamodb:Query", "dynamodb:Scan", "dynamodb:PutItem", "dynamodb:UpdateItem", "dynamodb:DeleteItem", "dynamodb:BatchWriteItem", "dynamodb:DescribeTable", "dynamodb:ConditionCheckItem" ], "Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/Books" } ] }
Come mostra questo esempio, quando si configura il controllo di accesso per la politica di accesso utente e la politica di accesso al DAX cluster, è necessario comprendere appieno l' end-to-endaccesso per garantire che venga rispettato il principio del privilegio minimo. Assicuratevi inoltre che la concessione a un utente dell'accesso a un DAX cluster non sovverta le politiche di controllo degli accessi stabilite in precedenza.
