Política de IAM para conceder acceso de lectura únicamete a DynamoDB Streams (no para la tabla) - Amazon DynamoDB

Política de IAM para conceder acceso de lectura únicamete a DynamoDB Streams (no para la tabla)

Cuando se habilita DynamoDB Streams en una tabla, la información sobre cada modificación de los elementos de datos de esa tabla es capturada. Para obtener más información, consulte Cambie la captura de datos para DynamoDB Streams.

En algunos casos, es posible que desee impedir que una aplicación lea datos desde una tabla de DynamoDB, pero al mismo tiempo desee permitir que se pueda obtener acceso a la secuencia de esa tabla. Por ejemplo, puede configurar AWS Lambda para que sondee la trnasmisión e invoque una función Lambda cuando se detecten actualizaciones de elementos y, a continuación, realice un procesamiento adicional.

Existen las siguientes acciones disponibles para controlar el acceso a DynamoDB streams:

  • dynamodb:DescribeStream

  • dynamodb:GetRecords

  • dynamodb:GetShardIterator

  • dynamodb:ListStreams

En el ejemplo siguiente se crea una política que concede a los usuarios permisos para acceder a las secuencias de una tabla denominada GameScores. El carácter comodín (*) en el ARN permite obtener todos los identificadores de transmisión asociados a esa tabla.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessGameScoresStreamOnly", "Effect": "Allow", "Action": [ "dynamodb:DescribeStream", "dynamodb:GetRecords", "dynamodb:GetShardIterator", "dynamodb:ListStreams" ], "Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/GameScores/stream/*" } ] }

Observe que esta política permite acceder a las transmisión de la tabla GameScores, pero no a la tabla en sí.