Uso de políticas basadas en identidades (políticas de IAM) con Amazon DynamoDB - Amazon DynamoDB

Uso de políticas basadas en identidades (políticas de IAM) con Amazon DynamoDB

Este tema cubre el uso de políticas basadas en identidades AWS Identity and Access Management (IAM) con y Amazon DynamoDB y proporciona ejemplos. Los siguientes ejemplos muestran cómo un administrador de la cuenta puede asociar políticas de permisos a identidades de IAM (es decir, usuarios, grupos y roles) y, por lo tanto, conceder permisos para realizar operaciones en recursos de Amazon DynamoDB.

importante

Le recomendamos que consulte primero los temas de introducción en los que se explican los conceptos básicos y las opciones disponibles para administrar el acceso a sus recursos de DynamoDB. Para obtener más información, consulte Información general sobre la administración de los permisos de acceso a los recursos de Amazon DynamoDB.

En las secciones de este tema se explica lo siguiente:

A continuación se muestra un ejemplo de una política de permisos.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DescribeQueryScanBooksTable", "Effect": "Allow", "Action": [ "dynamodb:DescribeTable", "dynamodb:Query", "dynamodb:Scan" ], "Resource": "arn:aws:dynamodb:us-west-2:account-id:table/Books" } ] }

La política anterior contiene una instrucción que concede permisos para tres acciones de DynamoDB (dynamodb:DescribeTable, dynamodb:Query y dynamodb:Scan) en una tabla de la región us-west-2AWS, propiedad de la cuenta de AWS especificada por account-id. El nombre de recurso de Amazon (ARN) del valor de Resource especifica la tabla a la que se aplican los permisos a .

Permisos de IAM necesarios para utilizar la consola de Amazon DynamoDB

Para trabajar con la consola de DynamoDB, los usuarios deben tener un conjunto mínimo de permisos que les permitan trabajar con los recursos de DynamoDB en su cuenta de AWS. Además de estos permisos de DynamoDB, la consola requiere permisos:

  • Permisos de Amazon CloudWatch para mostrar las métricas y los gráficos.

  • Permisos de AWS Data Pipeline para exportar e importar datos de DynamoDB.

  • AWS Identity and Access ManagementPermisos de para obtener acceso a los roles necesarios para importar y exportar.

  • Permisos de Amazon Simple Notification Service para recibir notificaciones cada vez que se active una alarma de CloudWatch.

  • Permisos de AWS Lambda para procesar registros de DynamoDB Streams.

Si crea una política de IAM que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para los usuarios con esa política de IAM. Para asegurarse de que esos usuarios puedan seguir usando la consola de DynamoDB, asocie también la política administrada AmazonDynamoDBReadOnlyAccess AWS al usuario, según se explica en Políticas de IAM administradas (predefinidas) de AWS para Amazon DynamoDB.

No es necesario que conceda permisos mínimos para la consola a los usuarios que solo realizan llamadas a la AWS CLI o a la API de Amazon DynamoDB.

Políticas de IAM administradas (predefinidas) de AWS para Amazon DynamoDB

AWS aborda muchos casos de uso comunes proporcionando políticas de IAM independientes creadas y administradas por AWS. Estas políticas administradas por AWS conceden los permisos necesarios para casos de uso comunes, lo que le evita tener que investigar los permisos que se necesitan. Para más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.

Las siguientes políticas administradas de AWS, que puede asociar a los usuarios de su cuenta, son específicas de DynamoDB y se agrupan según los escenarios de caso de uso:

  • AmazonDynamoDBReadOnlyAccess: concede acceso de solo lectura a los recursos de DynamoDB mediante de la AWS Management Console.

  • AmazonDynamoDBFullAccess: concede acceso pleno a DynamoDB los recursos de mediante de la AWS Management Console.

Para consultar estas políticas de permisos administradas por AWS, inicie sesión en la consola de IAM y busque las políticas específicas.

importante

La práctica recomendada es crear políticas de IAM personalizadas que otorguenleast privilege para los usuarios, roles o grupos de IAM que los requieran.

Ejemplos de políticas administradas por el cliente

En esta sección, encontrará ejemplos de políticas de usuario que conceden permisos para diversas acciones de DynamoDB. Estas políticas funcionan cuando se utilizan los SDK o la AWS de AWS CLI. Cuando utiliza la consola, debe conceder permisos adicionales específicos a la consola. Para obtener más información, consulte Permisos de IAM necesarios para utilizar la consola de Amazon DynamoDB.

nota

En los siguientes ejemplos de políticas se utiliza uno de las RRegiones de AWS y tienen ID de cuenta y nombres de tablas ficticios.

Ejemplos:

La Guía del usuario de IAM , incluye tres ejemplos adicionales de DynamoDB: