Amazon DynamoDB
開発者ガイド (API バージョン 2012-08-10)

IAM を使用した DynamoDB バックアップおよび復元

一部リソースの Amazon DynamoDB バックアップおよび復元アクションを制限するには、AWS Identity and Access Management (IAM) を使用します。CreateBackup および RestoreTableFromBackup の API はテーブル別に動作します。

DynamoDB で IAM ポリシーを使用する詳しい方法については、「Amazon DynamoDB でアイデンティティベースのポリシー (IAM ポリシー) を使用する」を参照してください。

以下に、DynamoDB の特定のバックアップおよび復元機能の設定に使用する IAM ポリシーの例を示します。

例 1: CreateBackup アクションおよび RestoreTableFromBackup アクションを許可する

以下の IAM ポリシーは、すべてのテーブルに対する DynamoDB の CreateBackup アクションおよび RestoreTableFromBackup アクションを許可するアクセス権限を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:CreateBackup", "dynamodb:RestoreTableFromBackup", "dynamodb:PutItem", "dynamodb:UpdateItem", "dynamodb:DeleteItem", "dynamodb:GetItem", "dynamodb:Query", "dynamodb:Scan", "dynamodb:BatchWriteItem" ], "Resource": "*" } ] }

重要

復元機能を使用するには、DynamoDB の書き込み権限が必要です。

例 2: CreateBackup を許可し、RestoreTableFromBackup を拒否する

以下の IAM ポリシーは、CreateBackup アクションのアクセス権限を付与し、RestoreTableFromBackup アクションを拒否します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["dynamodb:CreateBackup"], "Resource": "*" }, { "Effect": "Deny", "Action": ["dynamodb:RestoreTableFromBackup"], "Resource": "*" } ] }

例 3: ListBackups を許可し、CreateBackup および RestoreTableFromBackup を拒否する

以下の IAM ポリシーは、ListBackups アクションのアクセス権限を付与し、CreateBackup アクションおよび RestoreTableFromBackup アクションを拒否します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["dynamodb:ListBackups"], "Resource": "*" }, { "Effect": "Deny", "Action": [ "dynamodb:CreateBackup", "dynamodb:RestoreTableFromBackup" ], "Resource": "*" } ] }

例 4: ListBackups を許可し、DeleteBackup を拒否する

以下の IAM ポリシーは、ListBackups アクションのアクセス権限を付与し、DeleteBackup アクションを拒否します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["dynamodb:ListBackups"], "Resource": "*" }, { "Effect": "Deny", "Action": ["dynamodb:DeleteBackup"], "Resource": "*" } ] }

例 5: すべてのリソースに対する RestoreTableFromBackup および DescribeBackup を許可し、特定のバックアップに対する DeleteBackup を拒否する

以下の IAM ポリシーは、特定のバックアップリソースに対する RestoreTableFromBackup および DescribeBackup アクションのアクセス権限を付与し、DeleteBackup アクションを拒否します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:DescribeBackup", "dynamodb:RestoreTableFromBackup", "dynamodb:PutItem", "dynamodb:UpdateItem", "dynamodb:DeleteItem", "dynamodb:GetItem", "dynamodb:Query", "dynamodb:Scan", "dynamodb:BatchWriteItem" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "dynamodb:DeleteBackup" ], "Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/MusicCollection/backup/01489173575360-b308cd7d" } ] }

重要

復元機能を使用するには、DynamoDB の書き込み権限が必要です。

例 6: 特定のテーブルの CreateBackup を許可する

以下の IAM ポリシーは、Movies テーブルのみに対する CreateBackup アクションのアクセス権限を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["dynamodb:CreateBackup"], "Resource": [ "arn:aws:dynamodb:us-east-1:123456789012:table/Movies" ] } ] }

例 7: ListBackups を許可する

以下の IAM ポリシーは、ListBackups アクションのアクセス権限を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["dynamodb:ListBackups"], "Resource": "*" } ] }

重要

特定のテーブルに対する ListBackups アクションのアクセス権限を付与することはできません。