將資源型政策連接至 DynamoDB 串流 - Amazon DynamoDB

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將資源型政策連接至 DynamoDB 串流

您可以使用 DynamoDB PutResourcePolicy 主控台、、 API或 AWS CLI AWS SDK AWS CloudFormation 範本 ,將資源型政策連接至現有資料表的串流或修改現有政策。

注意

使用 CreateTable或 建立時,您無法將政策連接至串流UpdateTableAPIs。不過,您可以在刪除資料表之後修改或刪除政策。您也可以修改或刪除已停用串流的政策。

下列IAM政策範例使用 put-resource-policy AWS CLI 命令,將資源型政策連接至名為 的資料表串流 MusicCollection。 此範例允許使用者 John 在串流上執行 GetShardIteratorGetRecordsDescribeStreamAPI動作。

請記得取代 italicized 包含資源特定資訊的文字。

aws dynamodb put-resource-policy \
    --resource-arn arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection/stream/2024-02-12T18:57:26.492 \
    --policy \
        "{
            \"Version\": \"2012-10-17\",
            \"Statement\": [
              {
                    \"Effect\": \"Allow\",
                    \"Principal\": {
                        \"AWS\": \"arn:aws:iam::111122223333:user/John\"
                    },
                    \"Action\": [
                        \"dynamodb:GetRecords\",
                        \"dynamodb:GetShardIterator\",
                        \"dynamodb:DescribeStream\"
                    ],
                    \"Resource\": \"arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection/stream/2024-02-12T18:57:26.492\"
                }
            ]
        }"

  1. 登入 AWS Management Console 並在 開啟 DynamoDB 主控台https://console.aws.amazon.com/dynamodb/

  2. 在 DynamoDB 主控台儀表板上,選擇資料表,然後選擇現有資料表。

    請確定您選擇的資料表已開啟串流。如需開啟資料表串流的相關資訊,請參閱 啟用串流

  3. 選擇許可索引標籤標籤。

  4. 作用中串流 的資源型政策中,選擇建立串流政策

  5. 資源型政策編輯器中,新增政策來定義串流的存取權限。在此政策中,您可以指定誰有權存取串流,以及他們獲准在串流上執行的動作。若要新增政策,請執行下列其中一項操作:

    • 輸入或貼上JSON政策文件。如需IAM政策語言的詳細資訊,請參閱 IAM 使用者指南 中的使用JSON編輯器建立政策

      提示

      若要查看 Amazon DynamoDB 開發人員指南中的資源型政策範例,請選擇政策範例

    • 選擇新增陳述式以新增新陳述式,並在提供的欄位中輸入資訊。針對您想要新增的任意數量陳述式重複此步驟。

    重要

    在儲存政策之前,請務必解決任何安全警告、錯誤或建議。

  6. (選用) 選擇右下角的 Preview external access (預覽外部存取),以預覽新政策會如何影響資源的公開和跨帳戶存取權。在儲存政策之前,您可以檢查其是否引入新的 IAM Access Analyzer 調查結果或解決現有的調查結果。如果您沒有看到作用中的分析器,請選擇前往存取分析器以在IAM存取分析器中建立帳戶分析器。如需詳細資訊,請參閱預覽存取權

  7. 選擇 建立政策

下列IAM政策範例會將資源型政策連接至名為 的資料表串流 MusicCollection。 此範例允許使用者 John 在串流上執行 GetShardIteratorGetRecordsDescribeStreamAPI動作。

請記得取代 italicized 包含資源特定資訊的文字。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:user/John"
      },
      "Action": [
        "dynamodb:GetRecords",
        "dynamodb:GetShardIterator",
        "dynamodb:DescribeStream"
      ],
      "Resource": [
        "arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection/stream/2024-02-12T18:57:26.492"
      ]
    }
  ]
}