Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden ressourcenbasierter Richtlinien für DynamoDB
DynamoDB unterstützt ressourcenbasierte Richtlinien für Tabellen, Indizes und Streams. Mit ressourcenbasierten Richtlinien können Sie Zugriffsberechtigungen definieren, indem Sie angeben, wer Zugriff auf jede Ressource hat und welche Aktionen für jede Ressource ausgeführt werden dürfen.
Sie können eine ressourcenbasierte Richtlinie an DynamoDB-Ressourcen wie eine Tabelle oder einen Stream anfügen. In dieser Richtlinie geben Sie Berechtigungen für Identity and Access Management (IAM)[-Prinzipale](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-principal) an, die bestimmte Aktionen an diesen DynamoDB-Ressourcen ausführen können. Beispielsweise enthält die Richtlinie, die Sie an eine Tabelle anfügen, Berechtigungen für die Tabelle und ihre Indizes. Daher können ressourcenbasierte Richtlinien zur Vereinfachung der Zugriffskontrolle für Ihre DynamoDB-Tabellen, -Indizes und -Streams beitragen, indem Sie Berechtigungen auf Ressourcenebene definieren. Eine Richtlinie, die Sie an eine DynamoDB-Ressource anhängen können, darf maximal 20 KB groß sein.
Ein wesentlicher Vorteil der Verwendung ressourcenbasierter Richtlinien ist die Vereinfachung der kontoübergreifenden Zugriffskontrolle zur Bereitstellung eines kontoübergreifenden Zugriffs auf IAM-Prinzipale in verschiedenen AWS-Konten. Weitere Informationen finden Sie unter [Ressourcenbasierte Richtlinie für kontoübergreifenden Zugriff](rbac-examples.md#rbac-examples-cross-account).
Ressourcenbasierte Richtlinien unterstützen außerdem Integrationen in den [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)-Analysator für externen Zugriff und [Block Public Access (BPA)](rbac-bpa-rbp.md)-Funktionen. IAM Access Analyzer meldet den kontoübergreifenden Zugriff auf externe Entitäten, die in ressourcenbasierten Richtlinien angegeben sind. Das Tool bietet außerdem Transparenz, sodass Sie Ihre Berechtigungen verfeinern und dem Prinzip der geringsten Berechtigung entsprechen können. BPA hilft Ihnen, den öffentlichen Zugriff auf Ihre DynamoDB-Tabellen, -Indizes und -Streams zu verhindern, und wird in den Workflows zur Erstellung und Änderung ressourcenbasierter Richtlinien automatisch aktiviert.
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/q9sBxrVgq4U?si=0cR4TJIlKvH9Wlu5)
**Topics**
+ [Erstellen Sie eine Tabelle mit einer ressourcenbasierten Richtlinie](rbac-create-table.md)
+ [Anhängen einer Richtlinie an eine vorhandene DynamoDB-Tabelle](rbac-attach-resource-based-policy.md)
+ [Anhängen einer ressourcenbasierten Richtlinie an einen DynamoDB-Stream](rbac-attach-resource-policy-streams.md)
+ [Entfernen einer ressourcenbasierten Richtlinie aus einer DynamoDB-Tabelle](rbac-delete-resource-based-policy.md)
+ [Kontoübergreifender Zugriff mit ressourcenbasierten Richtlinien in DynamoDB](rbac-cross-account-access.md)
+ [Blockieren des öffentlichen Zugriffs mit ressourcenbasierten Richtlinien in DynamoDB](rbac-bpa-rbp.md)
+ [DynamoDB API-Operationen, die von ressourcenbasierten Richtlinien unterstützt werden](rbac-iam-actions.md)
+ [Autorisierung mit identitätsbasierten IAM-Richtlinien und ressourcenbasierten DynamoDB-Richtlinien](rbac-auth-iam-id-based-policies-DDB.md)
+ [Beispiele für ressourcenbasierte DynamoDB-Richtlinien](rbac-examples.md)
+ [Überlegungen zu ressourcenbasierten DynamoDB-Richtlinien](rbac-considerations.md)
+ [Bewährte Methoden für ressourcenbasierte DynamoDB-Richtlinien](rbac-best-practices.md)
# Erstellen Sie eine Tabelle mit einer ressourcenbasierten Richtlinie
Sie können beim Erstellen einer Tabelle mithilfe der DynamoDB-Konsole, der [CreateTable](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_CreateTable.html)API, des [AWS SDK](rbac-attach-resource-based-policy.md#rbac-attach-policy-java-sdk) oder einer Vorlage eine ressourcenbasierte Richtlinie hinzufügen. AWS CLI CloudFormation
## AWS CLI
Im folgenden Beispiel wird eine Tabelle erstellt, die mit dem Befehl benannt *MusicCollection* wird. `create-table` AWS CLI Dieser Befehl enthält auch den Parameter `resource-policy`, mit dem der Tabelle eine ressourcenbasierte Richtlinie hinzugefügt wird. Diese Richtlinie ermöglicht es *John* dem Benutzer [RestoreTableToPointInTime](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_RestoreTableToPointInTime.html), die [PutItem](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_PutItem.html)API-Aktionen [GetItem](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_GetItem.html), und für die Tabelle auszuführen.
Denken Sie daran, den *italicized* Text durch Ihre ressourcenspezifischen Informationen zu ersetzen.
```
aws dynamodb create-table \
--table-name MusicCollection \
--attribute-definitions AttributeName=Artist,AttributeType=S AttributeName=SongTitle,AttributeType=S \
--key-schema AttributeName=Artist,KeyType=HASH AttributeName=SongTitle,KeyType=RANGE \
--provisioned-throughput ReadCapacityUnits=5,WriteCapacityUnits=5 \
--resource-policy \
"{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Effect\": \"Allow\",
\"Principal\": {
\"AWS\": \"arn:aws:iam::123456789012:user/John\"
},
\"Action\": [
\"dynamodb:RestoreTableToPointInTime\",
\"dynamodb:GetItem\",
\"dynamodb:DescribeTable\"
],
\"Resource\": \"arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection\"
}
]
}"
```
## AWS-Managementkonsole
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die DynamoDB-Konsole unter. [https://console.aws.amazon.com/dynamodb/](https://console.aws.amazon.com/dynamodb/)
1. Wählen Sie auf dem Dashboard **Tabelle erstellen** aus.
1. Geben Sie im Feld **Tabellendetails** den Tabellennamen, den Partitionsschlüssel und den Sortierschlüssel ein.
1. Wählen Sie unter **Tabelleneinstellungen** die Option **Einstellungen anpassen** aus.
1. (Optional) Geben Sie Ihre Optionen für **Tabellenklasse**, **Kapazitätsrechner**, **Lese-/Schreibkapazitätseinstellungen**, **Sekundäre Indizes**, **Verschlüsselung im Ruhezustand** und **Löschschutz** an.
