僅授予 DynamoDB 串流讀取存取權限的 IAM 政策 (不適用於資料表) - Amazon DynamoDB

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

僅授予 DynamoDB 串流讀取存取權限的 IAM 政策 (不適用於資料表)

當您為資料表啟用 DynamoDB Streams 時, 會擷取資料表中每個資料項目的修改資訊。如需詳細資訊,請參閱 DynamoDB Streams 的變更資料擷取

在部分情況下,建議您防止應用程式讀取 DynamoDB 資料表中的資料,但同時仍然允許存取該資料表的串流。例如,您可以設定 AWS Lambda 來輪詢串流,並在偵測到項目更新時叫用 Lambda 函數,然後執行其他處理。

下列動作可用來控制對 DynamoDB Streams 的存取:

  • dynamodb:DescribeStream

  • dynamodb:GetRecords

  • dynamodb:GetShardIterator

  • dynamodb:ListStreams

下列範例政策會將存取名為 GameScores 之資料表上串流的許可授予使用者。ARN 中的萬用字元 (*) 可符合與該資料表建立關聯的任何串流。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AccessGameScoresStreamOnly",
            "Effect": "Allow",
            "Action": [
                "dynamodb:DescribeStream",
                "dynamodb:GetRecords",
                "dynamodb:GetShardIterator",
                "dynamodb:ListStreams"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/GameScores/stream/*"
        }
    ]
}

請注意,此政策會授予存取 GameScores 資料表串流的權限,但不允許存取資料表本身。