Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di policy basate su identità con Amazon DynamoDB
Questo argomento tratta l'uso di politiche basate sull'identità AWS Identity and Access Management (IAM) con Amazon DynamoDB e fornisce esempi. Gli esempi mostrano come un amministratore di account può associare policy di autorizzazione alle IAM identità (utenti, gruppi e ruoli) e quindi concedere le autorizzazioni per eseguire operazioni sulle risorse Amazon DynamoDB.
In questa sezione vengono trattati gli argomenti seguenti:
Di seguito è riportato un esempio di policy delle autorizzazioni.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DescribeQueryScanBooksTable", "Effect": "Allow", "Action": [ "dynamodb:DescribeTable", "dynamodb:Query", "dynamodb:Scan" ], "Resource": "arn:aws:dynamodb:us-west-2:account-id:table/Books" } ] }
La politica precedente contiene un'istruzione che concede le autorizzazioni per tre azioni DynamoDB (dynamodb:DescribeTabledynamodb:Query, edynamodb:Scan) su una tabella nella us-west-2 AWS regione, di proprietà dell'account specificato da. AWS account-idResource valore specifica la tabella a cui si applicano le autorizzazioni.
IAMautorizzazioni necessarie per utilizzare la console Amazon DynamoDB
Per lavorare con la console DynamoDB, un utente deve disporre di un set minimo di autorizzazioni che gli consentano di utilizzare le risorse DynamoDB del proprio AWS account. Oltre a queste autorizzazioni DynamoDB, la console richiede le autorizzazioni dei seguenti servizi:
-
CloudWatch Autorizzazioni Amazon per visualizzare metriche e grafici.
-
AWS Data Pipeline autorizzazioni per esportare e importare dati DynamoDB.
-
AWS Identity and Access Management autorizzazioni per accedere ai ruoli necessari per le esportazioni e le importazioni.
-
Autorizzazioni di Amazon Simple Notification Service per avvisarti ogni volta che viene attivato un CloudWatch allarme.
-
AWS Lambda autorizzazioni per elaborare i record DynamoDB Streams.
Se si crea una IAM politica più restrittiva delle autorizzazioni minime richieste, la console non funzionerà come previsto per gli utenti con tale politica. IAM Per garantire che tali utenti possano continuare a utilizzare la console DynamoDB, allega anche AmazonDynamoDBReadOnlyAccess AWS la policy gestita all'utente, come descritto in. AWS IAMpolitiche gestite (predefinite) per Amazon DynamoDB
Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso Amazon AWS CLI DynamoDBAPI.
Nota
Se fai riferimento a un VPC endpoint, dovrai anche autorizzare la DescribeEndpoints API chiamata per i IAM principali richiedenti con l'azione (dynamodb:). IAM DescribeEndpoints Per ulteriori informazioni, consulta Policy richieste per gli endpoint.
AWS IAMpolitiche gestite (predefinite) per Amazon DynamoDB
AWS affronta alcuni casi d'uso comuni fornendo IAM politiche autonome create e amministrate da. AWS Queste politiche AWS gestite concedono le autorizzazioni necessarie per i casi d'uso comuni in modo da evitare di dover verificare quali autorizzazioni sono necessarie. Per ulteriori informazioni, consulta AWS Managed Policies nella Guida per l'IAMutente.
Le seguenti policy AWS gestite, che puoi allegare agli utenti del tuo account, sono specifiche di DynamoDB e sono raggruppate per scenario d'uso:
-
AmazonDynamoDBReadOnlyAccess— Concede l'accesso in sola lettura alle risorse DynamoDB tramite. AWS Management Console
-
AmazonDynamoDBFullAccess— Garantisce l'accesso completo alle risorse DynamoDB tramite. AWS Management Console
È possibile rivedere queste politiche di autorizzazione AWS gestite accedendo alla IAM console e cercando lì politiche specifiche.
Importante
La procedura migliore consiste nel creare IAM politiche personalizzate che garantiscano il minimo privilegio agli utenti, ai ruoli o ai gruppi che le richiedono.
Esempi di policy gestite dal cliente
In questa sezione sono riportati esempi di policy che concedono autorizzazioni per diverse operazioni DynamoDB. Questi criteri funzionano quando si utilizza o il. AWS SDKs AWS CLI Quando si utilizza la console, è necessario concedere autorizzazioni aggiuntive che sono specifiche della console. Per ulteriori informazioni, consulta IAMautorizzazioni necessarie per utilizzare la console Amazon DynamoDB.
Nota
Tutti i seguenti esempi di politiche utilizzano una delle AWS regioni e contengono nomi di account IDs e tabelle fittizi.
Esempi:
-
IAMpolitica per concedere le autorizzazioni a tutte le azioni DynamoDB su una tabella
-
IAMpolitica per concedere autorizzazioni di sola lettura sugli elementi in una tabella DynamoDB
-
IAMpolitica per concedere l'accesso a una tabella DynamoDB specifica e ai relativi indici
-
IAMpolitica per leggere, scrivere, aggiornare ed eliminare l'accesso su una tabella DynamoDB
-
IAMpolicy per separare gli ambienti DynamoDB nello stesso account AWS
-
IAMpolitica per impedire l'acquisto di capacità riservata di DynamoDB
-
IAMpolitica per concedere l'accesso in lettura solo per un flusso DynamoDB (non per la tabella)
-
IAMpolitica per consentire a una AWS Lambda funzione di accedere ai record di flusso DynamoDB
-
IAMpolicy per l'accesso in lettura e scrittura a un cluster DynamoDB Accelerator () DAX
La Guida IAM per l'utente include tre esempi aggiuntivi di DynamoDB:
