このトピックでは、DynamoDB テーブルまたはインデックスに ABAC を実装する際に発生する可能性がある一般的なエラーや問題のトラブルシューティングに関するアドバイスを提供します。
サービス固有の条件キーは、有効な条件キーとは見なされません。ポリシーでこのようなキーを使用した場合、エラーが発生します。この問題を解決するには、サービス固有の条件キーを DynamoDB に ABAC を実装する適切な条件キーに置き換える必要があります。
例えば、PutItem リクエストを実行するインラインポリシーで dynamodb:ResourceTag
条件キーを使用したとします。リクエストが AccessDeniedException
で失敗するとします。次の例は、dynamodb:ResourceTag
条件キーを使用した誤りのあるインラインポリシーを示しています。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dynamodb:PutItem"
],
"Resource": "arn:aws:dynamodb:*:*:table/*",
"Condition": {
"StringEquals": {
"dynamodb:ResourceTag/Owner": "John"
}
}
}
]
}
この問題を解決するには、次の例に示すように、dynamodb:ResourceTag
条件キーを aws:ResourceTag
に置き換えます。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dynamodb:PutItem"
],
"Resource": "arn:aws:dynamodb:*:*:table/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "John"
}
}
}
]
}
サポート を通じてアカウントで ABAC が有効になっている場合、DynamoDB コンソールから ABAC をオプトアウトすることはできません。オプトアウトするには、サポート
次の条件を満たす場合のみ、ABAC をオプトアウトできます。
-
DynamoDB コンソールを通じてセルフサービスでオプトインする方法を使用しました。
-
オプトインから 7 暦日以内にオプトアウトします。