Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Utilizzo IAM di policy per Amazon Kinesis Data Streams e Amazon DynamoDB

PDF
RSS
Modalità Focus
Utilizzo IAM di policy per Amazon Kinesis Data Streams e Amazon DynamoDB - Amazon DynamoDB
Esempio: abilitazione di Amazon Kinesis Data Streams per Amazon DynamoDBEsempio: aggiornamento di Amazon Kinesis Data Streams per Amazon DynamoDBEsempio: disabilitazione di Amazon Kinesis Data Streams per Amazon DynamoDBEsempio: applicazione selettiva delle autorizzazioni per il flusso di dati Amazon Kinesis per Amazon DynamoDB in base alla risorsaUso di ruoli collegati ai servizi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

La prima volta che abiliti Amazon Kinesis Data Streams per Amazon DynamoDB, DynamoDB crea automaticamente un ruolo () collegato al servizio per te. AWS Identity and Access Management IAM Questo ruolo, AWSServiceRoleForDynamoDBKinesisDataStreamsReplication, consente a DynamoDB di gestire la replica delle modifiche a livello di elemento ai Kinesis Data Streams per conto dell'utente. Non eliminare questo ruolo collegato al servizio.

Per ulteriori informazioni sui ruoli collegati ai servizi, consultare la pagina relativa all'Uso di ruoli collegati ai servizi della Guida per l'utente IAM.

Nota

DynamoDB non supporta le condizioni basate su tag per le policy. IAM

Per abilitare il flusso di dati Amazon Kinesis per Amazon DynamoDB, è necessario disporre delle seguenti autorizzazioni sulla tabella:

  • dynamodb:EnableKinesisStreamingDestination

  • kinesis:ListStreams

  • kinesis:PutRecords

  • kinesis:DescribeStream

Per descrivere il flusso di dati Amazon Kinesis per Amazon DynamoDB per una determinata tabella DynamoDB, è necessario disporre delle seguenti autorizzazioni sulla tabella.

  • dynamodb:DescribeKinesisStreamingDestination

  • kinesis:DescribeStreamSummary

  • kinesis:DescribeStream

Per disabilitare il flusso di dati Amazon Kinesis per Amazon DynamoDB, è necessario disporre delle seguenti autorizzazioni sulla tabella.

  • dynamodb:DisableKinesisStreamingDestination

Per aggiornare Amazon Kinesis Data Streams per Amazon DynamoDB, devi disporre delle seguenti autorizzazioni sulla tabella.

  • dynamodb:UpdateKinesisStreamingDestination

Gli esempi seguenti mostrano come utilizzare IAM le policy per concedere le autorizzazioni per Amazon Kinesis Data Streams for Amazon DynamoDB.

Esempio: abilitazione di Amazon Kinesis Data Streams per Amazon DynamoDB

La seguente IAM politica concede le autorizzazioni per abilitare Amazon Kinesis Data Streams for Amazon DynamoDB per la tabella. Music Non concede le autorizzazioni per disabilitare, aggiornare o descrivere Kinesis Data Streams for DynamoDB per la tabella. Music 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/kinesisreplication.dynamodb.amazonaws.com/AWSServiceRoleForDynamoDBKinesisDataStreamsReplication",
            "Condition": {"StringLike": {"iam:AWSServiceName": "kinesisreplication.dynamodb.amazonaws.com"}}
        },
        {
            "Effect": "Allow",
            "Action": [

                "dynamodb:EnableKinesisStreamingDestination"

            ],
            "Resource": "arn:aws:dynamodb:us-west-2:12345678901:table/Music"
        }
    ]
}

Esempio: aggiornamento di Amazon Kinesis Data Streams per Amazon DynamoDB

La seguente IAM politica concede le autorizzazioni per aggiornare Amazon Kinesis Data Streams for Amazon DynamoDB per la tabella. Music Non concede le autorizzazioni per abilitare, disabilitare o descrivere Amazon Kinesis Data Streams for Amazon DynamoDB per la tabella. Music 

{
"Version": "2012-10-17",
    "Statement": [
        {
"Effect": "Allow",
            "Action": [                
                "dynamodb:UpdateKinesisStreamingDestination"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:12345678901:table/Music"
        }
    ]
}

Esempio: disabilitazione di Amazon Kinesis Data Streams per Amazon DynamoDB

La seguente IAM policy concede le autorizzazioni per disabilitare Amazon Kinesis Data Streams for Amazon DynamoDB per la tabella. Music Non concede le autorizzazioni per abilitare, aggiornare o descrivere Amazon Kinesis Data Streams for Amazon DynamoDB per la tabella. Music 

{
"Version": "2012-10-17",
    "Statement": [
        {
"Effect": "Allow",
            "Action": [                
                "dynamodb:DisableKinesisStreamingDestination"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:12345678901:table/Music"
        }
    ]
}

Esempio: applicazione selettiva delle autorizzazioni per il flusso di dati Amazon Kinesis per Amazon DynamoDB in base alla risorsa

