Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour Amazon DynamoDB
Amazon DynamoDB (préfixe de service : dynamodb) fournit les ressources, actions et clés de contexte de condition spécifiques au service suivantes en vue de leur utilisation dans les politiques d'autorisation IAM.
Références :
-
Découvrez comment configurer ce service.
-
Affichez la liste des opérations d'API disponibles pour ce service.
-
Découvrez comment protéger ce service et ses ressources avec les stratégies d'autorisation IAM.
Rubriques
Actions définies par Amazon DynamoDB
Vous pouvez indiquer les actions suivantes dans l'élément Action d'une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'opération d'API ou à la commande CLI portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez indiquer un ARN de ce type dans une déclaration avec cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément dans une politique IAM, vous devez inclure un ARN ou un modèle pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
| Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
|---|---|---|---|---|---|
| BatchGetItem | Accorde l'autorisation de renvoyer les attributs d'un ou de plusieurs éléments depuis une ou plusieurs tables | Lecture | |||
| BatchWriteItem | Accorde l'autorisation de placer ou supprimer plusieurs articles dans une ou plusieurs tables | Écrire | |||
| ConditionCheckItem | Accorde l'autorisation à l' ConditionCheckItem opération, vérifie l'existence d'un ensemble d'attributs pour l'élément avec la clé primaire donnée | Lecture | |||
| CreateBackup | Accorde l'autorisation de créer une sauvegarde pour une table existante | Écrire | |||
| CreateGlobalTable | Accorde l'autorisation de créer une table globale à partir d'une table existante | Écrire | |||
| CreateTable | Autorise l' CreateTable opération : ajoute une nouvelle table à votre compte | Écrire | |||
| CreateTableReplica [autorisation uniquement] | Accorde l'autorisation d'ajouter une nouvelle table de réplique | Écrire | |||
| DeleteBackup | Accorde l'autorisation de supprimer une sauvegarde existante d'une table | Écrire | |||
| DeleteItem | Accorde l'autorisation de supprimer un seul élément d'une table par clé primaire | Écrire | |||
| DeleteResourcePolicy | Accorde l'autorisation de supprimer la politique basée sur les ressources attachée à la ressource | Gestion des autorisations | |||
| DeleteTable | Autorise l' DeleteTable opération qui supprime une table et tous ses éléments | Écrire | |||
| DeleteTableReplica [autorisation uniquement] | Accorde l'autorisation de supprimer une table de réplique et tous ses éléments | Écrire | |||
| DescribeBackup | Accorde l'autorisation de décrire une sauvegarde existante d'une table | Lecture | |||
| DescribeContinuousBackups | Accorde l'autorisation de vérifier l'état des paramètres de restauration de la sauvegarde sur la table spécifiée | Lecture | |||
| DescribeContributorInsights | Accorde l'autorisation de décrire l'état des informations de type Contributor Insights et les détails associés pour une table ou un index secondaire global donné | Lecture | |||
| DescribeEndpoints | Accorde l'autorisation de renvoyer les informations de point de terminaison régional | Lecture | |||
| DescribeExport | Accorde l'autorisation de décrire une exportation existante d'une table | Lecture | |||
| DescribeGlobalTable | Accorde l'autorisation de renvoyer des informations sur la table globale spécifiée | Lecture | |||
| DescribeGlobalTableSettings | Accorde l'autorisation de renvoyer des informations de paramètres sur la table globale spécifiée | Lecture | |||
| DescribeImport | Accorde l'autorisation de décrire une route existante | Lecture | |||
| DescribeKinesisStreamingDestination | Accorde l'autorisation de décrire l'état du streaming Kinesis et les détails associés pour une table donnée. | Lecture | |||
| DescribeLimits | Accorde l'autorisation de renvoyer les limites de capacité provisionnées actuelles pour votre région, Compte AWS à la fois pour la région dans son ensemble et pour toute table DynamoDB que vous y créez | Lecture | |||
| DescribeReservedCapacity [autorisation uniquement] | Accorde l'autorisation de décrire une ou plusieurs capacités réservées achetées | Lecture | |||
| DescribeReservedCapacityOfferings [autorisation uniquement] | Accorde l'autorisation de décrire les offres de capacité réservée disponibles à l'achat | Lecture | |||
| DescribeStream | Accorde l'autorisation de renvoyer des informations sur un flux, y compris l'état actuel du flux, son Amazon Resource Name (ARN), la composition de ses partitions et sa table DynamoDB correspondante | Lecture | |||
