As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Ações, recursos e chaves de condição do Amazon DynamoDB
O Amazon DynamoDB (prefixo do serviçodynamodb:) fornece os seguintes recursos, ações e chaves de contexto de condição específicos do serviço para uso em políticas de permissão. IAM
Referências:
-
Saiba como configurar este serviço.
-
Veja uma lista das APIoperações disponíveis para esse serviço.
-
Saiba como proteger esse serviço e seus recursos usando políticas de IAM permissão.
Tópicos
Ações definidas pelo Amazon DynamoDB
Você pode especificar as seguintes ações no Action elemento de uma declaração de IAM política. Use políticas para conceder permissões para executar uma operação na AWS. Quando você usa uma ação em uma política, geralmente permite ou nega acesso à API operação ou ao CLI comando com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.
A coluna Tipos de recursos na tabela Ações indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") aos quais a política se aplica no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma declaração com essa ação. Se a ação tiver um ou mais recursos necessários, o chamador deverá ter permissão para usar a ação com esses recursos. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você limitar o acesso aos recursos com o Resource elemento em uma IAM política, deverá incluir um padrão ARN ou para cada tipo de recurso necessário. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um dos tipos de recurso opcionais.
A coluna Chaves de condição na tabela Ações inclui chaves que você pode especificar em um elemento Condition da declaração de política. Para obter mais informações sobre as chaves de condição associadas aos recursos do serviço, consulte a coluna Chaves de condição da tabela Tipos de recursos.
nota
As chaves de condição do recurso estão listadas na tabela Tipos de recursos. Você pode encontrar um link para o tipo de recurso que se aplica a uma ação na coluna Tipos de recursos (*obrigatório) da tabela Ações. O tipo de recurso na tabela Tipos de recursos inclui a coluna Chaves de condição, que são as chaves de condição do recurso que se aplicam a uma ação na tabela Ações.
Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.
| Ações | Descrição | Nível de acesso | Tipos de recursos (*necessários) | Chaves de condição | Ações dependentes |
|---|---|---|---|---|---|
| BatchGetItem | Concede permissão para retornar os atributos de um ou mais itens de uma ou mais tabelas | Leitura | |||
| BatchWriteItem | Concede permissão para adicionar ou excluir múltiplos itens em uma ou mais tabelas | Escrever | |||
| ConditionCheckItem | Concede permissão à ConditionCheckItem operação, verifica a existência de um conjunto de atributos para o item com a chave primária fornecida. | Leitura | |||
| CreateBackup | Concede permissão para criar um backup de uma tabela existente | Escrever | |||
| CreateGlobalTable | Concede permissão para criar uma tabela global a partir de uma tabela existente | Escrever | |||
| CreateTable | Concede permissão para a CreateTable operação, adiciona uma nova tabela à sua conta | Escrever | |||
| CreateTableReplica [somente permissão] | Concede permissão para adicionar uma nova tabela de réplica | Escrever | |||
| DeleteBackup | Concede permissão para excluir um backup existente de uma tabela | Escrever | |||
| DeleteItem | Concede permissão para excluir um único item em uma tabela por chave primária | Escrever | |||
| DeleteResourcePolicy | Concede permissão para excluir a política baseada em recursos anexada ao recurso | Gerenciamento de permissões | |||
| DeleteTable | Concede permissão à DeleteTable operação que exclui uma tabela e todos os seus itens | Escrever | |||
| DeleteTableReplica [somente permissão] | Concede permissão para excluir uma tabela de réplica e todos os seus itens | Escrever | |||
| DescribeBackup | Concede permissão para descrever um backup existente de uma tabela | Leitura | |||
| DescribeContinuousBackups | Concede permissão para verificar o status das configurações de restauração do backup na tabela especificada | Leitura | |||
| DescribeContributorInsights | Concede permissão para descrever o status do contributor insights e os detalhes relacionados de determinada tabela ou índice secundário global | Leitura | |||
| DescribeEndpoints | Concede permissão para retornar as informações de endpoint regional | Leitura | |||
| DescribeExport | Concede permissão para descrever uma exportação de uma tabela existente | Leitura | |||
| DescribeGlobalTable | Concede permissão para retornar informações sobre o agente global especificado | Leitura | |||
| DescribeGlobalTableSettings | Concede permissão para retornar informações de configuração sobre o agente global especificado | Leitura | |||
| DescribeImport | Concede permissão para descrever uma importação existente | Leitura | |||
