Amazon DynamoDB에서 자격 증명 기반 정책 사용

이 주제에서는 Amazon DynamoDB에서 자격 증명 기반 AWS Identity and Access Management (IAM) 정책을 사용하는 방법을 다루고 예제를 제공합니다. 이 예제에서는 계정 관리자가 IAM 자격 증명(사용자, 그룹, 역할)에 권한 정책을 연결함으로써 Amazon DynamoDB 리소스에 대한 작업을 수행할 권한을 부여하는 방법을 보여 줍니다.

이 주제의 섹션에서는 다음 내용을 학습합니다.

• Amazon DynamoDB 콘솔을 사용하는 데 필요한 IAM 권한

• AWS Amazon DynamoDB에 대한 관리형 (사전 정의된) IAM 정책

• 고객 관리형 정책 예

다음은 권한 정책의 예제입니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DescribeQueryScanBooksTable",
            "Effect": "Allow",
            "Action": [
                "dynamodb:DescribeTable",
                "dynamodb:Query",
                "dynamodb:Scan"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:account-id:table/Books"
        }
    ]
}

위의 정책에는 지정된 계정이 소유한 리전의 테이블에 대한 세 개의 DynamoDB 작업 dynamodb:DescribeTable (dynamodb:Query,, dynamodb:Scan 및) 에 대한 권한을 부여하는 명령문이 하나 있습니다. us-west-2 AWS AWS account-id Resource 값의 Amazon 리소스 이름(ARN)은 권한이 적용되는 테이블을 지정합니다.

Amazon DynamoDB 콘솔을 사용하는 데 필요한 IAM 권한

DynamoDB 콘솔을 사용하려면 사용자에게 AWS 계정의 DynamoDB 리소스로 작업할 수 있는 최소 권한 집합이 있어야 합니다. 이 DynamoDB 권한 이외에 콘솔에는 다음 권한이 필요합니다.

• Amazon CloudWatch 권한: 지표와 그래프를 표시할 수 있습니다.

• AWS Data Pipeline DynamoDB 데이터를 내보내고 가져올 수 있는 권한

• AWS Identity and Access Management 내보내기와 가져오기에 필요한 역할에 액세스할 수 있는 권한.

• Amazon Simple Notification Service는 CloudWatch 경보가 트리거될 때마다 사용자에게 알릴 수 있는 권한을 부여합니다.

• AWS Lambda DynamoDB 스트림 레코드를 처리할 수 있는 권한

최소 필수 권한보다 더 제한적인 IAM 정책을 만들면 콘솔은 해당 IAM 정책에 연결된 사용자에 대해 의도대로 작동하지 않습니다. 이러한 사용자가 DynamoDB 콘솔을 계속 사용할 수 있도록 하려면 AmazonDynamoDBReadOnlyAccess AWS 에 설명된 대로 관리형 정책도 사용자에게 연결하십시오. AWS Amazon DynamoDB에 대한 관리형 (사전 정의된) IAM 정책

AWS CLI 또는 Amazon DynamoDB API만 호출하는 사용자에게 최소 콘솔 권한을 허용할 필요는 없습니다.

참고

VPC 엔드포인트를 참조하는 경우 IAM 작업 (dynamodb:) 을 사용하여 요청하는 IAM 보안 주체에 대한 DescribeEndpoints API 호출을 승인해야 합니다. DescribeEndpoints 자세한 내용은 엔드포인트에 필요한 정책 섹션을 참조하세요.

AWS Amazon DynamoDB에 대한 관리형 (사전 정의된) IAM 정책

AWS 에서 생성하고 관리하는 독립형 IAM 정책을 제공하여 몇 가지 일반적인 사용 사례를 해결합니다. AWS이러한 AWS 관리형 정책은 일반적인 사용 사례에 필요한 권한을 부여하므로 필요한 권한을 조사하지 않아도 됩니다. 자세한 내용은 IAM 사용 설명서의 AWS 관리형 정책을 참조하세요.

계정의 사용자에게 연결할 수 있는 다음 AWS 관리형 정책은 DynamoDB에만 해당되며 사용 사례 시나리오별로 그룹화됩니다.

• AmazonDynamoDB ReadOnlyAccess — 를 통해 DynamoDB 리소스에 대한 읽기 전용 액세스 권한을 부여합니다. AWS Management Console

• AmazonDynamoDB FullAccess — 를 통해 DynamoDB 리소스에 대한 전체 액세스 권한을 부여합니다. AWS Management Console

IAM 콘솔에 로그인하고 해당 콘솔에서 특정 정책을 검색하면 이러한 AWS 관리형 권한 정책을 검토할 수 있습니다.

중요

가장 좋은 방법은 필요한 사용자, 역할 또는 그룹에 최소 권한을 부여하는 사용자 지정 IAM 정책을 생성하는 것입니다.

고객 관리형 정책 예

이 단원에서는 다양한 DynamoDB 작업에 대한 권한을 부여하는 정책의 예를 제공합니다. 이러한 정책은 AWS SDK 또는 를 사용할 때 작동합니다. AWS CLI콘솔을 사용하는 경우 콘솔에 해당하는 추가 권한을 부여해야 합니다. 자세한 정보는 Amazon DynamoDB 콘솔을 사용하는 데 필요한 IAM 권한을 참조하세요.

참고

다음 정책 예제는 모두 AWS 지역 중 하나를 사용하며 가상의 계정 ID와 테이블 이름을 포함합니다.

예시:

• 테이블에서 모든 DynamoDB 작업에 대한 권한을 부여하는 IAM 정책

• DynamoDB 테이블의 항목에 대한 읽기 전용 권한을 부여하는 IAM 정책

• 특정 DynamoDB 테이블과 관련 인덱스에 대한 액세스 권한을 부여하는 IAM 정책

• DynamoDB 테이블에서 읽기, 쓰기, 업데이트 및 삭제 액세스 권한에 대한 IAM 정책

• 동일한 계정에서 DynamoDB 환경을 분리하기 위한 IAM 정책 AWS

• DynamoDB 예약 용량 구매를 방지하는 IAM 정책

• DynamoDB 스트림에 대해서만 읽기 액세스 권한을 부여하는 IAM 정책(테이블은 부여하지 않음)

• AWS Lambda 함수가 DynamoDB 스트림 레코드에 액세스할 수 있도록 허용하는 IAM 정책

• DynamoDB Accelerator(DAX) 클러스터에 대한 읽기 및 쓰기 액세스 권한을 위한 IAM 정책

IAM 사용 설명서에는 다음 세 가지 추가 DynamoDB 예시가 포함되어 있습니다.

• Amazon DynamoDB: 특정 테이블에 대한 액세스 허용

• Amazon DynamoDB: 특정 열에 대한 액세스 허용

• Amazon DynamoDB: Amazon Cognito ID를 기준으로 DynamoDB에 대한 행 수준 액세스 허용