Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aktionen, Ressourcen und Bedingungsschlüssel für Amazon DynamoDB
Amazon DynamoDB (Servicepräfix: dynamodb
) stellt die folgenden servicespezifischen Ressourcen, Aktionen und Bedingungskontextschlüssel für die Verwendung in IAM-Berechtigungsrichtlinien bereit.
Referenzen:
-
Erfahren Sie, wie Sie diesen Service konfigurieren.
-
Sehen Sie sich eine Liste der für diesen Service verfügbaren API Operationen an.
-
Erfahren Sie, wie Sie diesen Service und seine Ressourcen mithilfe von IAM-Berechtigungsrichtlinien schützen.
Themen
Von Amazon DynamoDB definierte Aktionen
Sie können die folgenden Aktionen im Element Action
einer IAM-Richtlinienanweisung angeben. Verwenden Sie Richtlinien, um Berechtigungen zum Ausführen einer Operation in AWS zu erteilen. Wenn Sie eine Aktion in einer Richtlinie verwenden, gewähren oder verweigern Sie normalerweise den Zugriff auf den API Vorgang oder CLI Befehl mit demselben Namen. Dabei kann es mitunter vorkommen, dass eine einzige Aktion den Zugriff auf mehr als eine Operation steuert. Alternativ erfordern einige Vorgänge mehrere verschiedene Aktionen.
Die Spalte Resource types (Ressourcentypen) der Aktionstabelle gibt an, ob die Aktion Berechtigungen auf Ressourcenebene unterstützt. Wenn es keinen Wert für diese Spalte gibt, müssen Sie alle Ressourcen ("*") im Element Resource
Ihrer Richtlinienanweisung angeben. Wenn die Spalte einen Ressourcentyp enthält, können Sie in ARN einer Anweisung mit dieser Aktion einen Ressourcentyp angeben. Wenn für die Aktion eine oder mehrere Ressourcen erforderlich sind, muss der Aufrufer die Erlaubnis haben, die Aktion mit diesen Ressourcen zu verwenden. Erforderliche Ressourcen sind in der Tabelle mit einem Sternchen (*) gekennzeichnet. Wenn Sie den Ressourcenzugriff mit dem Resource
Element in einer IAM Richtlinie einschränken, müssen Sie für jeden erforderlichen Ressourcentyp ein ARN Oder-Muster angeben. Einige Aktionen unterstützen mehrere Ressourcentypen. Wenn der Ressourcentyp optional ist (nicht als erforderlich angegeben), können Sie sich für einen der optionalen Ressourcentypen entscheiden.
Die Spalte Bedingungsschlüssel der Tabelle der Aktionen enthält Schlüssel, die Sie im Element Condition
einer Richtlinienanweisung angeben können. Weitere Informationen zu den Bedingungsschlüsseln, die den Ressourcen für den Service zugeordnet sind, finden Sie in der Spalte Bedingungsschlüssel der Tabelle der Ressourcentypen.
Anmerkung
Die Ressourcenbedingungsschlüssel sind in der Tabelle Ressourcentypen enthalten. Sie finden einen Link zu dem Ressourcentyp, der für eine Aktion gilt, in der Spalte Ressourcentypen (*erforderlich) der Tabelle „Aktionen“. Der Ressourcentyp in der Tabelle „Ressourcentypen“ enthält die Spalte Bedingungsschlüssel. Das sind die Ressourcenbedingungsschlüssel, die für eine Aktion in der Tabelle „Aktionen“ gelten.
Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Aktionen
Aktionen | Beschreibung | Zugriffsebene | Ressourcentypen (*erforderlich) | Bedingungsschlüssel | Abhängige Aktionen |
---|---|---|---|---|---|
BatchGetItem | Gewährt die Berechtigung, die Attribute einzelner oder mehrerer Elemente aus einzelnen oder mehreren Tabellen zurückzugeben | Lesen | |||
BatchWriteItem | Gewährt die Berechtigung zum Ablegen oder Löschen mehrerer Elemente aus einzelnen oder mehreren Tabellen | Schreiben | |||
ConditionCheckItem | Erteilt die Berechtigung für den ConditionCheckItem Vorgang und überprüft anhand des angegebenen Primärschlüssels, ob für das Element eine Reihe von Attributen vorhanden ist | Lesen | |||
CreateBackup | Gewährt die Berechtigung zum Erstellen eines Backups für eine vorhandene Tabelle | Schreiben | |||
CreateGlobalTable | Gewährt die Berechtigung zum Erstellen einer globalen Tabelle aus einer vorhandene Tabelle | Schreiben | |||
CreateTable | Erteilt die Berechtigung für den CreateTable Vorgang und fügt Ihrem Konto eine neue Tabelle hinzu | Schreiben | |||
CreateTableReplica [nur Berechtigung] | Gewährt die Berechtigung zum Hinzufügen einer neuen Replikattabelle | Schreiben | |||
DeleteBackup | Gewährt die Berechtigung zum Löschen eines vorhandenen Backups für eine Tabelle | Schreiben | |||
DeleteItem | Gewährt die Berechtigung zum Löschen eines einzelnen Elements in einer Tabelle nach Primärschlüssel | Schreiben | |||
DeleteResourcePolicy | Erteilt die Berechtigung zum Löschen der mit der Ressource verknüpften ressourcenbasierten Richtlinie | Berechtigungsverwaltung | |||
DeleteTable | Erteilt die Berechtigung für den DeleteTable Vorgang, bei dem eine Tabelle und alle zugehörigen Elemente gelöscht werden | Schreiben | |||
DeleteTableReplica [nur Berechtigung] | Gewährt die Berechtigung zum Löschen einer Replikattabelle und aller zugehörigen Elemente | Schreiben | |||
DescribeBackup | Gewährt die Berechtigung zum Beschreiben eines vorhandenen Backups für eine Tabelle | Lesen | |||
DescribeContinuousBackups | Gewährt die Berechtigung, den Status der Einstellungen für Sicherung und Wiederherstellung für die angegebene Tabelle zu überprüfen | Lesen | |||
DescribeContributorInsights | Gewährt die Berechtigung zum Beschreiben des Contributor-Insights-Status und die zugehörigen Details für eine bestimmte Tabelle oder einen globalen sekundären Index | Lesen | |||
DescribeEndpoints | Gewährt die Berechtigung zum Zurückgeben der regionalen Endpunktinformationen | Lesen | |||
DescribeExport | Gewährt die Berechtigung zum Beschreiben eines vorhandenen Exports für eine Tabelle | Lesen | |||
DescribeGlobalTable | Gewährt die Berechtigung zum Zurückgeben von Informationen zur angegebenen globalen Tabelle | Lesen | |||
DescribeGlobalTableSettings | Gewährt die Berechtigung zum Zurückgeben von Einstellungs-Informationen zur angegebenen globalen Tabelle | Lesen | |||
DescribeImport | Gewährt die Berechtigung zum Beschreiben eines bestehenden Imports. | Lesen | |||
DescribeKinesisStreamingDestination | Gewährt die Berechtigung, den Status des Kinesis-Streamings und verwandter Details für eine bestimmte Tabelle zu beschreiben | Lesen | |||
DescribeLimits | Erteilt die Berechtigung, die aktuellen Kapazitätsgrenzen für Sie AWS-Konto in einer Region zurückzugeben, sowohl für die Region als Ganzes als auch für jede einzelne DynamoDB-Tabelle, die Sie dort erstellen | Lesen | |||
DescribeReservedCapacity [nur Berechtigung] | Gewährt die Berechtigung zum Beschreiben einer oder mehrere der erworbenen reservierten Kapazität | Lesen | |||
DescribeReservedCapacityOfferings [nur Berechtigung] | Gewährt die Berechtigung zum Beschreiben der Angebote für reservierte Kapazität, die zum Kauf verfügbar sind | Lesen | |||
DescribeStream | Erteilt die Berechtigung, Informationen über einen Stream zurückzugeben, einschließlich des aktuellen Status des Streams, seines Amazon-Ressourcennamens (ARN), der Zusammensetzung seiner Shards und der entsprechenden DynamoDB-Tabelle | Lesen | |||