| DescribeKinesisStreamingDestination | Concede permissão para conceder permissão para descrever o status da transmissão do Kinesis e os detalhes relacionados de uma determinada tabela | Leitura | |||
| DescribeLimits | Concede permissão para retornar os limites atuais de capacidade provisionada para você Conta da AWS em uma região, tanto para a região como um todo quanto para qualquer tabela do DynamoDB que você criar lá | Leitura | |||
| DescribeReservedCapacity [somente permissão] | Concede permissão para descrever uma ou mais da Capacidade Reservada adquirida | Leitura | |||
| DescribeReservedCapacityOfferings [somente permissão] | Concede permissão para descrever as ofertas de Capacidade Reservada disponíveis para compra | Leitura | |||
| DescribeStream | Concede permissão para retornar informações sobre um stream, incluindo o status atual do stream, seu Amazon Resource Name (ARN), a composição de seus fragmentos e a tabela correspondente do DynamoDB | Leitura | |||
| DescribeTable | Concede permissão para retornar informações sobre a tarefa | Leitura | |||
| DescribeTableReplicaAutoScaling | Concede permissão para descrever as configurações de Auto Scaling em todas as réplicas da tabela global | Leitura | |||
| DescribeTimeToLive | Concede permissão para fornecer uma descrição do status Time to Live (TTL) na tabela especificada | Leitura | |||
| DisableKinesisStreamingDestination | Concede permissão para conceder permissão para interromper a replicação da tabela do DynamoDB para o fluxo de dados do Kinesis | Escrever | |||
| EnableKinesisStreamingDestination | Concede permissão para conceder permissão para iniciar a replicação de dados de tabela para o fluxo de dados do Kinesis especificado em um carimbo de data/hora escolhido durante o fluxo de trabalho de habilitação | Escrever | |||
| ExportTableToPointInTime | Concede permissão para iniciar uma exportação de uma tabela do DynamoDB para o S3 | Escrever | |||
| GetItem | Concede permissão à GetItem operação que retorna um conjunto de atributos para o item com a chave primária fornecida | Leitura | |||
| GetRecords | Concede permissão para recuperar os registros da transmissão em um determinado fragmento | Leitura | |||
| GetResourcePolicy | Concede permissão para visualizar uma política baseada em recursos para um recurso | Leitura | |||
| GetShardIterator | Concede permissão para retornar um iterador de fragmento | Leitura | |||
| ImportTable | Concede permissão para iniciar uma importação do S3 para uma tabela do DynamoDB | Escrever | |||
| ListBackups | Concede permissão para listar os backups associados à conta e ao endpoint | Listar | |||
| ListContributorInsights | Concede permissão para listar o ContributorInsightsSummary para todas as tabelas e índices secundários globais associados à conta atual e ao endpoint | Listar | |||
| ListExports | Concede permissão para listar as exportações associadas à conta e ao endpoint | Listar | |||
| ListGlobalTables | Concede permissão para listar todas as tabelas globais que têm uma réplica na região especificada | Listar | |||
| ListImports | Concede permissão para listar as importações associadas à conta e ao endpoint | Listar | |||
| ListStreams | Concede permissão para retornar uma matriz de fluxo ARNs associada à conta atual e ao endpoint | Leitura | |||
| ListTables | Concede permissão para retornar uma matriz de nomes de tabela associados à conta e ao endpoint atuais | Listar | |||
| ListTagsOfResource | Concede permissão para listar todas as etiquetas em um recurso do Amazon DynamoDB | Leitura | |||
| PartiQLDelete | Concede permissão para excluir um único item em uma tabela por chave primária | Write | |||
| PartiQLInsert | Concede permissão para criar um novo item, se um item com a mesma chave primária não existir na tabela | Write | |||
| PartiQLSelect | Concede permissão para ler um conjunto de atributos para itens de uma tabela ou índice | Read | |||
| PartiQLUpdate | Concede permissão para editar os atributos de um item existente | Escrever | |||
| PurchaseReservedCapacityOfferings [somente permissão] | Concede permissão para comprar capacidade reservada para uso com sua conta | Escrever | |||
| PutItem | Concede permissão para criar um novo item ou substituir um item antigo por um novo | Escrever | |||
| PutResourcePolicy | Concede permissão para anexar uma política baseada em recursos ao recurso | Gerenciamento de permissões | |||
| Query | Concede permissão para usar a chave primária de uma tabela ou de um índice secundário para acessar diretamente os itens dessa tabela ou índice | Leitura | |||
| RestoreTableFromAwsBackup [somente permissão] | Concede permissão para criar uma nova tabela a partir do ponto de recuperação no AWS Backup | Escrever | |||
| RestoreTableFromBackup | Concede permissão para criar uma nova tabela de um backup existente | Escrever |
