Utilizzo IAM con il backup e il ripristino di DynamoDB - Amazon DynamoDB
Esempio 1: consentire le CreateBackup azioni e RestoreTableFromBackup Esempio 2: Consenti e nega CreateBackup RestoreTableFromBackup Esempio 3: consentire ListBackups e negare e CreateBackup RestoreTableFromBackup Esempio 4: Consenti e nega ListBackups DeleteBackup Esempio 5: Consenti RestoreTableFromBackup e DescribeBackup per tutte le risorse e DeleteBackup nega per un backup specifico Esempio 6: Consenti una tabella specifica CreateBackup Esempio 7: Consenti ListBackups Esempio 8: consentire l'accesso alle funzionalità AWS Backup Esempio 9: Rifiuta RestoreTableToPointInTime per una tabella di origine specifica Esempio 10: Negazione RestoreTableFromBackup per tutti i backup per una tabella di origine specifica

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo IAM con il backup e il ripristino di DynamoDB

Puoi usare AWS Identity and Access Management (IAM) per limitare le azioni di backup e ripristino di Amazon DynamoDB per alcune risorse. Le RestoreTableFromBackup APIs operazioni CreateBackup e vengono eseguite in base alla tabella.

Per ulteriori informazioni sull'utilizzo delle IAM policy in DynamoDB, vedere. Policy basate su identità per DynamoDB

Di seguito sono riportati alcuni esempi di IAM policy che è possibile utilizzare per configurare funzionalità di backup e ripristino specifiche in DynamoDB.

Esempio 1: consentire le CreateBackup azioni e RestoreTableFromBackup

La seguente IAM politica concede le autorizzazioni per consentire le azioni e CreateBackup DynamoDB su tutte le RestoreTableFromBackup tabelle:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:CreateBackup",
                "dynamodb:RestoreTableFromBackup",
                "dynamodb:PutItem",
                "dynamodb:UpdateItem",
                "dynamodb:DeleteItem",
                "dynamodb:GetItem",
                "dynamodb:Query",
                "dynamodb:Scan",
                "dynamodb:BatchWriteItem"   
            ],
            "Resource": "*"
        }
    ]
}
Importante

Le autorizzazioni RestoreTableFromBackup DynamoDB sono necessarie sul backup di origine e le autorizzazioni di lettura e scrittura di DynamoDB sulla tabella di destinazione sono necessarie per ripristinare la funzionalità.

Le autorizzazioni RestoreTableToPointInTime DynamoDB sono necessarie nella tabella di origine e le autorizzazioni di lettura e scrittura di DynamoDB sulla tabella di destinazione sono necessarie per ripristinare la funzionalità.

Esempio 2: Consenti e nega CreateBackup RestoreTableFromBackup

La seguente IAM politica concede le autorizzazioni per l'CreateBackupazione e la nega: RestoreTableFromBackup

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["dynamodb:CreateBackup"],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": ["dynamodb:RestoreTableFromBackup"],
            "Resource": "*"
        }
        
    ]
}

Esempio 3: consentire ListBackups e negare e CreateBackup RestoreTableFromBackup

La seguente IAM politica concede le autorizzazioni per l'ListBackupsazione e nega le azioni and: CreateBackup RestoreTableFromBackup

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["dynamodb:ListBackups"],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "dynamodb:CreateBackup",
                "dynamodb:RestoreTableFromBackup"
            ],
            "Resource": "*"
        }
        
    ]
}

Esempio 4: Consenti e nega ListBackups DeleteBackup

La seguente IAM politica concede le autorizzazioni per l'ListBackupsazione e la nega: DeleteBackup

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["dynamodb:ListBackups"],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": ["dynamodb:DeleteBackup"],
            "Resource": "*"
        }
        
    ]
}

Esempio 5: Consenti RestoreTableFromBackup e DescribeBackup per tutte le risorse e DeleteBackup nega per un backup specifico

La seguente IAM politica concede le autorizzazioni per le DescribeBackup azioni RestoreTableFromBackup e nega l'DeleteBackupazione per una specifica risorsa di backup:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:DescribeBackup",
                "dynamodb:RestoreTableFromBackup",
            ],
            "Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/Music/backup/01489173575360-b308cd7d"
        },
        {
             "Effect": "Allow",
             "Action": [
                "dynamodb:PutItem",
                "dynamodb:UpdateItem",
                "dynamodb:DeleteItem",
                "dynamodb:GetItem",
                "dynamodb:Query",
                "dynamodb:Scan",
                "dynamodb:BatchWriteItem"
            ],
            "Resource": "*" 
        },
        {
            "Effect": "Deny",
            "Action": [
                "dynamodb:DeleteBackup"
            ],
            "Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/Music/backup/01489173575360-b308cd7d"
        }
    ]
}
Importante

Le autorizzazioni RestoreTableFromBackup DynamoDB sono necessarie sul backup di origine e le autorizzazioni di lettura e scrittura di DynamoDB sulla tabella di destinazione sono necessarie per ripristinare la funzionalità.

Le autorizzazioni RestoreTableToPointInTime DynamoDB sono necessarie nella tabella di origine e le autorizzazioni di lettura e scrittura di DynamoDB sulla tabella di destinazione sono necessarie per ripristinare la funzionalità.

Esempio 6: Consenti una tabella specifica CreateBackup

La seguente IAM politica concede le autorizzazioni solo per l'CreateBackupazione sulla Movies tabella:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["dynamodb:CreateBackup"],
            "Resource": [
                "arn:aws:dynamodb:us-east-1:123456789012:table/Movies"
            ]
        }
    ]
}

Esempio 7: Consenti ListBackups

La seguente IAM politica concede le autorizzazioni per l'azioneListBackups:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["dynamodb:ListBackups"],
            "Resource": "*"
        }
    ]
}
}
Importante

Non puoi concedere le autorizzazioni per l'ListBackupsazione su una tabella specifica.

Esempio 8: consentire l'accesso alle funzionalità AWS Backup

Avrai bisogno API delle StartAwsBackupJob autorizzazioni per eseguire correttamente il backup con funzionalità avanzate e per ripristinare correttamente il dynamodb:RestoreTableFromAwsBackup backup.

La seguente IAM politica concede AWS Backup le autorizzazioni per attivare backup con funzionalità e ripristini avanzati. Si noti inoltre che se le tabelle sono crittografate, la policy avrà bisogno di accedere alla chiave.AWS KMS 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DescribeQueryScanBooksTable",
            "Effect": "Allow",
            "Action": [
                "dynamodb:StartAwsBackupJob",
                "dynamodb:DescribeTable",
                "dynamodb:Query",
                "dynamodb:Scan"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:account-id:table/Books"
        },
        {
            "Sid": "AllowRestoreFromAwsBackup",
            "Effect": "Allow",
            "Action": ["dynamodb:RestoreTableFromAwsBackup"],
            "Resource": "*"
        },

    ]
}

Esempio 9: Rifiuta RestoreTableToPointInTime per una tabella di origine specifica

La seguente IAM politica nega le autorizzazioni per l'RestoreTableToPointInTimeazione per una tabella di origine specifica: 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "dynamodb:RestoreTableToPointInTime"
            ],
            "Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/Music"
        }
    ]
}

Esempio 10: Negazione RestoreTableFromBackup per tutti i backup per una tabella di origine specifica

La seguente IAM politica nega le autorizzazioni per l'RestoreTableToPointInTimeazione per tutti i backup per una tabella di origine specifica: 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "dynamodb:RestoreTableFromBackup"
            ],
            "Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/Music/backup/*"
        }
    ]
}