1. Fügen Sie unter **Ressourcenbasierte Richtlinie** eine Richtlinie hinzu, um die Zugriffsberechtigungen für die Tabelle und ihre Indizes zu definieren. In dieser Richtlinie geben Sie an, wer Zugriff auf jede Ressource hat und welche Aktionen für jede Ressource ausgeführt werden dürfen. Um eine Richtlinie hinzuzufügen, gehen Sie wie folgt vor:
+ Geben oder fügen Sie ein JSON-Richtliniendokument ein. Einzelheiten zur Sprache der IAM-Richtlinien finden Sie unter [Erstellen von Richtlinien mit dem JSON-Editor](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor) im *IAM-Benutzerhandbuch*.
**Tipp**
Beispiele für ressourcenbasierte Richtlinien finden Sie unter **Beispiele für Richtlinien** im Entwicklerhandbuch für Amazon DynamoDB.
+ Wählen Sie **Neue Anweisung hinzufügen** aus, um eine neue Anweisung hinzuzufügen, und geben Sie die Informationen in die bereitgestellten Felder ein. Wiederholen Sie diesen Vorgang für so viele Anweisungen, wie Sie hinzufügen möchten.
**Wichtig**
Beheben Sie mögliche Sicherheitswarnungen, Fehler und Vorschläge, bevor Sie die Richtlinie speichern.
Das folgende Beispiel für eine IAM-Richtlinie ermöglicht es dem Benutzer*John*, die [PutItem](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_PutItem.html)API-Aktionen [RestoreTableToPointInTime[GetItem](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_GetItem.html)](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_RestoreTableToPointInTime.html), und für die Tabelle auszuführen. *MusicCollection*
Denken Sie daran, den *italicized* Text durch Ihre ressourcenspezifischen Informationen zu ersetzen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/username"
},
"Action": [
"dynamodb:RestoreTableToPointInTime",
"dynamodb:GetItem",
"dynamodb:PutItem"
],
"Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/MusicCollection"
}
]
}
```
------
1. (Optional) Wählen Sie unten rechts **Preview external access** (Vorschau des externen Zugriffs) aus, um eine Vorschau anzuzeigen, wie sich Ihre neue Richtlinie auf den öffentlichen und kontoübergreifenden Zugriff auf Ihre Ressource auswirkt. Bevor Sie Ihre Richtlinie speichern, können Sie überprüfen, ob sie neue IAM-Access-Analyzer-Ergebnisse einführt oder vorhandene Ergebnisse löst. Wenn Sie keinen aktiven Analyzer sehen, wählen Sie **Go to Access Analyzer** (Zu Access Analyzer wechseln) aus, um [einen Account Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html#access-analyzer-enabling) in IAM Access Analyzer zu erstellen. Weitere Informationen finden Sie unter [Vorschau des Zugriffs](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-access-preview.html).
1. Wählen Sie **Create table** (Tabelle erstellen) aus.
## AWS CloudFormation Vorlage
------
#### [ Using the AWS::DynamoDB::Table resource ]
Die folgende CloudFormation Vorlage erstellt mithilfe der Ressource [AWS: :DynamoDB: :Table](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-dynamodb-table.html) eine Tabelle mit einem Stream. Diese Vorlage enthält außerdem ressourcenbasierte Richtlinien, die sowohl der Tabelle als auch dem Stream angehängt sind.
```
{
"AWSTemplateFormatVersion": "2010-09-09",
"Resources": {
"MusicCollectionTable": {
"Type": "AWS::DynamoDB::Table",
"Properties": {
"AttributeDefinitions": [
{
"AttributeName": "Artist",
"AttributeType": "S"
}
],
"KeySchema": [
{
"AttributeName": "Artist",
"KeyType": "HASH"
}
],
"BillingMode": "PROVISIONED",
"ProvisionedThroughput": {
"ReadCapacityUnits": 5,
"WriteCapacityUnits": 5
},
"StreamSpecification": {
"StreamViewType": "OLD_IMAGE",
"ResourcePolicy": {
"PolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/John"
},
"Effect": "Allow",
"Action": [
"dynamodb:GetRecords",
"dynamodb:GetShardIterator",
"dynamodb:DescribeStream"
],
"Resource": "*"
}
]
}
}
},
"TableName": "MusicCollection",
"ResourcePolicy": {
"PolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:user/John"
]
},
"Effect": "Allow",
"Action": "dynamodb:GetItem",
"Resource": "*"
}
]
}
}
}
}
}
}
```
------
#### [ Using the AWS::DynamoDB::GlobalTable resource ]
Die folgende CloudFormation Vorlage erstellt eine Tabelle mit der [AWS: :DynamoDB:: GlobalTable](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-dynamodb-globaltable.html) -Ressource und fügt der Tabelle und ihrem Stream eine ressourcenbasierte Richtlinie hinzu.
```
{
"AWSTemplateFormatVersion": "2010-09-09",
"Resources": {
"GlobalMusicCollection": {
"Type": "AWS::DynamoDB::GlobalTable",
"Properties": {
"TableName": "MusicCollection",
"AttributeDefinitions": [{
"AttributeName": "Artist",
"AttributeType": "S"
}],
"KeySchema": [{
"AttributeName": "Artist",
"KeyType": "HASH"
}],
"BillingMode": "PAY_PER_REQUEST",
"StreamSpecification": {
"StreamViewType": "NEW_AND_OLD_IMAGES"
},
"Replicas": [
{
"Region": "us-east-1",
"ResourcePolicy": {
"PolicyDocument": {
"Version": "2012-10-17",
"Statement": [{
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:user/John"
]
},
"Effect": "Allow",
"Action": "dynamodb:GetItem",
"Resource": "*"
}]
}
},
"ReplicaStreamSpecification": {
"ResourcePolicy": {
"PolicyDocument": {
"Version": "2012-10-17",
"Statement": [{
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/John"
},
"Effect": "Allow",
"Action": [
"dynamodb:GetRecords",
"dynamodb:GetShardIterator",
"dynamodb:DescribeStream"
],
"Resource": "*"
}]
}
}
}
}
]
}
}
}
}
```
------
# Anhängen einer Richtlinie an eine vorhandene DynamoDB-Tabelle
[Sie können eine ressourcenbasierte Richtlinie an eine bestehende Tabelle anhängen oder eine vorhandene Richtlinie ändern, indem Sie die DynamoDB-Konsole, die [PutResourcePolicy](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_PutResourcePolicy.html)API AWS CLI, das AWS SDK oder eine Vorlage verwenden.CloudFormation](rbac-create-table.md#rbac-create-table-cfn)
## AWS CLI Beispiel zum Anhängen einer neuen Richtlinie
Im folgenden Beispiel für eine IAM-Richtlinie wird der `put-resource-policy` AWS CLI Befehl verwendet, um eine ressourcenbasierte Richtlinie an eine vorhandene Tabelle anzuhängen. In diesem Beispiel kann der Benutzer *John* die [UpdateTable](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_UpdateTable.html)API-Aktionen [GetItem](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_GetItem.html), [PutItem[UpdateItem](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_UpdateItem.html)](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_PutItem.html), und für eine vorhandene Tabelle mit dem Namen ausführen. *MusicCollection*
Denken Sie daran, den *italicized* Text durch Ihre ressourcenspezifischen Informationen zu ersetzen.