DescribeTable | Gewährt die Berechtigung zum Zurückgeben von Informationen zur Tabelle | Lesen | |||
DescribeTableReplicaAutoScaling | Gewährt die Berechtigung zum Beschreiben der Auto-Scaling-Einstellungen in allen Replikaten der globalen Tabelle | Lesen | |||
DescribeTimeToLive | Erteilt die Berechtigung, eine Beschreibung des Time to Live (TTL) -Status in der angegebenen Tabelle zu geben | Lesen | |||
DisableKinesisStreamingDestination | Gewährt die Berechtigung zum Beenden der Replikation von der DynamoDB-Tabelle auf den Kinesis-Datenstream | Schreiben | |||
EnableKinesisStreamingDestination | Gewährt die Berechtigung, die Tabellendatenreplikation auf den angegebenen Kinesis-Datenstream bei einem Zeitstempel zu starten, der während der Aktivierung des Workflows gewählt wurde | Schreiben | |||
ExportTableToPointInTime | Gewährt die Berechtigung zum Initiieren eines Exports einer DynamoDB-Tabelle nach S3 | Schreiben | |||
GetAbacStatus [nur Berechtigung] | Erteilt die Berechtigung, den Status der attributebasierten Zugriffskontrolle für das Konto einzusehen | Lesen | |||
GetItem | Erteilt die Berechtigung für den GetItem Vorgang, der eine Reihe von Attributen für das Element mit dem angegebenen Primärschlüssel zurückgibt | Lesen | |||
GetRecords | Gewährt die Berechtigung zum Abruffen der Stream-Datensätze aus einem gegebenen Shard | Lesen | |||
GetResourcePolicy | Erteilt die Berechtigung zum Anzeigen einer ressourcenbasierten Richtlinie für eine Ressource | Lesen | |||
GetShardIterator | Gewährt die Berechtigung zum Zurückgeben eines Shard-Iterators | Lesen | |||
ImportTable | Gewährt die Berechtigung zum Initiieren eines Imports von S3 zu einer DynamoDB-Tabelle. | Schreiben | |||
ListBackups | Gewährt die Berechtigung zum Auflisten von Backups, die dem Konto und dem Endpunkt zugeordnet sind | Auflisten | |||
ListContributorInsights | Erteilt die Berechtigung, die ContributorInsightsSummary für alle Tabellen und globalen Sekundärindizes aufzulisten, die dem aktuellen Konto und Endpunkt zugeordnet sind | Auflisten | |||
ListExports | Gewährt die Berechtigung zum Auflisten von Exporten, die dem Konto und dem Endpunkt zugeordnet sind | Auflisten | |||
ListGlobalTables | Gewährt die Berechtigung zum Auflisten aller globalen Tabellen, die in der angegebenen Region ein Replikat haben | Auflisten | |||
ListImports | Gewährt die Berechtigung zum Auflisten von Importen, die dem Konto und dem Endpunkt zugeordnet sind. | Auflisten | |||
ListStreams | Erteilt die Berechtigung, ein Array von Streams zurückzugeben, das dem aktuellen Konto und dem Endpunkt ARNs zugeordnet ist | Lesen | |||
ListTables | Gewährt die Berechtigung, ein Array der Tabellen-Namen zurückzugeben, die dem aktuellen Konto und Endpunkt zugeordnet sind | Auflisten | |||
ListTagsOfResource | Gewährt die Berechtigung zum Auflisten aller Tags auf einer Amazon-DynamoDB-Ressource | Lesen | |||
PartiQLDelete | Gewährt die Berechtigung zum Löschen eines einzelnen Elements in einer Tabelle nach Primärschlüssel | Write | |||
PartiQLInsert | Gewährt die Berechtigung zum Erstellen eines neuen Elements, sofern kein Element mit demselben Primärschlüssel in der Tabelle vorhanden ist | Write | |||
PartiQLSelect | Gewährt die Berechtigung zum Lesen einer Reihe von Attributen für Elemente aus einer Tabelle oder einem Index | Read | |||
PartiQLUpdate | Gewährt die Berechtigung zum Bearbeiten der Attribute eines vorhandenen Elements | Schreiben | |||
PurchaseReservedCapacityOfferings [nur Berechtigung] | Gewährt die Berechtigung zum Kauf von reservierter Kapazität zur Verwendung mit dem Konto | Schreiben | |||
PutItem | Gewährt die Berechtigung, ein neues Element zu erstellen oder ein altes durch ein neues Element zu ersetzen | Schreiben | |||
