DynamoDB リザーブドキャパシティの購入を防止する IAM ポリシー

Amazon DynamoDB リザーブドキャパシティーでは、1 回限りの前払い料金を支払い、期間中、大幅な節約ができる最小使用レベルを支払う契約を結びます。AWS Management Console を使用して、リザーブドキャパシティーを表示し、購入できます。ただし、組織のすべてのユーザーが、リザーブドキャパシティーを購入できないようにしたい場合があります。リザーブドキャパシティーの詳細については、Amazon DynamoDB の料金を参照してください。

DynamoDB は、リザーブドキャパシティー管理へのアクセスを制御するために、次の API オペレーションを提供します。

• dynamodb:DescribeReservedCapacity – 現在有効なリザーブドキャパシティーの購入を返します。

• dynamodb:DescribeReservedCapacityOfferings – AWS で現在提供されているリザーブドキャパシティープランについての詳細を返します。

• dynamodb:PurchaseReservedCapacityOfferings – リザーブドキャパシティーの実際の注文を実行します。

AWS Management Console はこれらの API アクションを使用してリザーブドキャパシティーの情報を表示し、購入を行います。アプリケーションプログラムからこれらのオペレーションを呼び出すことはできません。オペレーションにはコンソールからのみアクセスできるためです。ただし、IAM 許可ポリシーでこれらのオペレーションへのアクセスを許可または拒否することができます。

以下のポリシーでは、ユーザーは AWS Management Console を使用して、リザーブドキャパシティの購入およびサービスを表示できますが、新規購入は拒否されます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowReservedCapacityDescriptions",
            "Effect": "Allow",
            "Action": [
                "dynamodb:DescribeReservedCapacity",
                "dynamodb:DescribeReservedCapacityOfferings"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:123456789012:*"
        },
        {
            "Sid": "DenyReservedCapacityPurchases",
            "Effect": "Deny",
            "Action": "dynamodb:PurchaseReservedCapacityOfferings",
            "Resource": "arn:aws:dynamodb:us-west-2:123456789012:*"
        }
    ]
}

このポリシーでは、ワイルドカード文字 (*) を使用して、すべてのユーザーに説明許可を付与し、すべての DynamoDB リザーブドキャパシティーの購入を拒否することに注意してください。