dynamodb:BatchWriteItem dynamodb:DeleteItem dynamodb:GetItem dynamodb:PutItem dynamodb:Query dynamodb:Scan dynamodb:UpdateItem |
||
| RestoreTableToPointInTime | Concede permissão para restaurar uma tabela para um momento | Escrever |
dynamodb:BatchWriteItem dynamodb:DeleteItem dynamodb:GetItem dynamodb:PutItem dynamodb:Query dynamodb:Scan dynamodb:UpdateItem |
||
| Scan | Concede permissão para retornar um ou mais itens e atributos de itens acessando cada item em uma tabela ou um índice secundário | Leitura | |||
| StartAwsBackupJob [somente permissão] | Concede permissão para criar um backup no AWS Backup com recursos avançados ativados | Escrever | |||
| TagResource | Concede permissão para associar um conjunto de etiquetas com um recurso do Amazon DynamoDB | Tags | |||
| UntagResource | Concede permissão para remover a associação de etiquetas de um recurso do Amazon DynamoDB | Tags | |||
| UpdateContinuousBackups | Concede permissão para habilitar ou desabilitar backups contínuos | Escrever | |||
| UpdateContributorInsights | Concede permissão para atualizar o status do contributor insights para uma tabela ou índice secundário global específico | Escrever | |||
| UpdateGlobalTable | Concede permissão para adicionar ou remover réplicas na tabela global especificada | Escrever | |||
| UpdateGlobalTableSettings | Concede permissão para atualizar configurações do conjunto de tarefas especificado | Escrever | |||
| UpdateGlobalTableVersion [somente permissão] | Concede permissão para atualizar a versão da tabela global especificada | Escrever | |||
| UpdateItem | Concede permissão para editar os atributos de um item existente, ou adiciona um novo item à tabela, se ele ainda não existir | Escrever | |||
| UpdateKinesisStreamingDestination | Concede permissão para atualizar as configurações de replicação de dados para o stream de dados do Kinesis especificado | Escrever | |||
| UpdateTable | Concede permissão para modificar as configurações de throughput provisionada, índices secundários globais ou as configurações do DynamoDB Streams para uma determinada tabela | Escrever | |||
| UpdateTableReplicaAutoScaling | Concede permissão para atualizar as configurações de Auto Scaling na tabela-réplica | Escrever | |||
| UpdateTimeToLive | Concede permissão para ativar ou desativar TTL a tabela especificada | Escrever |
Tipos de recursos definidos pelo Amazon DynamoDB
Os tipos de recursos a seguir são definidos por esse serviço e podem ser usados no Resource elemento das declarações de política de IAM permissão. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela Tipos de recursos. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.
| Tipos de recursos | ARN | Chaves de condição |
|---|---|---|
| index |
arn:${Partition}:dynamodb:${Region}:${Account}:table/${TableName}/index/${IndexName}
|
|
| stream |
arn:${Partition}:dynamodb:${Region}:${Account}:table/${TableName}/stream/${StreamLabel}
|
|
| table |
arn:${Partition}:dynamodb:${Region}:${Account}:table/${TableName}
|
|
| backup |
arn:${Partition}:dynamodb:${Region}:${Account}:table/${TableName}/backup/${BackupName}
|
|
| export |
arn:${Partition}:dynamodb:${Region}:${Account}:table/${TableName}/export/${ExportName}
|
|
| global-table |
arn:${Partition}:dynamodb::${Account}:global-table/${GlobalTableName}
|
|
| import |
arn:${Partition}:dynamodb:${Region}:${Account}:table/${TableName}/import/${ImportName}
|
Chaves de condição do Amazon DynamoDB
O Amazon DynamoDB define as seguintes chaves de condição que podem ser usadas no elemento de uma Condition política. IAM É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.
Para ver as chaves de condição globais que estão disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.
nota
Para obter informações sobre como usar chaves de contexto para refinar o acesso ao DynamoDB usando IAM uma política, consulte IAM Usando condições de política para controle de acesso refinado no Amazon DynamoDB Developer Guide.
| Chaves de condição | Descrição | Tipo |
|---|---|---|
| dynamodb:Attributes | Filtra o acesso por nomes dos atributos (campo ou coluna) da tabela | ArrayOfString |
| dynamodb:EnclosingOperation | Filtra o acesso bloqueando APIs chamadas de transações e permite APIs chamadas sem transação e vice-versa | String |
| dynamodb:FullTableScan | Filtra o acesso ao bloquear a verificação completa da tabela | Bool |
| dynamodb:LeadingKeys | Filtra o acesso pela chave de partição da tabela | ArrayOfString |
| dynamodb:ReturnConsumedCapacity | Filtra o acesso pelo ReturnConsumedCapacity parâmetro de uma solicitação. Contém "TOTAL" ou "NONE” | String |
| dynamodb:ReturnValues | Filtra o acesso pelo ReturnValues parâmetro da solicitação. Contém um dos seguintes: "ALL_ OLD “," UPDATED _ OLD “,” ALL _ NEW “,” UPDATED _ NEW “ou"NONE” | String |
| dynamodb:Select | Filtra o acesso pelo parâmetro Select de uma solicitação de consulta ou exame | String |