La seguente IAM policy concede le autorizzazioni per abilitare e descrivere Amazon Kinesis Data Streams for Amazon DynamoDB per la tabella e nega le autorizzazioni per disabilitare Amazon Kinesis Data Streams Music for Amazon DynamoDB per la tabella. Orders 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:EnableKinesisStreamingDestination",
                "dynamodb:DescribeKinesisStreamingDestination"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:12345678901:table/Music"
        },
        {
            "Effect": "Deny",
            "Action": [
                "dynamodb:DisableKinesisStreamingDestination"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:12345678901:table/Orders"
        }
        
    ]
}

Utilizzo di ruoli collegati ai servizi per Kinesis Data Streams per DynamoDB

Amazon Kinesis Data Streams per Amazon DynamoDB utilizza () ruoli collegati ai servizi AWS Identity and Access Management . IAM Un ruolo collegato al servizio è un tipo di IAM ruolo unico collegato direttamente a Kinesis Data Streams for DynamoDB. I ruoli collegati ai servizi sono predefiniti da Kinesis Data Streams for DynamoDB e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS

Un ruolo collegato al servizio semplifica la configurazione di Kinesis Data Streams per DynamoDB perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Kinesis Data Streams per DynamoDB definisce le autorizzazioni dei relativi ruoli associati ai servizi e, salvo diversamente definito, solo Kinesis Data Streams potrà assumere i propri ruoli. Le autorizzazioni definite includono la policy di trust e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un'altra entità IAM.

Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta AWS Servizi che funzionano con IAM e cerca i servizi con Sì nella colonna Ruolo collegato ai servizi. Scegli in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Autorizzazioni dei ruoli collegati ai servizi per Kinesis Data Streams per DynamoDB

Kinesis Data Streams for DynamoDB utilizza il ruolo collegato al servizio denominato. AWSServiceRoleForDynamoDBKinesisDataStreamsReplication Lo scopo di questo ruolo collegato al servizio è di consentire ad Amazon DynamoDB di gestire la replica delle modifiche a livello di elemento al flusso di dati Kinesis per conto dell'utente.

Ai fini dell'assunzione del ruolo, il ruolo collegato ai servizi AWSServiceRoleForDynamoDBKinesisDataStreamsReplication considera attendibili i seguenti servizi:

  • kinesisreplication.dynamodb.amazonaws.com

La policy delle autorizzazioni del ruolo consente a Kinesis Data Streams per DynamoDB per completare le seguenti operazioni sulle risorse specificate:

  • Operazione: Put records and describe su Kinesis stream

  • Azione: Generate data keys attiva per inserire dati AWS KMS negli stream Kinesis crittografati utilizzando chiavi generate dall'utente. AWS KMS

Per i contenuti esatti del documento di policy, vedi D. ynamoDBKinesis ReplicationServiceRolePolicy

Per consentire a un'entità IAM (ad esempio un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi, devi configurare le autorizzazioni. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Creazione di un ruolo collegato ai servizi per Kinesis Data Streams per DynamoDB

Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando abiliti Kinesis Data Streams for DynamoDB nel, o nel AWS CLI, Kinesis Data Streams for AWS Management Console DynamoDB crea automaticamente il AWS API ruolo collegato al servizio.

Se elimini questo ruolo collegato ai servizi, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell'account. Quando si abilita Kinesis Data Streams per DynamoDB, questo crea automaticamente il ruolo collegato ai servizi.

Modifica di un ruolo collegato ai servizi per Kinesis Data Streams per DynamoDB

Kinesis Data Streams per DynamoDB non consente di modificare il ruolo collegato ai servizi AWSServiceRoleForDynamoDBKinesisDataStreamsReplication. Dopo aver creato un ruolo collegato al servizio, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. Puoi tuttavia modificare la descrizione del ruolo utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'utente. IAM

Eliminazione di un ruolo collegato ai servizi per Kinesis Data Streams per DynamoDB

È inoltre possibile utilizzare la IAM console, la AWS CLI o la per eliminare manualmente il ruolo collegato AWS API al servizio. Per farlo, sarà necessario prima eseguire manualmente la pulizia delle risorse associate al ruolo collegato ai servizi e poi eliminarlo manualmente.

Nota

Se il servizio Kinesis Data Streams per DynamoDB utilizza tale ruolo quando si prova a eliminare le risorse, è possibile che l'eliminazione non abbia esito positivo. In questo caso, attendi alcuni minuti e quindi ripeti l'operazione.

Per eliminare manualmente il ruolo collegato ai servizi utilizzando IAM

Usa la IAM console AWS CLI, il o il AWS API per eliminare il ruolo collegato al AWSServiceRoleForDynamoDBKinesisDataStreamsReplication servizio. Per ulteriori informazioni, vedere Eliminazione di un ruolo collegato al servizio nella Guida per l'utente. IAM

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.