Utilisation des politiques basées sur une identité avec Amazon DynamoDB - Amazon DynamoDB
Autorisations de la consoleAWS politiques IAM gérées (prédéfinies) pour Amazon DynamoDBExemples de politiques gérées par le client

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation des politiques basées sur une identité avec Amazon DynamoDB

Cette rubrique traite de l'utilisation des politiques basées sur l'identité AWS Identity and Access Management (IAM) avec Amazon DynamoDB et fournit des exemples. Les exemples montrent comment un administrateur de comptes peut attacher des politiques d'autorisations à des identités IAM (utilisateurs, groupes et rôles), et ainsi accorder des autorisations d'effectuer des opérations sur des ressources Amazon DynamoDB.

Les sections de cette rubrique couvrent les sujets suivants :

Un exemple de politique d'autorisation est exposé ci-dessous.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DescribeQueryScanBooksTable",
            "Effect": "Allow",
            "Action": [
                "dynamodb:DescribeTable",
                "dynamodb:Query",
                "dynamodb:Scan"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:account-id:table/Books"
        }
    ]
}

La politique précédente comporte une déclaration qui accorde des autorisations pour trois actions DynamoDB dynamodb:DescribeTable (dynamodb:Query,, dynamodb:Scan et) sur une table de us-west-2 AWS la région, qui appartient au compte spécifié par AWS . account-id L'Amazon Resource Name (ARN) dans la valeur Resource spécifie la table à laquelle les autorisations s'appliquent.

Autorisations IAM requises pour utiliser la console Amazon DynamoDB

Pour utiliser la console DynamoDB, un utilisateur doit disposer d'un ensemble minimal d'autorisations lui permettant d'utiliser les ressources DynamoDB de son AWS compte. Outre ces autorisations DynamoDB, la console nécessite d'autres autorisations :

  • CloudWatch Autorisations Amazon pour afficher les statistiques et les graphiques.

  • AWS Data Pipeline autorisations d'exportation et d'importation de données DynamoDB.

  • AWS Identity and Access Management autorisations d'accès aux rôles nécessaires pour les exportations et les importations.

  • Amazon Simple Notification Service est autorisé à vous avertir chaque fois qu'une CloudWatch alarme est déclenchée.

  • AWS Lambda autorisations pour traiter les enregistrements DynamoDB Streams.

Si vous créez une politique IAM plus restrictive que les autorisations minimales requises, la console ne fonctionnera pas comme prévu pour les utilisateurs dotés de cette politique IAM. Pour garantir que ces utilisateurs peuvent toujours utiliser la console DynamoDB, associez également la politique gérée à AmazonDynamoDBReadOnlyAccess AWS l'utilisateur, comme décrit dans. AWS politiques IAM gérées (prédéfinies) pour Amazon DynamoDB

Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API AWS CLI ou l'API Amazon DynamoDB.

Note

Si vous faites référence à un point de terminaison VPC, vous devez également autoriser l'appel d' DescribeEndpoints API pour le ou les principaux IAM demandeurs avec l'action IAM (dynamodb :). DescribeEndpoints Pour plus d’informations, consultez Politique requise pour les points de terminaison.

AWS politiques IAM gérées (prédéfinies) pour Amazon DynamoDB

AWS répond à certains cas d'utilisation courants en fournissant des politiques IAM autonomes créées et administrées par. AWS Ces politiques AWS gérées accordent les autorisations nécessaires pour les cas d'utilisation courants afin que vous puissiez éviter d'avoir à rechercher les autorisations nécessaires. Pour plus d’informations, consultez Politiques gérées par AWS dans le Guide de l’utilisateur IAM.

Les politiques AWS gérées suivantes, que vous pouvez associer aux utilisateurs de votre compte, sont spécifiques à DynamoDB et sont regroupées par scénario d'utilisation :

  • AmazonDynamoReadOnlyAccès à la base de données : accorde un accès en lecture seule aux ressources DynamoDB via le. AWS Management Console

  • AmazonDynamoDB FullAccess — Accorde un accès complet aux ressources DynamoDB via le. AWS Management Console

Vous pouvez consulter ces politiques d'autorisations AWS gérées en vous connectant à la console IAM et en y recherchant des politiques spécifiques.

Important

La bonne pratique consiste à créer des politiques IAM personnalisées qui accordent le moindre privilège aux utilisateurs, rôles ou groupes IAM qui en ont besoin.

Exemples de politiques gérées par le client

Cette section contient des exemples de politiques qui accordent des autorisations pour diverses actions DynamoDB. Ces politiques fonctionnent lorsque vous utilisez des AWS SDK ou le AWS CLI. Lorsque vous utilisez la console, vous devez accorder des autorisations supplémentaires spécifiques de la console. Pour plus d’informations, consultez Autorisations IAM requises pour utiliser la console Amazon DynamoDB.

Note

Tous les exemples de politique suivants utilisent l'une des AWS régions et contiennent des identifiants de compte et des noms de table fictifs.

Exemples :

Le Guide de l'utilisateur IAM inclut trois exemples DynamoDB supplémentaires :