DynamoDB 用のリソースベースのポリシーを使用する
DynamoDB では、テーブル、インデックス、ストリームに対してリソースベースのポリシーを利用できます。リソースベースのポリシーでは、各リソースにアクセスできるユーザーと、各リソースに対して実行できるアクションを指定することで、アクセス許可を定義できます。
リソースベースのポリシーを DynamoDB リソース (テーブルやストリームなど) にアタッチできます。このポリシーでは、Identity and Access Management (IAM) プリンシパルに対して、該当する DynamoDB リソースで特定のアクションを実行するためのアクセス許可を指定します。例えば、テーブルにアタッチされたポリシーでは、そのテーブルとそのインデックスへのアクセス許可を指定します。そのため、リソースベースのポリシーを使用すれば、リソース単位でアクセス許可を定義することで、DynamoDB のテーブル、インデックス、ストリームへのアクセスを簡単に制御できます。DynamoDB リソースにアタッチできるポリシーの最大サイズは 20 KB です。
リソースベースのポリシーを使用する大きな利点は、さまざまな AWS アカウント で IAM プリンシパルにクロスアカウントアクセスを許可するための、クロスアカウントアクセス制御が簡単になることです。詳細については、「クロスアカウントアクセスのリソースベースのポリシー」を参照してください。
リソースベースのポリシーは、IAM Access Analyzer の外部アクセスアナライザーやブロックパブリックアクセス (BPA) 機能と統合することもできます。IAM Access Analyzer は、リソースベースのポリシーで指定された外部エンティティへのクロスアカウントアクセスについて報告します。また、情報を可視化してくれるので、アクセス許可を調整し、最小特権の原則を守るうえでも役立ちます。BPA では、DynamoDB のテーブル、インデックス、ストリームへのパブリックアクセスを阻止できます。BPA は、リソースベースのポリシーの作成と変更のワークフローで自動的に有効になります。
トピック
- リソースベースのポリシーを指定してテーブルを作成する
- DynamoDB の既存のテーブルにポリシーをアタッチする
- リソースベースのポリシーを DynamoDB ストリームにアタッチする
- リソースベースのポリシーを DynamoDB テーブルから削除する
- DynamoDB でリソースベースのポリシーを使用したクロスアカウントアクセス
- DynamoDB でリソースベースのポリシーでパブリックアクセスをブロックする
- リソースベースのポリシーでサポートされる DynamoDB API オペレーション
- IAM アイデンティティベースのポリシーと DynamoDB リソースベースのポリシーによる認可
- DynamoDB リソースベースのポリシーの例
- DynamoDB リソースベースのポリシーの考慮事項
- DynamoDB リソースベースのポリシーに関するベストプラクティス