Amazon DynamoDB에서 자격 증명 기반 정책 사용

이 항목에서는 Amazon DynamoDB에서 AWS Identity and Access Management(IAM) 정책을 사용하는 방법을 설명하고 예시를 제공합니다. 이 예제에서는 계정 관리자가 IAM 자격 증명(사용자, 그룹, 역할)에 권한 정책을 연결함으로써 Amazon DynamoDB 리소스에 대한 작업을 수행할 권한을 부여하는 방법을 보여 줍니다.

이 주제의 섹션에서는 다음 내용을 학습합니다.

다음은 권한 정책의 예제입니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DescribeQueryScanBooksTable",
            "Effect": "Allow",
            "Action": [
                "dynamodb:DescribeTable",
                "dynamodb:Query",
                "dynamodb:Scan"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:account-id:table/Books"
        }
    ]
}

앞의 정책에는 account-id에 의해 지정된 AWS 계정이 소유하는 us-west-2 AWS 리전 내 테이블에서 세 가지 DynamoDB 작업(dynamodb:DescribeTable, dynamodb:Query, 및 dynamodb:Scan)에 대한 권한을 부여하는 문이 하나 있습니다. Resource 값의 Amazon 리소스 이름(ARN)은 권한이 적용되는 테이블을 지정합니다.

Amazon DynamoDB 콘솔을 사용하는 데 필요한 IAM 권한

사용자가 DynamoDB 콘솔로 작업하려면 AWS 계정의 DynamoDB 리소스로 작업하도록 허용하는 최소 권한 집합이 있어야 합니다. 이 DynamoDB 권한 이외에 콘솔에는 다음 권한이 필요합니다.

최소 필수 권한보다 더 제한적인 IAM 정책을 만들면 콘솔은 해당 IAM 정책에 연결된 사용자에 대해 의도대로 작동하지 않습니다. 이 사용자가 DynamoDB 콘솔을 계속 사용할 수 있도록 하려면 AmazonDynamoDBReadOnlyAccess AWS 관리형 정책도 사용자에게 연결합니다(Amazon DynamoDB에 대한 AWS 관리형(미리 정의된) IAM 정책 참조).

AWS CLI 또는 Amazon DynamoDB API만 호출하는 사용자에게는 최소 콘솔 권한을 허용할 필요가 없습니다.

Amazon DynamoDB에 대한 AWS 관리형(미리 정의된) IAM 정책

AWS는 AWS에서 생성하고 관리하는 독립형 IAM 정책을 제공하여 몇 가지 일반적인 사용 사례를 처리합니다. 이러한 AWS 관리형 정책은 사용자가 필요한 권한을 조사할 필요가 없도록 일반 사용 사례에 필요한 권한을 부여합니다. 자세한 내용은 IAM 사용 설명서의 AWS 관리형 정책을 참조하세요.

계정의 사용자에게 연결할 수 있는 다음 AWS 관리형 정책은 DynamoDB에 고유하며, 사용 사례 시나리오별로 그룹화되어 있습니다.

IAM 콘솔에 로그인하고 이 콘솔에서 특정 정책을 검색하여 이러한 AWS 관리형 권한 정책을 검토할 수 있습니다.

고객 관리형 정책 예

이 단원에서는 다양한 DynamoDB 작업에 대한 권한을 부여하는 정책의 예를 제공합니다. 이러한 정책은 AWS SDK 또는 AWS CLI를 사용하는 경우에 유효합니다. 콘솔을 사용하는 경우 콘솔에 해당하는 추가 권한을 부여해야 합니다. 자세한 내용은 Amazon DynamoDB 콘솔을 사용하는 데 필요한 IAM 권한 단원을 참조하십시오.

예:

IAM 사용 설명서에는 다음 세 가지 추가 DynamoDB 예시가 포함되어 있습니다.