Usar políticas baseadas em identidade com o Amazon DynamoDB

Este tópico aborda o uso de políticas baseadas em identidade do AWS Identity and Access Management (IAM) com o Amazon DynamoDB e fornece exemplos. Os exemplos mostram como um administrador de conta pode anexar políticas de permissões a identidades do IAM (usuários, grupos e funções) e, dessa forma, conceder permissões para executar operações em recursos do Amazon DynamoDB.

As seções neste tópico abrangem o seguinte:

• Permissões do IAM necessárias para usar o console do Amazon DynamoDB

• Políticas do IAM (predefinidas) gerenciadas pela AWS para o Amazon DynamoDB

• Exemplos de política gerenciada pelo cliente

Veja a seguir um exemplo de política de permissões.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DescribeQueryScanBooksTable",
            "Effect": "Allow",
            "Action": [
                "dynamodb:DescribeTable",
                "dynamodb:Query",
                "dynamodb:Scan"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:account-id:table/Books"
        }
    ]
}

A política anterior tem uma instrução que concede permissões para três ações do DynamoDB (dynamodb:DescribeTable, dynamodb:Query e dynamodb:Scan) em uma tabela na região da AWS us-west-2 que pertence à conta da AWS especificada por account-id. O Nome do recurso da Amazon (ARN) no valor Resource especifica a tabela à qual as permissões se aplicam.

Permissões do IAM necessárias para usar o console do Amazon DynamoDB

Para trabalhar com o console do DynamoDB, os usuários precisam ter um conjunto mínimo de permissões para utilizar os recursos do DynamoDB de suas contas da AWS. Além dessas permissões do DynamoDB, o console exige permissões:

• Permissões do Amazon CloudWatch para exibir métricas e gráficos.

• Permissões do AWS Data Pipeline para exportar e importar dados do DynamoDB.

• Permissões do AWS Identity and Access Management para acessar funções necessárias para exportações e importações.

• Permissões do Amazon Simple Notification Service para enviar notificações sempre que um alarme do CloudWatch é acionado.

• Permissões do AWS Lambda para processar registros do DynamoDB Streams.

Se você criar uma política do IAM que seja mais restritiva que as permissões mínimas necessárias, o console do não funcionará como pretendido para os usuários com essa política do IAM. Para garantir que esses usuários ainda consigam usar o console do DynamoDB, associe também a política gerenciada pela AWS AmazonDynamoDBReadOnlyAccess ao usuário, conforme descrito em Políticas do IAM (predefinidas) gerenciadas pela AWS para o Amazon DynamoDB.

Não é necessário conceder permissões mínimas do console para os usuários que estão fazendo chamadas somente com a AWS CLI ou com a API do Amazon DynamoDB.

nota

Se você fizer referência a um endpoint da VPC, também precisará autorizar a chamada à API DescribeEndpoints para a(s) entidades principal(is) do IAM solicitantes com a ação do IAM (dynamodb:DescribeEndpoints). Para obter mais informações, consulte Política necessária para endpoints.

Políticas do IAM (predefinidas) gerenciadas pela AWS para o Amazon DynamoDB

A AWS aborda alguns casos de uso comuns fornecendo políticas autônomas do IAM que são criadas e administradas pela AWS. Essas políticas gerenciadas pela AWS concedem as permissões necessárias para casos de uso comuns. Assim, você não precisa investigar quais permissões são necessárias. Para obter mais informações, consulte Políticas gerenciadas da AWS no Guia do usuário do IAM.

As seguintes políticas gerenciadas pela AWS, que você pode anexar aos usuários da sua conta, são específicas do DynamoDB e agrupadas por cenário de caso de uso:

• AmazonDynamoDBReadOnlyAccess: concede acesso somente leitura aos recursos do DynamoDB via AWS Management Console.

• AmazonDynamoDBFullAccess: concede acesso total aos recursos do DynamoDB via AWS Management Console.

É possível analisar essas políticas de permissões gerenciadas pela AWS fazendo login no console do IAM e pesquisando políticas específicas.

Importante

A prática recomendada é criar políticas personalizadas do IAM que concedam privilégio mínimo aos usuários, perfis ou grupos que precisam dele.

Exemplos de política gerenciada pelo cliente

Nesta seção, você encontrará exemplos de políticas de usuário que concedem permissões para diversas ações do DynamoDB. Essas políticas funcionam quando você está usando os AWS SDKs ou a AWS CLI. Quando você usa o console, precisa conceder permissões adicionais que são específicas do console. Para ter mais informações, consulte Permissões do IAM necessárias para usar o console do Amazon DynamoDB.

nota

Todos os exemplos de política a seguir usam uma das regiões da AWS e contêm IDs de conta e nomes de tabelas fictícios.

Exemplos:

• Política do IAM para conceder permissões a todas as ações do DynamoDB em uma tabela

• Política do IAM para conceder permissões somente leitura em itens de uma tabela do DynamoDB

• Política do IAM para conceder acesso a uma tabela específica do DynamoDB e seus índices

• Política do IAM para ler, gravar, atualizar e excluir o acesso em uma tabela do DynamoDB

• Política do IAM para separar ambientes do DynamoDB na mesma conta da AWS

• Política do IAM para evitar a compra de capacidade reservada do DynamoDB

• Política do IAM para conceder acesso de leitura somente para um fluxo do DynamoDB (não para a tabela)

• Política do IAM para permitir que uma função AWS Lambda acesse registros de fluxo do DynamoDB

• Política do IAM para acesso de leitura e gravação a um cluster do DynamoDB Accelerator (DAX)

O Guia do usuário do IAM inclui três exemplos adicionais do DynamoDB:

• Amazon DynamoDB: permite acesso a uma tabela específica

• Amazon DynamoDB: permite acesso a colunas específicas

• Amazon DynamoDB: permite acesso por linha ao DynamoDB com base em um ID do Amazon Cognito