Verwenden von IAM Richtlinien für Amazon Kinesis Data Streams und Amazon DynamoDB

Wenn Sie Amazon Kinesis Data Streams für Amazon DynamoDB zum ersten Mal aktivieren, erstellt DynamoDB automatisch eine AWS Identity and Access Management (IAM) service-verknüpfte Rolle für Sie. Diese Rolle AWSServiceRoleForDynamoDBKinesisDataStreamsReplication ermöglicht DynamoDB, die Replikation von Änderungen auf Elementebene in Kinesis Data Streams in Ihrem Auftrag zu verwalten. Löschen Sie diese serviceverknüpfte Rolle nicht.

Weitere Informationen zu serviceverknüpften Rollen finden Sie unter Verwenden von serviceverknüpften Rollen im Benutzerhandbuch. IAM

Anmerkung

DynamoDB unterstützt keine tagbasierten Bedingungen für Richtlinien. IAM

Damit Sie Amazon Kinesis Data Streams für Amazon DynamoDB aktivieren können, benötigen Sie die folgenden Berechtigungen für die Tabelle:

• dynamodb:EnableKinesisStreamingDestination

• kinesis:ListStreams

• kinesis:PutRecords

• kinesis:DescribeStream

Wenn Sie Amazon Kinesis Data Streams für Amazon DynamoDB für eine bestimmte DynamoDB-Tabelle beschreiben möchten, benötigen Sie die folgenden Berechtigungen für die Tabelle.

• dynamodb:DescribeKinesisStreamingDestination

• kinesis:DescribeStreamSummary

• kinesis:DescribeStream

Damit Sie Amazon Kinesis Data Streams für Amazon DynamoDB deaktivieren können, benötigen Sie die folgenden Berechtigungen für die Tabelle.

• dynamodb:DisableKinesisStreamingDestination

Um Amazon Kinesis Data Streams für Amazon DynamoDB zu aktualisieren, benötigen Sie die folgenden Berechtigungen für die Tabelle.

• dynamodb:UpdateKinesisStreamingDestination

Die folgenden Beispiele zeigen, wie IAM Richtlinien verwendet werden, um Berechtigungen für Amazon Kinesis Data Streams for Amazon DynamoDB zu gewähren.

Beispiel: Aktivieren von Amazon Kinesis Data Streams für Amazon DynamoDB

Die folgende IAM Richtlinie gewährt Berechtigungen zur Aktivierung von Amazon Kinesis Data Streams für Amazon DynamoDB für die Tabelle. Music Es gewährt keine Berechtigungen zum Deaktivieren, Aktualisieren oder Beschreiben von Kinesis Data Streams for DynamoDB für die Tabelle. Music

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/kinesisreplication.dynamodb.amazonaws.com/AWSServiceRoleForDynamoDBKinesisDataStreamsReplication",
            "Condition": {"StringLike": {"iam:AWSServiceName": "kinesisreplication.dynamodb.amazonaws.com"}}
        },
        {
            "Effect": "Allow",
            "Action": [

                "dynamodb:EnableKinesisStreamingDestination"

            ],
            "Resource": "arn:aws:dynamodb:us-west-2:12345678901:table/Music"
        }
    ]
}

Beispiel: Amazon Kinesis Data Streams für Amazon DynamoDB aktualisieren

Die folgende IAM Richtlinie gewährt Berechtigungen zur Aktualisierung von Amazon Kinesis Data Streams for Amazon DynamoDB für die Tabelle. Music Es gewährt keine Berechtigungen zur Aktivierung, Deaktivierung oder Beschreibung von Amazon Kinesis Data Streams for Amazon DynamoDB für die Tabelle. Music

{
"Version": "2012-10-17",
    "Statement": [
        {
"Effect": "Allow",
            "Action": [                
                "dynamodb:UpdateKinesisStreamingDestination"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:12345678901:table/Music"
        }
    ]
}

Beispiel: Deaktivieren von Amazon Kinesis Data Streams für Amazon DynamoDB

Die folgende IAM Richtlinie gewährt Berechtigungen zur Deaktivierung von Amazon Kinesis Data Streams for Amazon DynamoDB für die Tabelle. Music Es gewährt keine Berechtigungen zur Aktivierung, Aktualisierung oder Beschreibung von Amazon Kinesis Data Streams for Amazon DynamoDB für die Tabelle. Music

{
"Version": "2012-10-17",
    "Statement": [
        {
"Effect": "Allow",
            "Action": [                
                "dynamodb:DisableKinesisStreamingDestination"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:12345678901:table/Music"
        }
    ]
}

Beispiel: Selektives Anwenden von Berechtigungen für Amazon Kinesis Data Streams für Amazon DynamoDB basierend auf Ressource

Die folgende IAM Richtlinie gewährt Berechtigungen zur Aktivierung und Beschreibung von Amazon Kinesis Data Streams for Amazon DynamoDB für die Music Tabelle und verweigert Berechtigungen zur Deaktivierung von Amazon Kinesis Data Streams for Amazon DynamoDB für die Tabelle. Orders

