Verwenden von IAM mit DynamoDB-Backup und -Wiederherstellung - Amazon DynamoDB
Beispiel 1: Zulassen der CreateBackup- und RestoreTableFromBackup-Aktionen Beispiel 2: Zulassen der CreateBackup-Aktion und Ablehnen der RestoreTableFromBackup-Aktion Beispiel 3: Zulassen der ListBackups-Aktion und Ablehnen der CreateBackup- und RestoreTableFromBackup-Aktionen Beispiel 4: Zulassen der ListBackups-Aktion und Ablehnen der DeleteBackup-Aktion Beispiel 5: Zulassen der RestoreTableFromBackup- und DescribeBackup-Aktionen für alle Ressourcen und Ablehnen der DeleteBackup-Aktion für ein bestimmtes Backup Beispiel 6: Zulassen der CreateBackup-Aktion für eine bestimmte Tabelle Beispiel 7: Zulassen der ListBackups-Aktion Beispiel 8: Zugriff zulassen für AWS Backup-Funktionen Beispiel 9: Verweigern von RestoreTableToPointInTime für eine bestimmte Quelltabelle Beispiel 10: Verweigern von RestoreTableFromBackup für alle Backups für eine bestimmte Quelltabelle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von IAM mit DynamoDB-Backup und -Wiederherstellung

Sie können AWS Identity and Access Management (IAM) zum Einschränken der Amazon-DynamoDB-Backup- und Wiederherstellungsaktionen für einige Ressourcen verwenden. Die APIs CreateBackup und RestoreTableFromBackup gelten für einzelne Tabellen.

Weitere Informationen zur Verwendung der IAM-Richtlinien in DynamoDB finden Sie unter Identitätsbasierte Richtlinien für DynamoDB.

Es folgen Beispiele für die IAM-Richtlinien, die Sie zum Konfigurieren bestimmter Backup- und Wiederherstellungsfunktionen in DynamoDB verwenden können.

Beispiel 1: Zulassen der CreateBackup- und RestoreTableFromBackup-Aktionen

Mit der folgenden IAM-Richtlinie werden die Berechtigungen zum Zulassen der DynamoDB-Aktionen CreateBackup und RestoreTableFromBackup für alle Tabellen erteilt:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:CreateBackup",
                "dynamodb:RestoreTableFromBackup",
                "dynamodb:PutItem",
                "dynamodb:UpdateItem",
                "dynamodb:DeleteItem",
                "dynamodb:GetItem",
                "dynamodb:Query",
                "dynamodb:Scan",
                "dynamodb:BatchWriteItem"   
            ],
            "Resource": "*"
        }
    ]
}
Wichtig

DynamoDB RestoreTableFromBackup-Berechtigungen sind für die Quellsicherung erforderlich, und DynamoDB-Lese- und Schreibberechtigungen für die Zieltabelle sind für die Wiederherstellungsfunktion erforderlich.

DynamoDB RestoreTablePointInTime-Berechtigungen sind für die Quelltabelle erforderlich, und DynamoDB-Lese- und Schreibberechtigungen für die Zieltabelle sind für die Wiederherstellungsfunktion erforderlich.

Beispiel 2: Zulassen der CreateBackup-Aktion und Ablehnen der RestoreTableFromBackup-Aktion

Mit der folgenden IAM-Richtlinie werden die Berechtigungen für die Aktion CreateBackup erteilt und für die Aktion RestoreTableFromBackup verweigert:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["dynamodb:CreateBackup"],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": ["dynamodb:RestoreTableFromBackup"],
            "Resource": "*"
        }
        
    ]
}

Beispiel 3: Zulassen der ListBackups-Aktion und Ablehnen der CreateBackup- und RestoreTableFromBackup-Aktionen

Mit der folgenden IAM-Richtlinie werden die Berechtigungen für die Aktion ListBackups erteilt und für die Aktionen CreateBackup und RestoreTableFromBackup verweigert:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["dynamodb:ListBackups"],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": [
                "dynamodb:CreateBackup",
                "dynamodb:RestoreTableFromBackup"
            ],
            "Resource": "*"
        }
        
    ]
}

Beispiel 4: Zulassen der ListBackups-Aktion und Ablehnen der DeleteBackup-Aktion

Mit der folgenden IAM-Richtlinie werden die Berechtigungen für die Aktion ListBackups erteilt und für die Aktion DeleteBackup verweigert:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["dynamodb:ListBackups"],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": ["dynamodb:DeleteBackup"],
            "Resource": "*"
        }
        