```
aws dynamodb put-resource-policy \
--resource-arn arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection \
--policy \
"{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Effect\": \"Allow\",
\"Principal\": {
\"AWS\": \"arn:aws:iam::111122223333:user/John\"
},
\"Action\": [
\"dynamodb:GetItem\",
\"dynamodb:PutItem\",
\"dynamodb:UpdateItem\",
\"dynamodb:UpdateTable\"
],
\"Resource\": \"arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection\"
}
]
}"
```
## AWS CLI Beispiel für die bedingte Aktualisierung einer bestehenden Richtlinie
Um eine vorhandene ressourcenbasierte Richtlinie einer Tabelle bedingt zu aktualisieren, können Sie den optionalen Parameter `expected-revision-id` verwenden. Im folgenden Beispiel wird die Richtlinie nur aktualisiert, wenn sie in DynamoDB vorhanden ist und ihre aktuelle Revisions-ID mit dem angegebenen `expected-revision-id`-Parameter übereinstimmt.
```
aws dynamodb put-resource-policy \
--resource-arn arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection \
--expected-revision-id 1709841168699 \
--policy \
"{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Effect\": \"Allow\",
\"Principal\": {
\"AWS\": \"arn:aws:iam::111122223333:user/John\"
},
\"Action\": [
\"dynamodb:GetItem\",
\"dynamodb:UpdateItem\",
\"dynamodb:UpdateTable\"
],
\"Resource\": \"arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection\"
}
]
}"
```
## AWS-Managementkonsole
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die DynamoDB-Konsole unter. [https://console.aws.amazon.com/dynamodb/](https://console.aws.amazon.com/dynamodb/)
1. Wählen Sie im Dashboard eine vorhandene Tabelle aus.
1. Navigieren Sie zur Registerkarte **Berechtigungen** und wählen Sie **Tabellenrichtlinie erstellen** aus.
1. Fügen Sie im Editor für ressourcenbasierte Richtlinien die Richtlinie hinzu, die Sie anhängen möchten, und wählen Sie **Richtlinie erstellen** aus.
Das folgende Beispiel für eine IAM-Richtlinie ermöglicht es dem Benutzer *John* [GetItem](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_GetItem.html), die [UpdateTable](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_UpdateTable.html)API-Aktionen, [PutItem[UpdateItem](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_UpdateItem.html)](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_PutItem.html), und für eine bestehende Tabelle mit dem Namen auszuführen. *MusicCollection*
Denken Sie daran, den *italicized* Text durch Ihre ressourcenspezifischen Informationen zu ersetzen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/username"
},
"Action": [
"dynamodb:GetItem",
"dynamodb:PutItem",
"dynamodb:UpdateItem",
"dynamodb:UpdateTable"
],
"Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/MusicCollection"
}
]
}
```
------
## AWS SDK for Java 2.x
Im folgenden IAM-Richtlinienbeispiel wird die Methode `putResourcePolicy` verwendet, um eine ressourcenbasierte Richtlinie an eine vorhandene Tabelle anzuhängen. Diese Richtlinie ermöglicht es einem Benutzer, die [GetItem](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_GetItem.html)API-Aktion für eine vorhandene Tabelle auszuführen.
```
import software.amazon.awssdk.regions.Region;
import software.amazon.awssdk.services.dynamodb.DynamoDbClient;
import software.amazon.awssdk.services.dynamodb.model.DynamoDbException;
import software.amazon.awssdk.services.dynamodb.model.PutResourcePolicyRequest;
/**
* Before running this Java V2 code example, set up your development
* environment, including your credentials.
*
* For more information, see the following documentation topic:
*
* [Get started with the AWS SDK for Java 2.x](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/get-started.html)
*/
public class PutResourcePolicy {
public static void main(String[] args) {
final String usage = """
Usage:
Where:
tableArn - The Amazon DynamoDB table ARN to attach the policy to. For example, arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection.
allowed AWS Principal - Allowed AWS principal ARN that the example policy will give access to. For example, arn:aws:iam::123456789012:user/John.
""";
if (args.length != 2) {
System.out.println(usage);
System.exit(1);
}
String tableArn = args[0];
String allowedAWSPrincipal = args[1];
System.out.println("Attaching a resource-based policy to the Amazon DynamoDB table with ARN " +
tableArn);
Region region = Region.US_WEST_2;
DynamoDbClient ddb = DynamoDbClient.builder()
.region(region)
.build();
String result = putResourcePolicy(ddb, tableArn, allowedAWSPrincipal);
System.out.println("Revision ID for the attached policy is " + result);
ddb.close();
}
public static String putResourcePolicy(DynamoDbClient ddb, String tableArn, String allowedAWSPrincipal) {
String policy = generatePolicy(tableArn, allowedAWSPrincipal);
PutResourcePolicyRequest request = PutResourcePolicyRequest.builder()
.policy(policy)
.resourceArn(tableArn)
.build();
try {
return ddb.putResourcePolicy(request).revisionId();
} catch (DynamoDbException e) {
System.err.println(e.getMessage());
System.exit(1);
}
return "";
}
private static String generatePolicy(String tableArn, String allowedAWSPrincipal) {
return "{\n" +
" \"Version\": \"2012-10-17\",\n" +,
" \"Statement\": [\n" +
" {\n" +
" \"Effect\": \"Allow\",\n" +
" \"Principal\": {\"AWS\":\"" + allowedAWSPrincipal + "\"},\n" +
" \"Action\": [\n" +
" \"dynamodb:GetItem\"\n" +
" ],\n" +
" \"Resource\": \"" + tableArn + "\"\n" +
" }\n" +
" ]\n" +
"}";
}
}
```
# Anhängen einer ressourcenbasierten Richtlinie an einen DynamoDB-Stream
[Sie können eine ressourcenbasierte Richtlinie an den Stream einer vorhandenen Tabelle anhängen oder eine vorhandene Richtlinie ändern, indem Sie die DynamoDB-Konsole, die [PutResourcePolicy](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_PutResourcePolicy.html)API AWS CLI, das AWS SDK oder eine Vorlage verwenden.CloudFormation](rbac-create-table.md#rbac-create-table-cfn)
**Anmerkung**
Sie können eine Richtlinie nicht an einen Stream anhängen, während Sie ihn mit dem oder erstellen. [CreateTable[UpdateTable](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_UpdateTable.html)](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_CreateTable.html) APIs Sie können eine Richtlinie jedoch ändern oder löschen, nachdem eine Tabelle gelöscht wurde. Sie können außerdem die Richtlinie eines deaktivierten Streams ändern oder löschen.
