Menggunakan kebijakan berbasis identitas dengan Amazon DynamoDB

Topik ini mencakup penggunaan kebijakan berbasis identitas AWS Identity and Access Management (IAM) dengan Amazon DynamoDB dan memberikan contoh. Contoh ini menunjukkan bagaimana administrator akun dapat melampirkan kebijakan izin ke identitas IAM (pengguna, grup, dan peran) dan dengan demikian memberikan izin untuk melakukan operasi pada sumber daya Amazon DynamoDB.

Bagian dalam topik ini mencakup hal berikut:

• Izin IAM diperlukan untuk menggunakan konsol Amazon DynamoDB

• AWS kebijakan IAM terkelola (telah ditentukan) untuk Amazon DynamoDB

• Contoh kebijakan yang dikelola pelanggan

Berikut adalah contoh kebijakan izin.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DescribeQueryScanBooksTable",
            "Effect": "Allow",
            "Action": [
                "dynamodb:DescribeTable",
                "dynamodb:Query",
                "dynamodb:Scan"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:account-id:table/Books"
        }
    ]
}

Kebijakan sebelumnya memiliki satu pernyataan yang memberikan izin untuk tiga tindakan DynamoDB (dynamodb:DescribeTable,, dandynamodb:Scan) pada tabel di us-west-2 AWS Wilayahdynamodb:Query, yang dimiliki oleh akun yang ditentukan oleh. AWS account-id Amazon Resource Name (ARN) dalam nilai Resourcemenentukan tabel tempat izin berlaku.

Izin IAM diperlukan untuk menggunakan konsol Amazon DynamoDB

Untuk bekerja dengan konsol DynamoDB, pengguna harus memiliki set izin minimum yang memungkinkan pengguna untuk bekerja dengan sumber daya DynamoDB AWS akun mereka. Selain izin DynamoDB ini, konsol memerlukan izin:

• CloudWatch Izin Amazon untuk menampilkan metrik dan grafik.

• AWS Data Pipeline izin untuk mengekspor dan mengimpor data DynamoDB.

• AWS Identity and Access Management izin untuk mengakses peran yang diperlukan untuk ekspor dan impor.

• Izin Layanan Pemberitahuan Sederhana Amazon untuk memberi tahu Anda setiap kali CloudWatch alarm dipicu.

• AWS Lambda izin untuk memproses catatan DynamoDB Streams.

Jika Anda membuat kebijakan IAM yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana mestinya bagi pengguna dengan kebijakan IAM tersebut. Untuk memastikan bahwa pengguna tersebut masih dapat menggunakan konsol DynamoDB, lampirkan juga kebijakan terkelola AmazonDynamoDBReadOnlyAccess AWS ke pengguna, seperti yang dijelaskan dalam. AWS kebijakan IAM terkelola (telah ditentukan) untuk Amazon DynamoDB

Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau Amazon DynamoDB API.

catatan

Jika Anda merujuk ke titik akhir VPC, Anda juga perlu mengotorisasi panggilan DescribeEndpoints API untuk prinsipal IAM yang meminta dengan tindakan IAM (dynamodb:). DescribeEndpoints Untuk mengetahui informasi selengkapnya, lihat Kebijakan yang diperlukan untuk titik akhir.

AWS kebijakan IAM terkelola (telah ditentukan) untuk Amazon DynamoDB

AWS mengatasi beberapa kasus penggunaan umum dengan menyediakan kebijakan IAM mandiri yang dibuat dan dikelola oleh. AWS Kebijakan AWS terkelola ini memberikan izin yang diperlukan untuk kasus penggunaan umum sehingga Anda dapat menghindari keharusan menyelidiki izin mana yang diperlukan. Untuk informasi selengkapnya, lihat Kebijakan Terkelola AWS dalam Panduan Pengguna IAM.

Kebijakan AWS terkelola berikut, yang dapat Anda lampirkan ke pengguna di akun Anda, khusus untuk DynamoDB dan dikelompokkan berdasarkan skenario kasus penggunaan:

• AmazonDynamoDB ReadOnlyAccess - Memberikan akses hanya-baca ke sumber daya DynamoDB melalui file. AWS Management Console

• AmazonDynamoDB FullAccess - Memberikan akses penuh ke sumber daya DynamoDB melalui file. AWS Management Console

Anda dapat meninjau kebijakan izin AWS terkelola ini dengan masuk ke konsol IAM dan mencari kebijakan tertentu di sana.

penting

Praktik terbaiknya adalah membuat kebijakan IAM khusus yang memberikan hak akses paling rendah kepada pengguna, peran, atau grup yang memerlukannya.

Contoh kebijakan yang dikelola pelanggan

Di bagian ini, Anda dapat menemukan contoh kebijakan yang memberikan izin untuk berbagai tindakan DynamoDB. Kebijakan ini berfungsi saat Anda menggunakan AWS SDK atau. AWS CLI Saat menggunakan konsol, Anda perlu memberikan izin tambahan yang khusus untuk konsol tersebut. Untuk informasi selengkapnya, lihat Izin IAM diperlukan untuk menggunakan konsol Amazon DynamoDB.

catatan

Semua contoh kebijakan berikut menggunakan salah satu AWS Wilayah dan berisi ID akun fiktif dan nama tabel.

Contoh:

• Kebijakan IAM untuk memberikan izin untuk semua tindakan DynamoDB pada tabel

• Kebijakan IAM untuk memberikan izin hanya-baca pada item di tabel DynamoDB

• Kebijakan IAM untuk memberikan akses ke tabel DynamoDB tertentu dan indeksnya

• Kebijakan IAM untuk membaca, menulis, memperbarui, dan menghapus akses pada tabel DynamoDB

• Kebijakan IAM untuk memisahkan lingkungan DynamoDB di akun yang sama AWS

• Kebijakan IAM untuk mencegah pembelian kapasitas terpesan DynamoDB

• Kebijakan IAM untuk memberikan akses baca hanya untuk DynamoDB stream (bukan untuk tabel)

• Kebijakan IAM untuk mengizinkan AWS Lambda fungsi mengakses catatan aliran DynamoDB

• Kebijakan IAM untuk akses baca dan tulis ke klaster DynamoDB Accelerator (DAX)

Panduan Pengguna IAM, mencakup tiga contoh DynamoDB tambahan:

• Amazon DynamoDB: Mengizinkan Akses ke Tabel Tertentu

• Amazon DynamoDB: Mengizinkan Akses ke Kolom Tertentu

• Amazon DynamoDB: Mengizinkan Akses Tingkat Baris ke DynamoDB Berdasarkan ID Amazon Cognito