用于防止购买 DynamoDB 预留容量的 IAM policy - Amazon DynamoDB

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

用于防止购买 DynamoDB 预留容量的 IAM policy

对于 Amazon DynamoDB 预留容量,您可以支付一次性预付费用并承诺在一段时间内支付最低用量级别的费用,从而节省大量成本。您可以使用查看和购买预留容量。 AWS Management Console 不过,您可能不希望您企业中的所有用户都能购买预留容量。有关预留容量的更多信息,请参阅 Amazon DynamoDB 定价

DynamoDB 提供以下 API 操作,以便控制对预留容量管理的访问:

  • dynamodb:DescribeReservedCapacity - 返回当前有效的预留容量购买信息。

  • dynamodb:DescribeReservedCapacityOfferings - 返回有关 AWS当前提供的预留容量计划的详细信息。

  • dynamodb:PurchaseReservedCapacityOfferings - 实际购买预留容量。

AWS Management Console 使用这些 API 操作来显示预留容量信息并进行购买。您无法从应用程序调用这些操作,因为它们只能通过控制台进行访问。但是,您可以在 IAM 权限策略中允许或拒绝对这些操作的访问。

以下政策允许用户使用查看预留容量购买和提供的内容, AWS Management Console 但新购买将被拒绝。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowReservedCapacityDescriptions",
            "Effect": "Allow",
            "Action": [
                "dynamodb:DescribeReservedCapacity",
                "dynamodb:DescribeReservedCapacityOfferings"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:123456789012:*"
        },
        {
            "Sid": "DenyReservedCapacityPurchases",
            "Effect": "Deny",
            "Action": "dynamodb:PurchaseReservedCapacityOfferings",
            "Resource": "arn:aws:dynamodb:us-west-2:123456789012:*"
        }
    ]
}

请注意,此策略使用通配符 (*) 来允许对所有 、 和 到 拒绝 的 购买所有的 DynamoDB 预留容量。