## AWS CLI
Im folgenden Beispiel für eine IAM-Richtlinie wird der `put-resource-policy` AWS CLI Befehl verwendet, um eine ressourcenbasierte Richtlinie an den Stream einer Tabelle mit dem Namen anzuhängen. *MusicCollection* In diesem Beispiel kann der Benutzer *John* die [DescribeStream](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_streams_DescribeStream.html)API-Aktionen [GetRecords[GetShardIterator](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_streams_GetShardIterator.html)](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_streams_GetRecords.html), und im Stream ausführen.
Denken Sie daran, den *italicized* Text durch Ihre ressourcenspezifischen Informationen zu ersetzen.
```
aws dynamodb put-resource-policy \
--resource-arn arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection/stream/2024-02-12T18:57:26.492 \
--policy \
"{
\"Version\": \"2012-10-17\",
\"Statement\": [
{
\"Effect\": \"Allow\",
\"Principal\": {
\"AWS\": \"arn:aws:iam::111122223333:user/John\"
},
\"Action\": [
\"dynamodb:GetRecords\",
\"dynamodb:GetShardIterator\",
\"dynamodb:DescribeStream\"
],
\"Resource\": \"arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection/stream/2024-02-12T18:57:26.492\"
}
]
}"
```
## AWS-Managementkonsole
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die DynamoDB-Konsole unter. [https://console.aws.amazon.com/dynamodb/](https://console.aws.amazon.com/dynamodb/)
1. Wählen Sie im Dashboard der DynamoDB-Konsole die Option **Tabellen** und dann eine vorhandene Tabelle aus.
Vergewissern Sie sich, dass in der ausgewählten Tabelle Streams aktiviert sind. Hinweise zum Aktivieren von Streams für eine Tabelle finden Sie unter [Aktivieren eines Streams](Streams.md#Streams.Enabling).
1. Wählen Sie die Registerkarte **Berechtigungen**.
1. Wählen Sie unter **Ressourcenbasierte Richtlinie für aktiven Stream** die Option **Stream-Richtlinie erstellen** aus.
1. Fügen Sie im Editor **Ressourcenbasierte Richtlinie** eine Richtlinie hinzu, um die Zugriffsberechtigungen für den Stream zu definieren. In dieser Richtlinie geben Sie an, wer Zugriff auf jede Ressource hat und welche Aktionen für jede Ressource ausgeführt werden dürfen. Um eine Richtlinie hinzuzufügen, gehen Sie wie folgt vor:
+ Geben oder fügen Sie ein JSON-Richtliniendokument ein. Einzelheiten zur Sprache der IAM-Richtlinien finden Sie unter [Erstellen von Richtlinien mit dem JSON-Editor](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor) im *IAM-Benutzerhandbuch*.
**Tipp**
Beispiele für ressourcenbasierte Richtlinien finden Sie unter **Beispiele für Richtlinien** im Entwicklerhandbuch für Amazon DynamoDB.
+ Wählen Sie **Neue Anweisung hinzufügen** aus, um eine neue Anweisung hinzuzufügen, und geben Sie die Informationen in die bereitgestellten Felder ein. Wiederholen Sie diesen Vorgang für so viele Anweisungen, wie Sie hinzufügen möchten.
**Wichtig**
Beheben Sie mögliche Sicherheitswarnungen, Fehler und Vorschläge, bevor Sie die Richtlinie speichern.
1. (Optional) Wählen Sie unten rechts **Preview external access** (Vorschau des externen Zugriffs) aus, um eine Vorschau anzuzeigen, wie sich Ihre neue Richtlinie auf den öffentlichen und kontoübergreifenden Zugriff auf Ihre Ressource auswirkt. Bevor Sie Ihre Richtlinie speichern, können Sie überprüfen, ob sie neue IAM-Access-Analyzer-Ergebnisse einführt oder vorhandene Ergebnisse löst. Wenn Sie keinen aktiven Analyzer sehen, wählen Sie **Go to Access Analyzer** (Zu Access Analyzer wechseln) aus, um [einen Account Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html#access-analyzer-enabling) in IAM Access Analyzer zu erstellen. Weitere Informationen finden Sie unter [Vorschau des Zugriffs](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-access-preview.html).
1. Wählen Sie **Richtlinie erstellen** aus.
Im folgenden Beispiel für eine IAM-Richtlinie wird eine ressourcenbasierte Richtlinie an den Stream einer Tabelle mit dem Namen angehängt. *MusicCollection* In diesem Beispiel kann der Benutzer *John* die [DescribeStream](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_streams_DescribeStream.html)API-Aktionen [GetRecords[GetShardIterator](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_streams_GetShardIterator.html)](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_streams_GetRecords.html), und im Stream ausführen.
Denken Sie daran, den *italicized* Text durch Ihre ressourcenspezifischen Informationen zu ersetzen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/username"
},
"Action": [
"dynamodb:GetRecords",
"dynamodb:GetShardIterator",
"dynamodb:DescribeStream"
],
"Resource": [
"arn:aws:dynamodb:us-east-1:123456789012:table/MusicCollection/stream/2024-02-12T18:57:26.492"
]
}
]
}
```
------
# Entfernen einer ressourcenbasierten Richtlinie aus einer DynamoDB-Tabelle
Sie können eine ressourcenbasierte Richtlinie aus einer vorhandenen Tabelle löschen, indem Sie die DynamoDB-Konsole, die [DeleteResourcePolicy](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_DeleteResourcePolicy.html)API AWS CLI, das AWS SDK oder eine Vorlage verwenden. CloudFormation
## AWS CLI
Im folgenden Beispiel wird der `delete-resource-policy` AWS CLI Befehl verwendet, um eine ressourcenbasierte Richtlinie aus einer Tabelle mit dem Namen zu entfernen. *MusicCollection*
Denken Sie daran, den *italicized* Text durch Ihre ressourcenspezifischen Informationen zu ersetzen.
