授予对特定亚马逊 DynamoDB 属性的访问权限 - AWS 规范性指导

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

授予对特定亚马逊 DynamoDB 属性的访问权限

我们很乐意听取你的意见。请通过简短的调查提供 AWS 有关 PRA 的反馈。

当您的组织讨论在物理和逻辑上分离个人数据的策略时,请考虑哪些 AWS 存储服务支持 AWS Identity and Access Management (IAM) 中的细粒度访问控制策略。以下基于身份的策略仅允许从名为的 Amazon DynamoDB 表中检索UserIDSignUpTime、和LastLoggedIn属性。Users例如,您可以将此政策附加到客户支持角色,而不是授予该角色访问完整个人数据集的权限。有关本政策如何帮助保护组织中的隐私和个人数据的更多信息,请参阅本指南有助于对数据进行细分的 AWS 服务和功能中的。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "dynamodb:GetItem",
            "dynamodb:BatchGetItem",
            "dynamodb:Query",
            "dynamodb:Scan",
            "dynamodb:TransactGetItems"
         ],
         "Resource":[
            "arn:aws:dynamodb:us-west-2:123456789012:dynamodb:table/Users"
         ],
         "Condition":{
            "ForAllValues:StringEquals":{
               "dynamodb:Attributes":[
                  "UserID",
                  "SignUpTime",
                  "LastLoggedIn"
               ]
            },
            "StringEquals":{
               "dynanamodb:Select":[
                  "SPECIFIC_ATTRIBUTES"
               ]
            }  
         }
      }
   ]
}