Usar políticas baseadas em identidade com o Amazon DynamoDB

Este tópico aborda o uso de políticas baseadas em identidade AWS Identity and Access Management (IAM) com o Amazon DynamoDB e fornece exemplos. Os exemplos mostram como um administrador de conta pode anexar políticas de permissões a identidades do IAM (usuários, grupos e funções) e, dessa forma, conceder permissões para executar operações em recursos do Amazon DynamoDB.

As seções neste tópico abrangem o seguinte:

• Permissões do IAM necessárias para usar o console do Amazon DynamoDB

• AWS políticas gerenciadas (predefinidas) do IAM para o Amazon DynamoDB

• Exemplos de política gerenciada pelo cliente

Veja a seguir um exemplo de política de permissões.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DescribeQueryScanBooksTable",
            "Effect": "Allow",
            "Action": [
                "dynamodb:DescribeTable",
                "dynamodb:Query",
                "dynamodb:Scan"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:account-id:table/Books"
        }
    ]
}

A política anterior tem uma declaração que concede permissões para três ações do DynamoDB dynamodb:DescribeTable (dynamodb:Query,, dynamodb:Scan e) em uma tabela na Região, que pertence us-west-2 AWS à conta especificada por AWS . account-id O Nome do recurso da Amazon (ARN) no valor Resource especifica a tabela à qual as permissões se aplicam.

Permissões do IAM necessárias para usar o console do Amazon DynamoDB

Para trabalhar com o console do DynamoDB, o usuário deve ter um conjunto mínimo de permissões que permita que ele trabalhe com os recursos do DynamoDB de AWS sua conta. Além dessas permissões do DynamoDB, o console exige permissões:

• CloudWatch Permissões da Amazon para exibir métricas e gráficos.

• AWS Data Pipeline permissões para exportar e importar dados do DynamoDB.

• AWS Identity and Access Management permissões para acessar as funções necessárias para exportações e importações.

• Permissões do Amazon Simple Notification Service para notificá-lo sempre que um CloudWatch alarme for acionado.

• AWS Lambda permissões para processar registros do DynamoDB Streams.

Se você criar uma política do IAM que seja mais restritiva que as permissões mínimas necessárias, o console do não funcionará como pretendido para os usuários com essa política do IAM. Para garantir que esses usuários ainda possam usar o console do DynamoDB, anexe também a política gerenciada AmazonDynamoDBReadOnlyAccess AWS ao usuário, conforme descrito em. AWS políticas gerenciadas (predefinidas) do IAM para o Amazon DynamoDB

Você não precisa permitir permissões mínimas de console para usuários que estão fazendo chamadas somente para a API do Amazon DynamoDB AWS CLI ou para a Amazon DynamoDB.

nota

Se você se referir a um VPC endpoint, também precisará autorizar a chamada de DescribeEndpoints API para os principais do IAM solicitantes com a ação do IAM (dynamodb:). DescribeEndpoints Para obter mais informações, consulte Política necessária para endpoints.

AWS políticas gerenciadas (predefinidas) do IAM para o Amazon DynamoDB

AWS aborda alguns casos de uso comuns fornecendo políticas autônomas do IAM que são criadas e administradas pela AWS. Essas políticas AWS gerenciadas concedem as permissões necessárias para casos de uso comuns, para que você não precise investigar quais permissões são necessárias. Para obter mais informações, consulte Políticas gerenciadas pela AWS no Guia do usuário do IAM.

As políticas AWS gerenciadas a seguir, que você pode anexar aos usuários em sua conta, são específicas do DynamoDB e são agrupadas por cenário de caso de uso:

• AmazonDynamoDB ReadOnlyAccess — Concede acesso somente de leitura aos recursos do DynamoDB por meio do. AWS Management Console

• AmazonDynamoDB FullAccess — Concede acesso total aos recursos do DynamoDB por meio do. AWS Management Console

Você pode revisar essas políticas de permissões AWS gerenciadas fazendo login no console do IAM e pesquisando políticas específicas lá.

Importante

A prática recomendada é criar políticas personalizadas do IAM que concedam privilégio mínimo aos usuários, perfis ou grupos que precisam dele.

Exemplos de política gerenciada pelo cliente

Nesta seção, você encontrará exemplos de políticas de usuário que concedem permissões para diversas ações do DynamoDB. Essas políticas funcionam quando você usa AWS SDKs ou o. AWS CLI Quando você usa o console, precisa conceder permissões adicionais que são específicas do console. Para ter mais informações, consulte Permissões do IAM necessárias para usar o console do Amazon DynamoDB.

nota

Todos os exemplos de políticas a seguir usam uma das AWS regiões e contêm IDs de contas e nomes de tabelas fictícios.

Exemplos:

• Política do IAM para conceder permissões a todas as ações do DynamoDB em uma tabela

• Política do IAM para conceder permissões somente leitura em itens de uma tabela do DynamoDB

• Política do IAM para conceder acesso a uma tabela específica do DynamoDB e seus índices

• Política do IAM para ler, gravar, atualizar e excluir o acesso em uma tabela do DynamoDB

• Política do IAM para separar ambientes do DynamoDB na mesma conta AWS

• Política do IAM para evitar a compra de capacidade reservada do DynamoDB

• Política do IAM para conceder acesso de leitura somente para um fluxo do DynamoDB (não para a tabela)

• Política do IAM para permitir que uma AWS Lambda função acesse registros de stream do DynamoDB

• Política do IAM para acesso de leitura e gravação a um cluster do DynamoDB Accelerator (DAX)

O Guia do usuário do IAM inclui três exemplos adicionais do DynamoDB:

• Amazon DynamoDB: permite acesso a uma tabela específica

• Amazon DynamoDB: permite acesso a colunas específicas

• Amazon DynamoDB: permite acesso por linha ao DynamoDB com base em um ID do Amazon Cognito