```
aws dynamodb delete-resource-policy \
--resource-arn arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection
```
## AWS-Managementkonsole
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die DynamoDB-Konsole unter. [https://console.aws.amazon.com/dynamodb/](https://console.aws.amazon.com/dynamodb/)
1. Wählen Sie im Dashboard der DynamoDB-Konsole die Option **Tabellen** und dann eine vorhandene Tabelle aus.
1. Wählen Sie **Berechtigungen**.
1. Wählen Sie im Dropdown-Menü **Richtlinie verwalten** die Option **Richtlinie löschen** aus.
1. Geben Sie im Dialogfeld **Ressourcenbasierte Richtlinie für Tabelle löschen** **confirm** ein, um Löschvorgang zu bestätigen.
1. Wählen Sie **Löschen** aus.
# Kontoübergreifender Zugriff mit ressourcenbasierten Richtlinien in DynamoDB
Mithilfe einer ressourcenbasierten Richtlinie können Sie einen kontoübergreifenden Zugriff auf Ressourcen gewähren, die in verschiedenen AWS-Konten verfügbar sind. Jeder kontenübergreifende Zugriff, der gemäß den ressourcenbasierten Richtlinien zulässig ist, wird anhand der Ergebnisse des externen Zugriffs von IAM Access Analyzer gemeldet, wenn Sie einen Analyzer in derselben Ressource haben. AWS-Region IAM Access Analyzer führt Richtlinienprüfungen durch, um Ihre Richtlinie anhand der [IAM-Richtliniengrammatik](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_grammar.html) und der [bewährten Methoden](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) zu validieren. Diese Prüfungen generieren Ergebnisse und bieten umsetzbare Empfehlungen, die Sie beim Erstellen von Richtlinien unterstützen, die funktionsfähig sind und den bewährten Methoden für Sicherheit entsprechen. Sie können die aktiven Ergebnisse von IAM Access Analyzer auf der Registerkarte **Berechtigungen** der [DynamoDB-Konsole](https://console.aws.amazon.com/dynamodb/) anzeigen.
Weitere Informationen zum Validieren von Richtlinien mit IAM Access Analyzer finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*. Eine Liste der Warnungen, Fehler und Vorschläge, die von IAM Access Analyzer zurückgegeben werden, finden Sie unter [IAM-Access-Analyzer-Richtlinienprüfungsreferenz](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html).
Gehen Sie wie folgt vor, um einem Benutzer A in Konto A die [GetItem](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_GetItem.html)Erlaubnis zu erteilen, auf eine Tabelle B in Konto B zuzugreifen:
1. Hängen Sie eine ressourcenbasierte Richtlinie an Tabelle B an, die Benutzer A die Berechtigung zum Ausführen der Aktion `GetItem` erteilt.
1. Hängen Sie eine ressourcenbasierte Richtlinie an Benutzer A an, die diesem die Berechtigung zum Ausführen der Aktion `GetItem` in Tabelle B erteilt.
Mit der Option **Vorschau des externen Zugriffs** in der [DynamoDB-Konsole](https://console.aws.amazon.com/dynamodb/) können Sie in einer Vorschau sehen, wie sich Ihre neue Richtlinie auf den öffentlichen und den kontoübergreifenden Zugriff auf Ihre Ressource auswirkt. Bevor Sie Ihre Richtlinie speichern, können Sie überprüfen, ob sie neue IAM-Access-Analyzer-Ergebnisse einführt oder vorhandene Ergebnisse löst. Wenn Sie keinen aktiven Analyzer sehen, wählen Sie **Go to Access Analyzer** (Zu Access Analyzer wechseln) aus, um [einen Account Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html#access-analyzer-enabling) in IAM Access Analyzer zu erstellen. Weitere Informationen finden Sie unter [Vorschau des Zugriffs](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-access-preview.html).
Der Tabellennamenparameter in der DynamoDB-Datenebene und der Steuerungsebene APIs akzeptiert den vollständigen Amazon-Ressourcennamen (ARN) der Tabelle, um kontenübergreifende Operationen zu unterstützen. Wenn Sie nur den Parameter für den Tabellennamen anstelle eines vollständigen ARN angeben, wird die API-Operation für die Tabelle in dem Konto ausgeführt, zu dem der Anforderer gehört. Ein Beispiel einer Richtlinie, die den kontoübergreifenden Zugriff verwendet, finden Sie unter [Ressourcenbasierte Richtlinie für kontoübergreifenden Zugriff](rbac-examples.md#rbac-examples-cross-account).
Das Konto des Ressourceneigentümers wird auch dann belastet, wenn ein Prinzipal aus einem anderen Konto einen Lese- oder Schreibvorgang in der DynamoDB-Tabelle im Konto des Eigentümers ausführt. Wenn für die Tabelle Durchsatz bereitgestellt wurde, bestimmt die Summe aller Anfragen von den Eigentümerkonten und den Anforderern in anderen Konten, ob die Anfrage gedrosselt (wenn Autoscaling deaktiviert ist) oder skaliert wird, wenn Autoscaling aktiviert ist. up/down
Die Anfragen werden sowohl in den CloudTrail Protokollen des Besitzers als auch des Anfordererkontos protokolliert, sodass jedes der beiden Konten nachverfolgen kann, welches Konto auf welche Daten zugegriffen hat.
## Teilen Sie den Zugriff mit kontoübergreifenden AWS Lambda-Funktionen
**Lambda-Funktionen in Konto A**
1. Gehen Sie zur [IAM-Konsole](https://console.aws.amazon.com/iam/), um eine IAM-Rolle zu erstellen, die als [Lambda-Ausführungsrolle für Ihre AWS Lambda-Funktion](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html) in Konto A verwendet wird. Fügen Sie die verwaltete IAM-Richtlinie `AWSLambdaDynamoDBExecutionRole` hinzu, die über die erforderlichen DynamoDB Streams- und Lambda-Aufrufberechtigungen verfügt. Diese Richtlinie gewährt auch Zugriff auf alle potenziellen DynamoDB Streams Streams-Ressourcen, auf die Sie möglicherweise in Konto A Zugriff haben.
1. Erstellen Sie in der [Lambda-Konsole](https://console.aws.amazon.com/lambda/) eine AWS Lambda-Funktion zur Verarbeitung von Datensätzen in einem DynamoDB-Stream und wählen Sie während der Einrichtung für die Ausführungsrolle die Rolle aus, die Sie im vorherigen Schritt erstellt haben.
1. Stellen Sie dem Eigentümer von Konto B der DynamoDB-Streams die Lambda-Funktionsausführungsrolle zur Verfügung, um die ressourcenbasierte Richtlinie für den kontoübergreifenden Lesezugriff zu konfigurieren.