PutResourcePolicy | Erteilt die Berechtigung, der Ressource eine ressourcenbasierte Richtlinie zuzuordnen | Berechtigungsverwaltung | |||
Query | Gewährt die Berechtigung, den Primärschlüssel einer Tabelle oder einen sekundären Index für den direkten Zugriff auf Elemente in der Tabelle bzw. im Index zu verwenden | Lesen | |||
RestoreTableFromAwsBackup [nur Berechtigung] | Erteilt die Erlaubnis, eine neue Tabelle vom Wiederherstellungspunkt auf dem AWS Backup zu erstellen | Schreiben | |||
RestoreTableFromBackup | Gewährt die Berechtigung zum Erstellen einer neuen Tabelle aus einem vorhandenen Backup | Schreiben |
dynamodb:BatchWriteItem dynamodb:DeleteItem dynamodb:GetItem dynamodb:PutItem dynamodb:Query dynamodb:Scan dynamodb:UpdateItem |
||
RestoreTableToPointInTime | Gewährt die Berechtigung zum Wiederherstellen einer Tabelle zu einem beliebigen Zeitpunkt | Schreiben |
dynamodb:BatchWriteItem dynamodb:DeleteItem dynamodb:GetItem dynamodb:PutItem dynamodb:Query dynamodb:Scan dynamodb:UpdateItem |
||
Scan | Gewährt die Berechtigung, einzelne oder mehrere Elemente und Elementattribute zurückzugeben, indem auf jedes Element in einer Tabelle oder einen sekundären Index zugegriffen wird | Lesen | |||
StartAwsBackupJob [nur Berechtigung] | Erteilt die Erlaubnis, ein Backup auf AWS Backup mit aktivierten erweiterten Funktionen zu erstellen | Schreiben | |||
TagResource | Gewährt die Berechtigung zum Verknüpfen einer Gruppe von Tags mit einer Amazon-DynamoDB-Ressource | Tagging | |||
UntagResource | Gewährt die Berechtigung zum Entfernen der Zuordnungen von Tags zu einer Amazon-DynamoDB-Ressource | Tagging | |||
UpdateAbacStatus [nur Berechtigung] | Erteilt die Berechtigung, den Status der attributebasierten Zugriffskontrolle für das Konto zu aktualisieren | Berechtigungsverwaltung | |||
UpdateContinuousBackups | Gewährt die Berechtigung zum Aktivieren oder Deaktivieren von kontinuierlichen Backups | Schreiben | |||
UpdateContributorInsights | Gewährt die Berechtigung, den Status für Contributor Insights für eine bestimmte Tabelle oder einen globalen Sekundärindex zu aktualisieren | Schreiben | |||
UpdateGlobalTable | Gewährt die Berechtigung zum Hinzufügen oder Entfernen von Replikaten aus der angegebenen globalen Tabelle | Schreiben | |||
UpdateGlobalTableSettings | Gewährt die Berechtigung zum Aktualisieren der angegebenen globalen Tabelle | Schreiben | |||
UpdateGlobalTableVersion [nur Berechtigung] | Gewährt die Berechtigung zum Aktualisieren der angegebenen globalen Tabelle | Schreiben | |||
UpdateItem | Gewährt die Berechtigung zum Bearbeiten der Attribute eines vorhandenen Elements oder zum hinzufügen eines neuen Elements in die Tabelle, wenn es noch nicht existiert | Schreiben | |||
UpdateKinesisStreamingDestination | Erteilt die Berechtigung, Datenreplikationskonfigurationen für den angegebenen Kinesis-Datenstrom zu aktualisieren | Schreiben | |||
UpdateTable | Gewährt die Berechtigung, die bereitgestellten Durchsatzeinstellungen, globalen sekundären Indizes oder DynamoDB-Streams-Einstellungen für eine gegebene Tabelle zu ändern | Schreiben | |||
UpdateTableReplicaAutoScaling | Gewährt die Berechtigung zum Aktualisieren der Auto-Scaling-Einstellungen in der Replikattabelle | Schreiben | |||
UpdateTimeToLive | Erteilt die Berechtigung zum Aktivieren oder Deaktivieren TTL für die angegebene Tabelle | Schreiben |
Von Amazon DynamoDB definierte Ressourcentypen
Die folgenden Ressourcentypen werden von diesem Service definiert und können im Element Resource
von IAM-Berechtigungsrichtlinienanweisungen verwendet werden. Jede Aktion in der Tabelle Aktionen identifiziert die Ressourcentypen, die mit der Aktion angegeben werden können. Ein Ressourcentyp kann auch definieren, welche Bedingungsschlüssel Sie in einer Richtlinie einschließen können. Diese Schlüssel werden in der letzten Spalte der Tabelle der Ressourcentypen angezeigt. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Resource types.