| DescribeTable | Accorde l'autorisation de renvoyer des informations sur la table | Lecture | |||
| DescribeTableReplicaAutoScaling | Accorde l'autorisation de décrire les paramètres de scalabilité automatique pour toutes les répliques de la table globale | Lecture | |||
| DescribeTimeToLive | Accorde l'autorisation de fournir une description de l'état time-to-live (TTL) sur la table spécifiée | Lecture | |||
| DisableKinesisStreamingDestination | Accorde l'autorisation d'arrêter la réplication de la table DynamoDB vers le flux de données Kinesis | Écrire | |||
| EnableKinesisStreamingDestination | Accorde l'autorisation de démarrer la réplication des données de table vers le flux de données Kinesis spécifié à l'aide d'un horodatage choisi pendant le flux d'activation | Écrire | |||
| ExportTableToPointInTime | Accorde l'autorisation de lancer une exportation d'une table DynamoDB vers S3 | Écrire | |||
| GetItem | Accorde l'autorisation à l' GetItem opération qui renvoie un ensemble d'attributs pour l'élément avec la clé primaire donnée | Lecture | |||
| GetRecords | Accorde l'autorisation de récupérer les enregistrements de flux d'une partition donnée | Lecture | |||
| GetResourcePolicy | Accorde l'autorisation de consulter une politique basée sur les ressources pour une ressource | Lecture | |||
| GetShardIterator | Accorde l'autorisation de renvoyer un itérateur de partition | Lecture | |||
| ImportTable | Accorde l'autorisation de lancer une exportation d'une table DynamoDB vers S3 | Écrire | |||
| ListBackups | Accorde l'autorisation de répertorier les sauvegardes associées au compte et au point de terminaison | Liste | |||
| ListContributorInsights | Accorde l'autorisation de répertorier ContributorInsightsSummary pour toutes les tables et les index secondaires globaux associés au compte courant et au point de terminaison | Liste | |||
| ListExports | Accorde l'autorisation de répertorier les exportations associées au compte et au point de terminaison | Liste | |||
| ListGlobalTables | Accorde l'autorisation de répertorier toutes les tables globales ayant une réplique dans la région spécifiée | Liste | |||
| ListImports | Accorde l'autorisation de répertorier les sauvegardes associées au compte et au point de terminaison | Liste | |||
| ListStreams | Accorde l'autorisation de renvoyer un tableau des ARN de flux associés au compte et au point de terminaison actuels | Lecture | |||
| ListTables | Accorde l'autorisation de renvoyer un tableau des noms de tables associés au compte et au point de terminaison actuels | Liste | |||
| ListTagsOfResource | Accorde l'autorisation de répertorier toutes les balises d'une ressource Amazon DynamoDB | Lecture | |||
| PartiQLDelete | Accorde l'autorisation de supprimer un seul élément d'une table par clé primaire. | Écriture | |||
| PartiQLInsert | Accorde l'autorisation de créer un nouvel élément si un élément avec la même clé primaire n'existe pas dans la table. | Écriture | |||
| PartiQLSelect | Accorde l'autorisation de lire un ensemble d'attributs pour les éléments d'une table ou d'un index. | Lecture | |||
| PartiQLUpdate | Accorde l'autorisation de modifier des attributs d'un élément existant. | Écrire | |||
| PurchaseReservedCapacityOfferings [autorisation uniquement] | Accorde l'autorisation d'acheter une capacité réservée à utiliser avec votre compte | Écrire | |||
| PutItem | Accorde l'autorisation de créer un élément ou de remplacer un ancien élément par un nouveau | Écrire | |||
| PutResourcePolicy | Accorde l'autorisation d'associer une politique basée sur les ressources à la ressource | Gestion des autorisations | |||
| Query | Accorde l'autorisation d'utiliser la clé primaire d'une table ou d'un index secondaire afin d'accéder directement aux éléments depuis cette table ou cet index | Lecture | |||
| RestoreTableFromAwsBackup [autorisation uniquement] | Autorise la création d'une nouvelle table à partir du point de restauration sur AWS Backup | Écrire | |||
| RestoreTableFromBackup | Accorde l'autorisation de créer une table à partir d'une sauvegarde existante | Écrire |
dynamodb:BatchWriteItem dynamodb:DeleteItem dynamodb:GetItem dynamodb:PutItem dynamodb:Query dynamodb:Scan dynamodb:UpdateItem |
||
| RestoreTableToPointInTime | Accorde l'autorisation de restaurer une table sur un point dans le temps | Écrire |
dynamodb:BatchWriteItem dynamodb:DeleteItem dynamodb:GetItem dynamodb:PutItem dynamodb:Query dynamodb:Scan dynamodb:UpdateItem |
||