1. Schließen Sie die Einrichtung der Lambda-Funktion ab.
**DynamoDB-Stream in Konto B**
1. Rufen Sie die kontoübergreifende Lambda-Ausführungsrolle von Konto A ab, die die Lambda-Funktion aufruft.
1. Wählen Sie in der Amazon DynamoDB DynamoDB-Konsole in Konto B die Tabelle für den kontoübergreifenden Lambda-Trigger aus. Suchen Sie auf der Registerkarte **Exporte und Streams** Ihren DynamoDB-Stream-ARN. Stellen Sie sicher, dass der DynamoDB-Stream-Status On lautet, und notieren Sie sich den vollständigen Stream-ARN, da Sie ihn für die Ressourcenrichtlinie benötigen.
1. Klicken Sie auf der Registerkarte „**Berechtigungen**“ auf die Schaltfläche „**Stream-Richtlinie erstellen**“, um den visuellen Richtlinien-Editor zu starten. Klicken Sie auf die Schaltfläche **Neue Erklärung hinzufügen** oder bearbeiten Sie die Richtlinie, falls bereits eine vorhanden ist.
1. Erstellen Sie eine Richtlinie, die die Lambda-Ausführungsrolle in Konto A als Principal angibt, und gewähren Sie die erforderlichen DynamoDB-Stream-Aktionen. Stellen Sie sicher, dass Sie die Aktionen`dynamodb:DescribeStream`,`dynamodb:GetRecords`, `dynamodb:GetShardIterator` und angeben. `dynamodb:ListShards` Weitere Informationen zu Beispielressourcenrichtlinien für DynamoDB Streams finden Sie unter Beispiele für ressourcenbasierte [DynamoDB-Richtlinien](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/rbac-examples.html).
**Anmerkung**
Für den kontenübergreifenden Zugriff auf die [Kontrollebene gilt](HowItWorks.API.md#HowItWorks.API.ControlPlane) ein niedrigerer APIs Grenzwert für Transaktionen pro Sekunde (TPS) von 500 Anfragen.
# Blockieren des öffentlichen Zugriffs mit ressourcenbasierten Richtlinien in DynamoDB
[Block Public Access (BPA)](#rbac-bpa-rbp) ist eine Funktion zum Identifizieren und Verhindern des Anhängens von ressourcenbasierten Richtlinien, die öffentlichen Zugriff auf Ihre DynamoDB-Tabellen, -Indizes oder -Streams in Ihren [Amazon Web Services (AWS)](https://aws.amazon.com/)-Konten gewähren. Mit BPA können Sie den öffentlichen Zugriff auf Ihre DynamoDB-Ressourcen verhindern. BPA führt während der Erstellung oder Änderung einer ressourcenbasierten Richtlinie Prüfungen durch und hilft Ihnen, Ihre Sicherheitslage mit DynamoDB zu verbessern.
BPA analysiert mittels [Automated Reasoning](https://aws.amazon.com/what-is/automated-reasoning/) den durch Ihre ressourcenbasierte Richtlinie gewährten Zugriff und warnt Sie, wenn solche Berechtigungen zum Zeitpunkt der Verwaltung einer ressourcenbasierten Richtlinie gefunden werden. Bei der Analyse wird der Zugriff über alle ressourcenbasierten Richtlinienanweisungen, Aktionen und die in Ihren Richtlinien verwendeten Bedingungsschlüssel überprüft.
**Wichtig**
BPA trägt zum Schutz Ihrer Ressourcen bei, indem verhindert wird, dass öffentlicher Zugriff über die ressourcenbasierten Richtlinien gewährt wird, die Ihren DynamoDB-Ressourcen wie Tabellen, Indizes und Streams direkt angehängt sind. Überprüfen Sie zusätzlich zur Aktivierung von BPA sorgfältig die folgenden Richtlinien, um sicherzustellen, dass sie keinen öffentlichen Zugriff gewähren:
Identitätsbasierte Richtlinien, die mit zugehörigen AWS Principals verknüpft sind (z. B. IAM-Rollen)
Ressourcenbasierte Richtlinien, die mit zugehörigen AWS Ressourcen verknüpft sind (z. B. (KMS-) Schlüssel) AWS Key Management Service
Sie müssen sicherstellen, dass der [Prinzipal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) keinen `*`-Eintrag enthält oder dass keiner der angegebenen Bedingungsschlüssel den Zugriff der Prinzipale auf die Ressource einschränkt. Wenn die ressourcenbasierte Richtlinie öffentlichen Zugriff auf Ihre Tabelle, Indizes oder Stream-Across gewährt, blockiert DynamoDB Sie daran AWS-Konten, die Richtlinie zu erstellen oder zu ändern, bis die Spezifikation in der Richtlinie korrigiert und als nicht öffentlich eingestuft wurde.
Sie können eine Richtlinie als nicht öffentlich festlegen, indem Sie einen oder mehrere Prinzipale im `Principal`-Block angeben. Im folgenden Beispiel für eine ressourcenbasierte Richtlinie wird der öffentliche Zugriff blockiert, indem zwei Prinzipale angegeben werden.
```
{
"Effect": "Allow",
"Principal": {
"AWS": [
"123456789012",
"111122223333"
]
},
"Action": "dynamodb:*",
"Resource": "*"
}
```
Richtlinien, die den Zugriff durch die Angabe bestimmter Bedingungsschlüssel einschränken, gelten ebenfalls nicht als öffentlich. Neben der Auswertung des in der ressourcenbasierten Richtlinie angegebenen Prinzipals werden die folgenden [vertrauenswürdigen Bedingungsschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) verwendet, um die Auswertung einer ressourcenbasierten Richtlinie für den nicht öffentlichen Zugriff abzuschließen:
+ `aws:PrincipalAccount`
+ `aws:PrincipalArn`
+ `aws:PrincipalOrgID`
+ `aws:PrincipalOrgPaths`
+ `aws:SourceAccount`
+ `aws:SourceArn`
+ `aws:SourceVpc`
+ `aws:SourceVpce`
+ `aws:UserId`
+ `aws:PrincipalServiceName`
+ `aws:PrincipalServiceNamesList`
+ `aws:PrincipalIsAWSService`
+ `aws:Ec2InstanceSourceVpc`
+ `aws:SourceOrgID`
+ `aws:SourceOrgPaths`
Damit eine ressourcenbasierte Richtlinie nicht öffentlich ist, dürfen die Werte für den Amazon-Ressourcennamen (ARN) und Zeichenfolgenschlüssel außerdem keine Platzhalter oder Variablen enthalten. Wenn Ihre ressourcenbasierte Richtlinie den `aws:PrincipalIsAWSService`-Schlüssel verwendet, müssen Sie sicherstellen, dass Sie den Schlüsselwert auf „true“ gesetzt haben.