Ressourcentypen | ARN | Bedingungsschlüssel |
---|---|---|
index |
arn:${Partition}:dynamodb:${Region}:${Account}:table/${TableName}/index/${IndexName}
|
|
stream |
arn:${Partition}:dynamodb:${Region}:${Account}:table/${TableName}/stream/${StreamLabel}
|
|
table |
arn:${Partition}:dynamodb:${Region}:${Account}:table/${TableName}
|
|
backup |
arn:${Partition}:dynamodb:${Region}:${Account}:table/${TableName}/backup/${BackupName}
|
|
export |
arn:${Partition}:dynamodb:${Region}:${Account}:table/${TableName}/export/${ExportName}
|
|
global-table |
arn:${Partition}:dynamodb::${Account}:global-table/${GlobalTableName}
|
|
import |
arn:${Partition}:dynamodb:${Region}:${Account}:table/${TableName}/import/${ImportName}
|
Bedingungsschlüssel für Amazon DynamoDB
Amazon DynamoDB definiert die folgenden Bedingungsschlüssel, die im Condition
-Element einer IAM-Richtlinie verwendet werden können. Diese Schlüssel können Sie verwenden, um die Bedingungen zu verfeinern, unter denen die Richtlinienanweisung angewendet wird. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Condition keys (Bedingungsschlüssel).
Eine Liste der globalen Bedingungsschlüssel, die für alle Services verfügbar sind, finden Sie unter Verfügbare globale Bedingungsschlüssel.
Anmerkung
Informationen zur Verwendung von Kontextschlüsseln zur Verfeinerung des DynamoDB-Zugriffs mithilfe einer IAM Richtlinie finden Sie unter Using Policy Conditions for Fine-Grained Access Control im Amazon DynamoDB Developer Guide. IAM
Bedingungsschlüssel | Beschreibung | Typ |
---|---|---|
aws:RequestTag/${TagKey} | Filtert den Zugriff durch die Tags, die in der Anfrage übergeben werden | Zeichenfolge |
aws:ResourceTag/${TagKey} | Filtert den Zugriff basierend auf den Tags, die der Ressource zugeordnet sind. | Zeichenfolge |
aws:TagKeys | Filtert den Zugriff basierend auf den Tag-Schlüssel, die in der Anfrage übergeben werden | ArrayOfString |
dynamodb:Attributes | Filtert den Zugriff basiert auf Attributnamen (Feld- oder Spaltennamen) der Tabelle | ArrayOfString |
dynamodb:EnclosingOperation | Filtert den Zugriff, indem Transaktions-Aufrufe blockiert und APIs Aufrufe, die keine Transaktionen sind, zugelassen werden und umgekehrt APIs | String |
dynamodb:FullTableScan | Filtert den Zugriff durch Blockieren des vollständigen Tabellenscans | Bool |
dynamodb:LeadingKeys | Filtert den Zugriff durch den Partitionsschlüssel der Tabelle | ArrayOfString |
dynamodb:ReturnConsumedCapacity | Filtert den Zugriff nach dem ReturnConsumedCapacity Parameter einer Anfrage. Enthält entweder "TOTAL" oder "NONE“ | String |
dynamodb:ReturnValues | Filtert den Zugriff anhand des ReturnValues Anforderungsparameters. Enthält eine der folgenden Optionen: "ALL_ OLD „," UPDATED _ OLD „,“ ALL _ NEW „,“ UPDATED _ NEW „oder"NONE“ | String |
dynamodb:Select | Filtert den Zugriff durch den Select-Parameter einer Abfrage- oder Scan-Anforderung | String |