Utilizzo di policy basate su identità con Amazon DynamoDB

Questo argomento tratta l'uso di politiche basate sull'identità AWS Identity and Access Management (IAM) con Amazon DynamoDB e fornisce esempi. Gli esempi illustrano come un amministratore account può collegare policy di autorizzazioni a identità IAM (ovvero utenti, gruppi e ruoli) e quindi concedere autorizzazioni per eseguire operazioni sulle risorse di Amazon DynamoDB.

In questa sezione vengono trattati gli argomenti seguenti:

• Autorizzazioni IAM necessarie per utilizzare la console Amazon DynamoDB

• AWS politiche IAM gestite (predefinite) per Amazon DynamoDB

• Esempi di policy gestite dal cliente

Di seguito è riportato un esempio di policy delle autorizzazioni.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DescribeQueryScanBooksTable",
            "Effect": "Allow",
            "Action": [
                "dynamodb:DescribeTable",
                "dynamodb:Query",
                "dynamodb:Scan"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:account-id:table/Books"
        }
    ]
}

La politica precedente contiene un'istruzione che concede le autorizzazioni per tre azioni DynamoDB (dynamodb:DescribeTabledynamodb:Query, edynamodb:Scan) su una tabella nella us-west-2 AWS regione, di proprietà dell'account specificato da. AWS account-id Il nome della risorsa Amazon (ARN) nel valore Resource specifica la tabella a cui si applicano le autorizzazioni.

Autorizzazioni IAM necessarie per utilizzare la console Amazon DynamoDB

Per lavorare con la console DynamoDB, un utente deve disporre di un set minimo di autorizzazioni che gli consentano di utilizzare le risorse DynamoDB del proprio AWS account. Oltre a queste autorizzazioni DynamoDB, la console richiede le autorizzazioni dei seguenti servizi:

• CloudWatch Autorizzazioni Amazon per visualizzare metriche e grafici.

• AWS Data Pipeline autorizzazioni per esportare e importare dati DynamoDB.

• AWS Identity and Access Management autorizzazioni per accedere ai ruoli necessari per le esportazioni e le importazioni.

• Autorizzazioni di Amazon Simple Notification Service per avvisarti ogni volta che viene attivato un CloudWatch allarme.

• AWS Lambda autorizzazioni per elaborare i record DynamoDB Streams.

Se decidi di creare una policy IAM più restrittiva delle autorizzazioni minime richieste, la console non funzionerà come previsto per gli utenti con tale policy IAM. Per garantire che tali utenti possano continuare a utilizzare la console DynamoDB, allega anche AmazonDynamoDBReadOnlyAccess AWS la policy gestita all'utente, come descritto in. AWS politiche IAM gestite (predefinite) per Amazon DynamoDB

Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso l' AWS CLI API di Amazon DynamoDB.

Nota

Se fai riferimento a un endpoint VPC, dovrai anche autorizzare la chiamata DescribeEndpoints API per i principali IAM richiedenti con l'azione IAM (dynamodb:). DescribeEndpoints Per ulteriori informazioni, consulta Policy richieste per gli endpoint.

AWS politiche IAM gestite (predefinite) per Amazon DynamoDB

AWS affronta alcuni casi d'uso comuni fornendo politiche IAM autonome create e amministrate da. AWS Queste policy AWS gestite concedono le autorizzazioni necessarie per i casi d'uso comuni in modo da evitare di dover verificare quali autorizzazioni sono necessarie. Per ulteriori informazioni, consulta Policy gestite da AWS nella Guida per l'utente di IAM.

Le seguenti policy AWS gestite, che puoi allegare agli utenti del tuo account, sono specifiche di DynamoDB e sono raggruppate per scenario d'uso:

• AmazonDynamoDB ReadOnlyAccess: concede l'accesso in sola lettura alle risorse DynamoDB tramite. AWS Management Console

• AmazonDynamoDB FullAccess: garantisce l'accesso completo alle risorse DynamoDB tramite. AWS Management Console

Puoi rivedere queste politiche di autorizzazione AWS gestite accedendo alla console IAM e cercando lì policy specifiche.

Importante

La best practice consiste nel creare policy IAM personalizzate che forniscano il privilegio minimo agli utenti, ai ruoli o ai gruppi che ne hanno bisogno.

Esempi di policy gestite dal cliente

In questa sezione sono riportati esempi di policy che concedono autorizzazioni per diverse operazioni DynamoDB. Queste politiche funzionano quando utilizzi AWS SDK o. AWS CLI Quando si utilizza la console, è necessario concedere autorizzazioni aggiuntive che sono specifiche della console. Per ulteriori informazioni, consulta Autorizzazioni IAM necessarie per utilizzare la console Amazon DynamoDB.

Nota

Tutti i seguenti esempi di policy utilizzano una delle AWS regioni e contengono ID di account e nomi di tabelle fittizi.

Esempi:

• Policy IAM per concedere autorizzazioni a tutte le azioni DynamoDB in una tabella

• Policy IAM per concedere le autorizzazioni di sola lettura su elementi in una tabella DynamoDB

• Policy IAM per concedere l'accesso a una tabella DynamoDB specifica e ai relativi indici

• Policy IAM per l'accesso in lettura, scrittura, aggiornamento ed eliminazione su una tabella DynamoDB

• Politica IAM per separare gli ambienti DynamoDB nello stesso account AWS

• Policy IAM per impedire l'acquisto di capacità riservata DynamoDB

• Policy IAM per concedere l'accesso in lettura solo per un flusso DynamoDB (non per la tabella)

• Politica IAM per consentire a una AWS Lambda funzione di accedere ai record di flusso DynamoDB

• Policy IAM per l'accesso in lettura e scrittura a un cluster DynamoDB Accelerator (DAX)

La Guida per l'utente di IAM, include tre ulteriori esempi di DynamoDB:

• Amazon DynamoDB: consente l'accesso a una tabella specifica

• Amazon DynamoDB: consente l'accesso a colonne specifiche

• Amazon DynamoDB: consente l'accesso a livello di riga a DynamoDB in base a un ID Amazon Cognito