Die folgende Richtlinie grenzt den Zugriff auf den Benutzer `John` im angegebenen Konto ein. Aufgrund dieser Bedingung ist der `Principal` eingeschränkt und wird als nicht öffentlich betrachtet.
```
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "dynamodb:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:user/John"
}
}
}
```
Das folgende Beispiel für eine nicht öffentliche ressourcenbasierte Richtlinie schränkt `sourceVPC` auf die Verwendung des `StringEquals`-Operators ein.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "dynamodb:*",
"Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/MusicCollection",
"Condition": {
"StringEquals": {
"aws:SourceVpc": [
"vpc-91237329"
]
}
}
}
]
}
```
------
# DynamoDB API-Operationen, die von ressourcenbasierten Richtlinien unterstützt werden
In diesem Thema werden die API-Operationen aufgeführt, die von ressourcenbasierten Richtlinien unterstützt werden. Für den kontoübergreifenden Zugriff können Sie jedoch nur einen bestimmten Satz von DynamoDB APIs über ressourcenbasierte Richtlinien verwenden. Sie können ressourcenbasierte Richtlinien nicht an Ressourcentypen wie Backups und Importe anhängen. Die IAM-Aktionen, die dem APIs Betrieb mit diesen Ressourcentypen entsprechen, sind von den unterstützten IAM-Aktionen in ressourcenbasierten Richtlinien ausgeschlossen. Weil Tabellenadministratoren interne Tabelleneinstellungen, wie z. B. [UpdateTimeToLive](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_UpdateTimeToLive.html)und, innerhalb desselben Kontos konfigurieren APIs [DisableKinesisStreamingDestination](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_DisableKinesisStreamingDestination.html), keinen kontenübergreifenden Zugriff über ressourcenbasierte Richtlinien unterstützen.
Die DynamoDB-Daten- und Steuerungsebene APIs , die den kontenübergreifenden Zugriff unterstützen, unterstützen auch das Überladen von Tabellennamen, sodass Sie den Tabellen-ARN anstelle des Tabellennamens angeben können. Sie können den Tabellen-ARN im `TableName` Parameter dieser angeben APIs. Nicht alle APIs unterstützen jedoch den kontoübergreifenden Zugriff.
**Topics**
+ [Datenebenen-API-Operationen](#rbac-data-plane-actions)
+ [PartiQL-API-Operationen](#rbac-partiql-actions)
+ [Steuerebenen-API-Operationen](#rbac-control-plane-actions)
+ [API-Operationen für globale Tabellen in Version 2019.11.21 (aktuell)](#rbac-current-global-table-actions)
+ [API-Operationen für globale Tabellen in Version 2017.11.29 (veraltet)](#rbac-legacy-global-table-actions)
+ [Tags-API-Operation](#rbac-tags-actions)
+ [API-Operationen für Backup und Wiederherstellungen](#rbac-backup-restore-actions)
+ [Kontinuierliche API-Operationen Backup/Restore (PITR)](#rbac-continuous-backup-restore-actions)
+ [API-Operationen für Contributor Insights](#rbac-contributor-insights-actions)
+ [Export-API-Operationen](#rbac-export-actions)
+ [Import-API-Operationen](#rbac-import-actions)
+ [API-Operationen für Amazon Kinesis Data Streams](#rbac-kinesis-actions)
+ [API-Operationen für ressourcenbasierte Richtlinien](#rbac-rbp-actions)
+ [Time-to-Live API-Operationen](#rbac-ttl-actions)
+ [Sonstige API-Operationen](#rbac-other-actions)
+ [API-Operationen in DynamoDB Streams](#rbac-ds-actions)
## Datenebenen-API-Operationen
In der folgenden Tabelle ist die Unterstützung auf API-Ebene aufgeführt, die durch [Datenebenen](HowItWorks.API.md#HowItWorks.API.DataPlane)-API-Operationen für ressourcenbasierte Richtlinien und den kontoübergreifenden Zugriff bereitgestellt wird.
| Datenebene - Tables/indexes APIs | Unterstützung für ressourcenbasierte Richtlinien | Kontoübergreifende Unterstützung |
| --- | --- | --- |
| [DeleteItem](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_DeleteItem.html) | Ja | Ja |
| [GetItem](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_GetItem.html) | Ja | Ja |
| [PutItem](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_PutItem.html) | Ja | Ja |
| [Query](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_Query.html) | Ja | Ja |
| [Scan](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_Scan.html) | Ja | Ja |
| [UpdateItem](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_UpdateItem.html) | Ja | Ja |
| [TransactGetItems](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_TransactGetItems.html) | Ja | Ja |
| [TransactWriteItems](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_TransactWriteItems.html) | Ja | Ja |
| [BatchGetItem](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_BatchGetItem.html) | Ja | Ja |
| [BatchWriteItem](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_BatchWriteItem.html) | Ja | Ja |
## PartiQL-API-Operationen
In der folgenden Tabelle ist die Unterstützung auf API-Ebene aufgeführt, die durch [PartiQL](HowItWorks.API.md#HowItWorks.API.DataPlane.partiql)-API-Operationen für ressourcenbasierte Richtlinien und den kontoübergreifenden Zugriff bereitgestellt wird.
| PartiQL APIs | Unterstützung für ressourcenbasierte Richtlinien | Kontoübergreifende Unterstützung |
| --- | --- | --- |
| [BatchExecuteStatement](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_BatchExecuteStatement.html) | Ja | Nein |
| [ExecuteStatement](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_ExecuteStatement.html) | Ja | Nein |
| [ExecuteTransaction](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_ExecuteTransaction.html) | Ja | Nein |
## Steuerebenen-API-Operationen
In der folgenden Tabelle ist die Unterstützung auf API-Ebene aufgeführt, die durch [Steuerebenen](HowItWorks.API.md#HowItWorks.API.ControlPlane)-API-Operationen für ressourcenbasierte Richtlinien und den kontoübergreifenden Zugriff bereitgestellt wird.
| Steuerungsebene - Tabellen APIs | Unterstützung für ressourcenbasierte Richtlinien | Kontoübergreifende Unterstützung |
| --- | --- | --- |
| [CreateTable](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_CreateTable.html) | Nein | Nein |
| [DeleteTable](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_DeleteTable.html) | Ja | Ja |
| [DescribeTable](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_DescribeTable.html) | Ja | Ja |
| [UpdateTable](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_UpdateTable.html) | Ja | Ja |
## API-Operationen für globale Tabellen in Version 2019.11.21 (aktuell)
In der folgenden Tabelle ist die Unterstützung auf API-Ebene aufgeführt, die durch API-Operationen für [globale Tabellen in Version 2019.11.21 (aktuell)](GlobalTables.md) für ressourcenbasierte Richtlinien und den kontoübergreifenden Zugriff bereitgestellt wird.