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:EnableKinesisStreamingDestination",
                "dynamodb:DescribeKinesisStreamingDestination"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:12345678901:table/Music"
        },
        {
            "Effect": "Deny",
            "Action": [
                "dynamodb:DisableKinesisStreamingDestination"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:12345678901:table/Orders"
        }
        
    ]
}

Verwenden von serviceverknüpften Rollen für Kinesis Data Streams für DynamoDB

Amazon Kinesis Data Streams für Amazon DynamoDB verwendet AWS Identity and Access Management (IAM) serviceverknüpfte Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger IAM Rollentyp, der direkt mit Kinesis Data Streams for DynamoDB verknüpft ist. Dienstbezogene Rollen sind von Kinesis Data Streams for DynamoDB vordefiniert und beinhalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.

Eine serviceverknüpfte Rolle vereinfacht das Einrichten von Kinesis Data Streams für DynamoDB, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Kinesis Data Streams für DynamoDB definiert die Berechtigungen seiner serviceverknüpften Rollen. Sofern keine andere Einstellung festgelegt wurde, können nur Kinesis Data Streams für DynamoDB die Rollen übernehmen. Zu den definierten Berechtigungen gehören die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und diese Berechtigungsrichtlinie kann keiner anderen Entität zugeordnet werden. IAM

Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter AWS Dienste, die mit Diensten funktionieren, IAM und suchen Sie in der Spalte Dienstverknüpfte Rolle nach den Diensten, für die Ja steht. Wählen Sie über einen Link Yes (Ja) aus, um die Dokumentation zu einer servicegebundenen Rolle für diesen Service anzuzeigen.

Berechtigungen von serviceverknüpften Rollen für Kinesis Data Streams für DynamoDB

Kinesis Data Streams for DynamoDB verwendet die mit dem Service verknüpfte Rolle namens. AWSServiceRoleForDynamoDBKinesisDataStreamsReplication Die serviceverknüpfte Rolle ermöglicht es Amazon DynamoDB, in Ihrem Namen die Replikation von Änderungen auf Elementebene in Kinesis Data Streams zu verwalten.

Die serviceverknüpfte Rolle AWSServiceRoleForDynamoDBKinesisDataStreamsReplication vertraut darauf, dass die folgenden Services die Rolle annehmen:

• kinesisreplication.dynamodb.amazonaws.com

Die Richtlinie für Rollenberechtigungen erlaubt Kinesis Data Streams für DynamoDB die folgenden Aktionen auf den angegebenen Ressourcen durchzuführen:

• Aktion: Put records and describe für Kinesis stream

• Aktion: Generate data keys aktiviert, um Daten AWS KMS in Kinesis-Streams zu speichern, die mit benutzergenerierten AWS KMS Schlüsseln verschlüsselt sind.

Den genauen Inhalt des Richtliniendokuments finden Sie unter D. ynamoDBKinesis ReplicationServiceRolePolicy

Sie müssen Berechtigungen konfigurieren, damit eine IAM Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine dienstbezogene Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter Berechtigungen für dienstverknüpfte Rollen im IAMBenutzerhandbuch.

Erstellen einer serviceverknüpften Rolle für Kinesis Data Streams für DynamoDB

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie Kinesis Data Streams for DynamoDB im, dem oder dem aktivieren AWS Management Console, erstellt Kinesis Data Streams for DynamoDB die AWS API serviceverknüpfte Rolle für Sie. AWS CLI

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie Kinesis Data Streams für DynamoDB aktivieren, erstellt Kinesis Data Streams für DynamoDB die serviceverknüpfte Rolle erneut für Sie.

Bearbeiten einer serviceverknüpften Rolle für Kinesis Data Streams für DynamoDB

Kinesis Data Streams für DynamoDB ermöglicht es Ihnen nicht, die mit der AWSServiceRoleForDynamoDBKinesisDataStreamsReplication serviceverknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können die Beschreibung der Rolle jedoch mithilfe von bearbeiten. IAM Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAMBenutzerhandbuch.

Löschen einer serviceverknüpften Rolle für Kinesis Data Streams für DynamoDB

Sie können auch die IAM Konsole, die AWS CLI oder die verwenden, AWS API um die dienstverknüpfte Rolle manuell zu löschen. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zuerst manuell bereinigen, bevor Sie diese manuell löschen können.

Anmerkung

Wenn der Kinesis Data Streams für DynamoDB-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

Um die dienstverknüpfte Rolle manuell zu löschen, verwenden Sie IAM

Verwenden Sie die IAM Konsole, den oder AWS CLI, AWS API um die AWSServiceRoleForDynamoDBKinesisDataStreamsReplication dienstverknüpfte Rolle zu löschen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen einer dienstbezogenen Rolle.