DynamoDB バックアップおよび復元での IAM の使用 - Amazon DynamoDB

DynamoDB バックアップおよび復元での IAM の使用

AWS Identity and Access Management (IAM) を使用すれば、一部リソースの Amazon DynamoDB バックアップアクションと復元アクションを制限することができます。CreateBackup および RestoreTableFromBackup API はテーブルごとにオペレーションを行います。

DynamoDB での IAM ポリシーの詳細な使用については、Amazon DynamoDB でのアイデンティティベースポリシー (IAM ポリシー) の使用 を参照してください。

次に、DynamoDB で特定のバックアップ機能と復元機能を設定するために使用できる IAM ポリシーの例を示します。

例 1: CreateBackup および RestoreTableFromBackup アクションを許可する

以下の IAM ポリシーは、すべてのテーブルで CreateBackup および RestoreTableFromBackup DynamoDB アクションを適用する許可を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:CreateBackup", "dynamodb:RestoreTableFromBackup", "dynamodb:PutItem", "dynamodb:UpdateItem", "dynamodb:DeleteItem", "dynamodb:GetItem", "dynamodb:Query", "dynamodb:Scan", "dynamodb:BatchWriteItem" ], "Resource": "*" } ] }
重要

復元機能には、DynamoDB の書き込み許可が必要です。

例 2: CreateBackup アクションを許可し、RestoreTableFromBackup アクションを拒否する

以下の IAM ポリシーは、CreateBackup アクションの許可を付与し、RestoreTableFromBackup アクションを拒否します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["dynamodb:CreateBackup"], "Resource": "*" }, { "Effect": "Deny", "Action": ["dynamodb:RestoreTableFromBackup"], "Resource": "*" } ] }

例 3: ListBackups アクションを許可し、CreateBackup および RestoreTableFromBackup アクションを拒否する

以下の IAM ポリシーは、ListBackups アクションの許可を拒否し、CreateBackup アクションおよび RestoreTableFromBackup アクションを拒否します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["dynamodb:ListBackups"], "Resource": "*" }, { "Effect": "Deny", "Action": [ "dynamodb:CreateBackup", "dynamodb:RestoreTableFromBackup" ], "Resource": "*" } ] }

例 4: ListBackups を許可し、DeleteBackup を拒否する

以下の IAM ポリシーは、ListBackups アクションの許可を付与し、DeleteBackup アクションを拒否します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["dynamodb:ListBackups"], "Resource": "*" }, { "Effect": "Deny", "Action": ["dynamodb:DeleteBackup"], "Resource": "*" } ] }

例 5: すべてのリソースに対する RestoreTableFromBackup および DescribeBackup を許可し、特定のバックアップに対する DeleteBackup を拒否する

以下の IAM ポリシーは、RestoreTableFromBackup および DescribeBackup アクションの許可を付与し、特定のバックアップリソースに対する DeleteBackup アクションを拒否します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:DescribeBackup", "dynamodb:RestoreTableFromBackup", "dynamodb:PutItem", "dynamodb:UpdateItem", "dynamodb:DeleteItem", "dynamodb:GetItem", "dynamodb:Query", "dynamodb:Scan", "dynamodb:BatchWriteItem" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "dynamodb:DeleteBackup" ], "Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/Music/backup/01489173575360-b308cd7d" } ] }
重要

復元機能には、DynamoDB の書き込み許可が必要です。

例 6: 特定のテーブルに対する CreateBackup を許可する

以下の IAM ポリシーは、Movies テーブルに対する CreateBackup アクションの許可のみを付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["dynamodb:CreateBackup"], "Resource": [ "arn:aws:dynamodb:us-east-1:123456789012:table/Movies" ] } ] }

例 7: ListBackups を許可する

以下の IAM ポリシーは、ListBackups アクションに対する許可を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["dynamodb:ListBackups"], "Resource": "*" } ] }
重要

特定のテーブルに対する ListBackups アクションの許可を付与することはできません。