스트림에 리소스 기반 정책 연결 - Amazon DynamoDB

스트림에 리소스 기반 정책 연결

DynamoDB 콘솔, PutResourcePolicy API, AWS CLI, AWS SDK 또는 AWS CloudFormation 템플릿을 사용하여 기존 테이블의 스트림에 리소스 기반 정책을 연결하거나 기존 정책을 수정할 수 있습니다.

참고

CreateTable 또는 UpdateTable API를 사용하여 스트림을 생성하는 동안에는 정책을 스트림에 연결할 수 없습니다. 하지만 테이블을 삭제한 후에는 정책을 수정하거나 삭제할 수 있습니다. 비활성화된 스트림의 정책을 수정하거나 삭제할 수도 있습니다.

다음 IAM 정책 예시에서는 put-resource-policy AWS CLI 명령을 사용하여 MusicCollection이라는 테이블의 스트림에 리소스 기반 정책을 연결합니다. 이 예시를 통해 사용자 John은 스트림에서 GetRecords, GetShardIterator, DescribeStream API 작업을 수행할 수 있습니다.

기울임꼴 텍스트를 리소스별 정보로 바꿔야 합니다.

aws dynamodb put-resource-policy \
    --resource-arn arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection/stream/2024-02-12T18:57:26.492 \
    --policy \
        "{
            \"Version\": \"2012-10-17\",
            \"Statement\": [
              {
                    \"Effect\": \"Allow\",
                    \"Principal\": {
                        \"AWS\": \"arn:aws:iam::111122223333:user/John\"
                    },
                    \"Action\": [
                        \"dynamodb:GetRecords\",
                        \"dynamodb:GetShardIterator\",
                        \"dynamodb:DescribeStream\"
                    ],
                    \"Resource\": \"arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection/stream/2024-02-12T18:57:26.492\"
                }
            ]
        }"

  1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/dynamodb/에서 DynamoDB 콘솔을 엽니다.

  2. DynamoDB 콘솔 대시보드에서 테이블을 선택한 다음, 기존 테이블을 선택합니다.

    선택한 테이블에 스트림이 켜져 있는지 확인하세요. 테이블의 스트림 활성화에 대한 정보는 스트림 활성화 섹션을 참조하세요.

  3. 권한 탭을 선택합니다.

  4. 활성 스트림용 리소스 기반 정책에서 스트림 정책 생성을 선택합니다.

  5. 리소스 기반 정책 편집기에서 스트림에 대한 액세스 권한을 정의하는 정책을 추가합니다. 이 정책에서는 해당 스트림에 액세스할 수 있는 사용자와 스트림에서 해당 사용자가 수행할 수 있는 작업을 지정합니다. 정책을 추가하려면 다음 중 하나를 수행합니다.

    • JSON 정책 문서를 입력하거나 붙여 넣습니다. IAM 정책 언어에 대한 자세한 내용은 IAM 사용 설명서의 JSON 편집기를 사용하여 정책 생성을 참조하세요.

      작은 정보

      Amazon DynamoDB 개발자 안내서에서 리소스 기반 정책의 예를 보려면 정책 예시를 선택하세요.

    • 새 문을 추가하려면 새 문 추가를 선택하고 제공된 필드에 정보를 입력합니다. 문을 추가하려는 만큼 이 단계를 반복합니다.

    중요

    정책을 저장하기 전에 보안 경고, 오류 및 제안 사항을 해결해야 합니다.

  6. (선택 사항) 오른쪽 하단 외부 액세스 미리 보기를 선택하면 새 정책이 리소스의 퍼블릭 및 크로스 계정 액세스에 미치는 영향을 미리 확인할 수 있습니다. 정책을 저장하기 전에 새로운 IAM Access Analyzer 검색 결과가 나오는지, 기존 결과가 해결되는지 여부를 확인할 수 있습니다. 활성 분석기가 표시되지 않으면 Access Analyzer로 이동을 선택하여 IAM Access Analyzer에서 계정 분석기를 생성합니다. 자세한 내용은 액세스 미리 보기를 잠조하세요

  7. 정책 생성을 선택합니다.

다음 IAM 정책 예시에서는 리소스 기반 정책을 MusicCollection이라는 테이블의 스트림에 연결합니다. 이 예시를 통해 사용자 John은 스트림에서 GetRecords, GetShardIterator, DescribeStream API 작업을 수행할 수 있습니다.

기울임꼴 텍스트를 리소스별 정보로 바꿔야 합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:user/John"
      },
      "Action": [
        "dynamodb:GetRecords",
        "dynamodb:GetShardIterator",
        "dynamodb:DescribeStream"
      ],
      "Resource": [
        "arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection/stream/2024-02-12T18:57:26.492"
      ]
    }
  ]
}