    ]
}

Beispiel 5: Zulassen der RestoreTableFromBackup- und DescribeBackup-Aktionen für alle Ressourcen und Ablehnen der DeleteBackup-Aktion für ein bestimmtes Backup

Mit der folgenden IAM-Richtlinie werden die Berechtigungen für die Aktionen RestoreTableFromBackup und DescribeBackup erteilt und die Aktion DeleteBackup für eine bestimmte Backupressource abgelehnt:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:DescribeBackup",
                "dynamodb:RestoreTableFromBackup",
            ],
            "Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/Music/backup/01489173575360-b308cd7d"
        },
        {
             "Effect": "Allow",
             "Action": [
                "dynamodb:PutItem",
                "dynamodb:UpdateItem",
                "dynamodb:DeleteItem",
                "dynamodb:GetItem",
                "dynamodb:Query",
                "dynamodb:Scan",
                "dynamodb:BatchWriteItem"
            ],
            "Resource": "*" 
        },
        {
            "Effect": "Deny",
            "Action": [
                "dynamodb:DeleteBackup"
            ],
            "Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/Music/backup/01489173575360-b308cd7d"
        }
    ]
}
Wichtig

DynamoDB-RestoreTableFromBackup-Berechtigungen sind für die Quellsicherung erforderlich, und DynamoDB-Lese- und Schreibberechtigungen für die Zieltabelle sind für die Wiederherstellungsfunktion erforderlich.

DynamoDB-RestoreTablePointInTime-Berechtigungen sind für die Quelltabelle erforderlich, und DynamoDB-Lese- und Schreibberechtigungen für die Zieltabelle sind für die Wiederherstellungsfunktion erforderlich.

Beispiel 6: Zulassen der CreateBackup-Aktion für eine bestimmte Tabelle

Mit der folgenden IAM-Richtlinie werden die Berechtigungen für die Aktion CreateBackup nur für die Tabelle Movies erteilt:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["dynamodb:CreateBackup"],
            "Resource": [
                "arn:aws:dynamodb:us-east-1:123456789012:table/Movies"
            ]
        }
    ]
}

Beispiel 7: Zulassen der ListBackups-Aktion

Die folgende IAM-Richtlinie erteilt Berechtigungen für die ListBackups Aktion:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["dynamodb:ListBackups"],
            "Resource": "*"
        }
    ]
}
}
Wichtig

Sie können keine Berechtigungen für die Aktion ListBackups für eine bestimmte Tabelle erteilen.

Beispiel 8: Zugriff zulassen für AWS Backup-Funktionen

Sie benötigen API-Berechtigungen für die StartAwsBackupJob-Aktion für ein erfolgreiches Backup mit erweiterten Funktionen und die dynamodb:RestoreTableFromAwsBackup-Aktion, um dieses Backup erfolgreich wiederherzustellen.

Die folgenden IAM-Richtlinie gewährt AWS Backup die Berechtigungen zum Auslösen von Backups mit erweiterten Funktionen und Wiederherstellungen. Beachten Sie auch, dass die Richtlinie Zugriff auf den AWS-KMS-Schlüssel benötigt, wenn die Tabellen verschlüsselt sind. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DescribeQueryScanBooksTable",
            "Effect": "Allow",
            "Action": [
                "dynamodb:StartAwsBackupJob",
                "dynamodb:DescribeTable",
                "dynamodb:Query",
                "dynamodb:Scan"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:account-id:table/Books"
        },
        {
            "Sid": "AllowRestoreFromAwsBackup",
            "Effect": "Allow",
            "Action": ["dynamodb:RestoreTableFromAwsBackup"],
            "Resource": "*"
        },

    ]
}

Beispiel 9: Verweigern von RestoreTableToPointInTime für eine bestimmte Quelltabelle

Die folgende IAM-Richtlinie verweigert Berechtigungen für die Aktion RestoreTableToPointInTime für eine bestimmte Quelltabelle: 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "dynamodb:RestoreTableToPointInTime"
            ],
            "Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/Music"
        }
    ]
}

Beispiel 10: Verweigern von RestoreTableFromBackup für alle Backups für eine bestimmte Quelltabelle

Die folgende IAM-Richtlinie verweigert Berechtigungen für die Aktion RestoreTableToPointInTime für alle Backups für eine bestimmte Quelltabelle: 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "dynamodb:RestoreTableFromBackup"
            ],
            "Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/Music/backup/*"
        }
    ]
}