| Scan | Accorde l'autorisation de renvoyer un ou plusieurs éléments et attributs d'élément en accédant à chaque élément dans une table ou un index secondaire | Lecture | |||
| StartAwsBackupJob [autorisation uniquement] | Autorise la création d'une sauvegarde sur AWS Backup avec les fonctionnalités avancées activées | Écrire | |||
| TagResource | Accorde l'autorisation d'associer un ensemble de balises à une ressource Amazon DynamoDB | Identification | |||
| UntagResource | Accorde l'autorisation de supprimer l'association de balises d'une ressource Amazon DynamoDB | Identification | |||
| UpdateContinuousBackups | Accorde l'autorisation d'activer ou de désactiver des sauvegardes continues | Écrire | |||
| UpdateContributorInsights | Accorde l'autorisation de mettre à jour le statut des informations de type Contributor Insights pour une table ou un index secondaire global spécifique | Écrire | |||
| UpdateGlobalTable | Accorde l'autorisation d'ajouter ou de supprimer des répliques dans la table globale spécifiée | Écrire | |||
| UpdateGlobalTableSettings | Accorde l'autorisation de mettre à jour les paramètres de la table globale spécifiée | Écrire | |||
| UpdateGlobalTableVersion [autorisation uniquement] | Accorde l'autorisation de mettre à jour la version de la table globale spécifiée | Écrire | |||
| UpdateItem | Accorde l'autorisation de modifier les attributs d'un élément existant, ou d'ajouter un nouvel élément à la table si celui-ci n'existe pas déjà | Écrire | |||
| UpdateKinesisStreamingDestination | Accorde l'autorisation de mettre à jour les configurations de réplication des données pour le flux de données Kinesis spécifié | Écrire | |||
| UpdateTable | Accorde l'autorisation de modifier les paramètres de débit alloué, les index secondaires globaux ou les paramètres DynamoDB Streams pour une table donnée | Écrire | |||
| UpdateTableReplicaAutoScaling | Accorde l'autorisation de mettre à jour les paramètres de scalabilité automatique de votre table de réplique | Écrire | |||
| UpdateTimeToLive | Accorde l'autorisation d'activer ou de désactiver le protocole TTL pour la table spécifiée | Écrire |
Types de ressources définis par Amazon DynamoDB
Ce service définit les types de ressources suivants, qui peuvent être utilisés dans l' Resource élément des déclarations de politique d'autorisation IAM. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
| Types de ressources | ARN | Clés de condition |
|---|---|---|
| index |
arn:${Partition}:dynamodb:${Region}:${Account}:table/${TableName}/index/${IndexName}
|
|
| stream |
arn:${Partition}:dynamodb:${Region}:${Account}:table/${TableName}/stream/${StreamLabel}
|
|
| table |
arn:${Partition}:dynamodb:${Region}:${Account}:table/${TableName}
|
|
| backup |
arn:${Partition}:dynamodb:${Region}:${Account}:table/${TableName}/backup/${BackupName}
|
|
| export |
arn:${Partition}:dynamodb:${Region}:${Account}:table/${TableName}/export/${ExportName}
|
|
| global-table |
arn:${Partition}:dynamodb::${Account}:global-table/${GlobalTableName}
|
|
| import |
arn:${Partition}:dynamodb:${Region}:${Account}:table/${TableName}/import/${ImportName}
|
Clés de condition pour Amazon DynamoDB
Amazon DynamoDB définit les clés de condition suivantes que vous pouvez utiliser dans l'élément Condition d'une stratégie IAM. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.
Note
Pour de plus amples informations sur l'utilisation des clés de contexte pour affiner l'accès à DynamoDB à l'aide d'une politique IAM, veuillez consulter Utilisation de conditions de politique IAM pour un contrôle précis des accès dans le Guide du développeur Amazon DynamoDB.
| Clés de condition | Description | Type |
|---|---|---|
| dynamodb:Attributes | Filtre l'accès en fonction des noms d'attribut (champ ou colonne) de la table | ArrayOfString |
| dynamodb:EnclosingOperation | Filtre l'accès en bloquant les appels API transactionnels et en autorisant les appels API non transactionnels, et vice-versa | Chaîne |
| dynamodb:FullTableScan | Filtre l'accès en bloquant l'analyse complète du tableau | Booléen |
| dynamodb:LeadingKeys | Filtre l'accès en fonction de la clé de partition du tableau | ArrayOfString |
| dynamodb:ReturnConsumedCapacity | Filtre l'accès en fonction du ReturnConsumedCapacity paramètre d'une demande. Contient « TOTAL » ou « NONE » | Chaîne |
| dynamodb:ReturnValues | Filtre l'accès en fonction du ReturnValues paramètre de demande. Contient l'un des éléments suivants : « ALL_OLD », « UPDATED_OLD »,« ALL_NEW », « UPDATED_NEW » ou « NONE » | Chaîne |
| dynamodb:Select | Filtre l'accès en fonction du paramètre Select d'une requête d'une demande d'analyse | Chaîne |
