リソースベースのポリシーを DynamoDB ストリームにアタッチする - Amazon DynamoDB

リソースベースのポリシーを DynamoDB ストリームにアタッチする

DynamoDB コンソール、PutResourcePolicy API、AWS CLI、AWS SDK、または AWS CloudFormation テンプレートを使用して、リソースベースのポリシーを既存のテーブルのストリームにアタッチしたり、既存のポリシーを変更したりできます。

注記

CreateTable API や UpdateTable API で作成中のストリームには、ポリシーをアタッチできません。ただし、テーブルの削除後にポリシーを変更または削除することはできます。また、無効になっているストリームのポリシーは変更または削除できます。

次の IAM ポリシーの例では、put-resource-policy AWS CLI コマンドを使用して、MusicCollection という名前のテーブルのストリームにリソースベースのポリシーをアタッチしています。この例では、ユーザー John に対して、該当ストリームで GetRecordsGetShardIteratorDescribeStream の API アクションを実行することを許可しています。

イタリック体のテキストを、リソース固有の情報に必ず置き換えてください。

aws dynamodb put-resource-policy \
    --resource-arn arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection/stream/2024-02-12T18:57:26.492 \
    --policy \
        "{
            \"Version\": \"2012-10-17\",
            \"Statement\": [
              {
                    \"Effect\": \"Allow\",
                    \"Principal\": {
                        \"AWS\": \"arn:aws:iam::111122223333:user/John\"
                    },
                    \"Action\": [
                        \"dynamodb:GetRecords\",
                        \"dynamodb:GetShardIterator\",
                        \"dynamodb:DescribeStream\"
                    ],
                    \"Resource\": \"arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection/stream/2024-02-12T18:57:26.492\"
                }
            ]
        }"

  1. AWS Management Console にサインインして DynamoDB コンソール (https://console.aws.amazon.com/dynamodb/) を開きます。

  2. DynamoDB コンソールのダッシュボードで [テーブル] を選択し、既存のテーブルを選択します。

    ストリームが有効になっているテーブルを選択してください。テーブルのストリームを有効にする方法については、「ストリームの有効化」を参照してください。

  3. [アクセス許可] タブを選択します。

  4. [アクティブストリームについてのリソースベースのポリシー] で、[ストリームポリシーを作成] を選択します。

  5. [リソースベースのポリシー] エディターで、ストリームに対するアクセス許可を定義するポリシーを追加します。このポリシーでは、ストリームにアクセスできるユーザーと、ストリームに対して実行できるアクションを指定します。ポリシーを追加するには、以下のいずれかを実行します。

    • JSON ポリシードキュメントを入力するか貼り付けます。IAM ポリシー言語の詳細については、「IAM ユーザーガイド」の「JSON エディターを使用したポリシーの作成」を参照してください。

      ヒント

      「Amazon DynamoDB デベロッパーガイド」のリソースベースのポリシーの例を確認するには、[ポリシーの例] を選択してください。

    • [新しいステートメントを追加] を選択して新しいステートメントを追加し、提示されたフィールドに情報を入力します。このステップを、追加するステートメントの数だけ繰り返します。

    重要

    セキュリティ警告、エラー、提案がある場合は、ポリシーを保存する前に解決してください。

  6. (オプション) 新しいポリシーがリソースへのパブリックアクセスおよびクロスアカウントアクセスにどのように影響するかをプレビューするには、[外部アクセスをプレビュー] を選択します。ポリシーを保存する前に、新しい IAM Access Analyzer の結果が導入されているかどうかや、既存の結果を解決するかどうかを確認できます。アクティブなアナライザーが表示されない場合は、[Access Analyzer へ移動] を選択し、[IAM Access Analyzer] でアカウントアナライザーを作成します。詳細については、「アクセスのプレビュー」を参照してください。

  7. [Create policy] を選択します。

次の IAM ポリシーの例では、MusicCollection という名前のテーブルのストリームにリソースベースのポリシーをアタッチします。この例では、ユーザー John に対して、該当ストリームで GetRecordsGetShardIteratorDescribeStream の API アクションを実行することを許可しています。

イタリック体のテキストを、リソース固有の情報に必ず置き換えてください。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:user/John"
      },
      "Action": [
        "dynamodb:GetRecords",
        "dynamodb:GetShardIterator",
        "dynamodb:DescribeStream"
      ],
      "Resource": [
        "arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection/stream/2024-02-12T18:57:26.492"
      ]
    }
  ]
}