リソースベースのポリシーの Resource フィールドで ARN を指定した場合は、その ARN がアタッチ先の DynamoDB リソースの ARN と一致する場合にのみ、ポリシーが有効になります。
注記
イタリック体のテキストを、リソース固有の情報に必ず置き換えてください。
テーブルのリソースベースのポリシー
次のリソースベースのポリシーは、MusicCollection という名前の DynamoDB テーブルにアタッチされています。IAM ユーザーの John と Jane に対して、MusicCollection リソースで GetItem アクションと BatchGetItem アクションを実行する権限を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "1111", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:user/John", "arn:aws:iam::111122223333:user/Jane" ] }, "Action": [ "dynamodb:GetItem", "dynamodb:BatchGetItem" ], "Resource": [ "arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection" ] } ] }
ストリームのリソースベースのポリシー
次のリソースベースのポリシーは、2024-02-12T18:57:26.492 という名前の DynamoDB ストリームにアタッチされています。IAM ユーザーの John と Jane に対して、2024-02-12T18:57:26.492 リソースで GetRecords、GetShardIterator、DescribeStream の API アクションを実行する権限を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "1111", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::111122223333:user/John", "arn:aws:iam::111122223333:user/Jane" ] }, "Action": [ "dynamodb:DescribeStream", "dynamodb:GetRecords", "dynamodb:GetShardIterator" ], "Resource": [ "arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection/stream/2024-02-12T18:57:26.492" ] } ] }
指定されたリソースに対するあらゆるアクションの実行権限を付与するリソースベースのポリシー
テーブルと、テーブルに関連付けられたすべてのインデックスに対するすべてのアクションの実行をユーザーに許可する場合は、ワイルドカード (*) を使用して、テーブルに関連するアクションとリソースを表すことができます。リソースにワイルドカード文字を使用した場合、該当する DynamoDB テーブルとそのすべての関連インデックス (未作成のものも含む) へのアクセスがユーザーに許可されます。例えば、次のポリシーは、ユーザー John に対して、MusicCollection テーブルとそのすべてのインデックス (今後作成されるインデックスを含む) に対するあらゆるアクションの実行権限を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "1111", "Effect": "Allow", "Principal":"arn:aws:iam::111122223333:user/John", "Action": "dynamodb:*", "Resource": [ "arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection", "arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection/index/*" ] } ] }
クロスアカウントアクセスのリソースベースのポリシー
クロスアカウントの IAM アイデンティティに対して、DynamoDB リソースへのアクセス権限を指定できます。例えば、信頼できるアカウントのユーザーが、特定の項目とその項目内の特定の属性のみにアクセスするという条件で、テーブルの内容の読み取り権限を取得できるようにする場合が考えられます。次のポリシーでは、信頼できる AWS アカウント ID 111111111111 のユーザー John に対して、GetItem API を使用してアカウント 123456789012 のテーブルのデータにアクセスすることを許可します。このポリシーでは、プライマリキーが Jane の項目のみに該当ユーザーがアクセスして、属性 Artist と SongTitle のみを取得可能であり、その他の属性は取得できないようになっています。
重要
SPECIFIC_ATTRIBUTES 条件を指定しない場合は、返された項目のすべての属性が表示されます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CrossAccountTablePolicy", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111111111111:user/John" }, "Action": "dynamodb:GetItem", "Resource": [ "arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection" ], "Condition": { "ForAllValues:StringEquals": { "dynamodb:LeadingKeys": "Jane", "dynamodb:Attributes": [ "Artist", "SongTitle" ] }, "StringEquals": { "dynamodb:Select": "SPECIFIC_ATTRIBUTES" } } } ] }
前述のリソースベースのポリシーに加えて、クロスアカウントアクセスを実現するためには、ユーザー John にアタッチしたアイデンティティベースのポリシーでも GetItem API アクションを許可する必要があります。以下は、ユーザー John にアタッチする必要があるアイデンティティベースのポリシーの例です。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CrossAccountIdentityBasedPolicy", "Effect": "Allow", "Action": [ "dynamodb:GetItem" ], "Resource": [ "arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection" ], "Condition": { "ForAllValues:StringEquals": { "dynamodb:LeadingKeys": "Jane", "dynamodb:Attributes": [ "Artist", "SongTitle" ] }, "StringEquals": { "dynamodb:Select": "SPECIFIC_ATTRIBUTES" } } } ] }
ユーザー John は、アカウント 123456789012 のテーブル MusicCollection にアクセスするため、table-name パラメータにテーブル ARN を指定して GetItem リクエストを行うことができます。
aws dynamodb get-item \ --table-name arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection\ --key '{"Artist": {"S": "Jane"}' \ --projection-expression 'Artist, SongTitle' \ --return-consumed-capacity TOTAL
IP アドレス条件を指定したリソースベースのポリシー
条件を適用して、発信元の IP アドレス、仮想プライベートクラウド (VPC)、VPC エンドポイント (VPCE) を制限できます。リクエストの発信元のアドレスに基づいてアクセス許可を指定できます。例えば、特定の IP ソース (企業の VPN エンドポイントなど) がアクセス元である場合に限り、ユーザーに DynamoDB リソースへのアクセスを許可したい場合が考えられます。これらの IP アドレスを Condition ステートメントに指定します。
次の例では、ユーザー John に対して、発信元 IP が 54.240.143.0/24 および 2001:DB8:1234:5678::/64 である場合に任意の DynamoDB リソースへのアクセスを許可します。
{ "Id":"PolicyId2", "Version":"2012-10-17", "Statement":[ { "Sid":"AllowIPmix", "Effect":"Allow", "Principal":"arn:aws:iam::111111111111:user/John", "Action":"dynamodb:*", "Resource":"*", "Condition": { "IpAddress": { "aws:SourceIp": [ "54.240.143.0/24", "2001:DB8:1234:5678::/64" ] } } } ] }
また、発信元が特定の VPC エンドポイント (vpce-1a2b3c4d など) 以外である場合に、DynamoDB リソースへのアクセスを一切拒否することもできます。
{ "Id":"PolicyId", "Version":"2012-10-17", "Statement": [ { "Sid": "AccessToSpecificVPCEOnly", "Principal": "*", "Action": "dynamodb:*", "Effect": "Deny", "Resource": "*", "Condition": { "StringNotEquals":{ "aws:sourceVpce":"vpce-1a2b3c4d" } } } ] }
IAM ロールを使用するリソースベースのポリシー
リソースベースのポリシーで IAM サービスロールを指定することもできます。このロールを引き受ける IAM エンティティは、そのロールに指定されているアクションのみを、リソースベースのポリシーで指定されているリソースセットに限定して実行できます。
次の例では、IAM エンティティが MusicCollection と MusicCollection の DynamoDB リソースですべての DynamoDB アクションを実行することを許可しています。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "1111", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/John" }, "Action": "dynamodb:*", "Resource": [ "arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection", "arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection/*" ] } ] }