| Version 2019.11.21 (Aktuell) globale Tabellen APIs | Unterstützung für ressourcenbasierte Richtlinien | Kontoübergreifende Unterstützung |
| --- | --- | --- |
| [DescribeTableReplicaAutoScaling](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_DescribeTableReplicaAutoScaling.html) | Ja | Nein |
| [UpdateTableReplicaAutoScaling](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_UpdateTableReplicaAutoScaling.html) | Ja | Nein |
## API-Operationen für globale Tabellen in Version 2017.11.29 (veraltet)
In der folgenden Tabelle ist die Unterstützung auf API-Ebene aufgeführt, die durch API-Operationen für [globale Tabellen in Version 2017.11.29 (veraltet)](globaltables.V1.md) für ressourcenbasierte Richtlinien und den kontoübergreifenden Zugriff bereitgestellt wird.
| Version 2017.11.29 (Legacy) globale Tabellen APIs | Unterstützung für ressourcenbasierte Richtlinien | Kontoübergreifende Unterstützung |
| --- | --- | --- |
| [CreateGlobalTable](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_CreateGlobalTable.html) | Nein | Nein |
| [DescribeGlobalTable](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_DescribeGlobalTable.html) | Nein | Nein |
| [DescribeGlobalTableSettings](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_DescribeGlobalTableSettings.html) | Nein | Nein |
| [ListGlobalTables](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_ListGlobalTables.html) | Nein | Nein |
| [UpdateGlobalTable](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_UpdateGlobalTable.html) | Nein | Nein |
| [UpdateGlobalTableSettings](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_UpdateGlobalTableSettings.html) | Nein | Nein |
## Tags-API-Operation
In der folgenden Tabelle ist die Unterstützung auf API-Ebene aufgeführt, die durch API-Operationen im Zusammenhang mit [Tags](Tagging.Operations.md) für ressourcenbasierte Richtlinien und den kontoübergreifenden Zugriff bereitgestellt wird.
| Schlagworte APIs | Unterstützung für ressourcenbasierte Richtlinien | Kontoübergreifende Unterstützung |
| --- | --- | --- |
| [ListTagsOfResource](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_ListTagsOfResource.html) | Ja | Ja |
| [TagResource](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_TagResource.html) | Ja | Ja |
| [UntagResource](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_UntagResource.html) | Ja | Ja |
## API-Operationen für Backup und Wiederherstellungen
In der folgenden Tabelle ist die Unterstützung auf API-Ebene aufgeführt, die durch API-Operationen im Zusammenhang mit [Backups und Wiederherstellungen](Backup-and-Restore.md) für ressourcenbasierte Richtlinien und den kontoübergreifenden Zugriff bereitgestellt wird.
| Backup und Wiederherstellen APIs | Unterstützung für ressourcenbasierte Richtlinien | Kontoübergreifende Unterstützung |
| --- | --- | --- |
| [CreateBackup](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_CreateBackup.html) | Ja | Nein |
| [DescribeBackup](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_DescribeBackup.html) | Nein | Nein |
| [DeleteBackup](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_DeleteBackup.html) | Nein | Nein |
| [RestoreTableFromBackup](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_RestoreTableFromBackup.html) | Nein | Nein |
## Kontinuierliche API-Operationen Backup/Restore (PITR)
In der folgenden Tabelle ist die Unterstützung auf API-Ebene aufgeführt, die durch API-Operationen im Zusammenhang mit [Continuous Backup/Restore (PITR)](Point-in-time-recovery.md) für ressourcenbasierte Richtlinien und kontenübergreifenden Zugriff bereitgestellt wird.
| Kontinuierlich (PITR) Backup/Restore APIs | Unterstützung für ressourcenbasierte Richtlinien | Kontoübergreifende Unterstützung |
| --- | --- | --- |
| [DescribeContinuousBackups](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_DescribeContinuousBackups.html) | Ja | Nein |
| [RestoreTableToPointInTime](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_RestoreTableToPointInTime.html) | Ja | Nein |
| [UpdateContinuousBackups](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_UpdateContinuousBackups.html) | Ja | Nein |
## API-Operationen für Contributor Insights
In der folgenden Tabelle ist die Unterstützung auf API-Ebene aufgeführt, die durch API-Operationen im Zusammenhang mit [Continuous Backup/Restore (PITR)](Point-in-time-recovery.md) für ressourcenbasierte Richtlinien und kontenübergreifenden Zugriff bereitgestellt wird.
| Einblicke von Mitwirkenden APIs | Unterstützung für ressourcenbasierte Richtlinien | Kontoübergreifende Unterstützung |
| --- | --- | --- |
| [DescribeContributorInsights](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_DescribeContributorInsights.html) | Ja | Nein |
| [ListContributorInsights](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_ListContributorInsights.html) | Nein | Nein |
| [UpdateContributorInsights](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_UpdateContributorInsights.html) | Ja | Nein |
## Export-API-Operationen
In der folgenden Tabelle ist die Unterstützung auf API-Ebene aufgeführt, die durch Export-API-Operationen für ressourcenbasierte Richtlinien und den kontoübergreifenden Zugriff bereitgestellt wird.
| Exportieren APIs | Unterstützung für ressourcenbasierte Richtlinien | Kontoübergreifende Unterstützung |
| --- | --- | --- |
| [DescribeExport](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_DescribeExport.html) | Nein | Nein |
| [ExportTableToPointInTime](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_ExportTableToPointInTime.html) | Ja | Nein |
| [ListExports](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_ListExports.html) | Nein | Nein |
## Import-API-Operationen
In der folgenden Tabelle ist die Unterstützung auf API-Ebene aufgeführt, die durch Import-API-Operationen für ressourcenbasierte Richtlinien und den kontoübergreifenden Zugriff bereitgestellt wird.
| Importieren APIs | Unterstützung für ressourcenbasierte Richtlinien | Kontoübergreifende Unterstützung |
| --- | --- | --- |
| [DescribeImport](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_DescribeImport.html) | Nein | Nein |
| [ImportTable](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_ImportTable.html) | Nein | Nein |
| [ListImports](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_ListImports.html) | Nein | Nein |
## API-Operationen für Amazon Kinesis Data Streams
In der folgenden Tabelle ist die Unterstützung auf API-Ebene aufgeführt, die durch API-Operationen für Kinesis Data Streams für ressourcenbasierte Richtlinien und den kontoübergreifenden Zugriff bereitgestellt wird.
| Kinesis APIs | Unterstützung für ressourcenbasierte Richtlinien | Kontoübergreifende Unterstützung |
| --- | --- | --- |
| [DescribeKinesisStreamingDestination](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_DescribeKinesisStreamingDestination.html) | Ja | Nein |
| [DisableKinesisStreamingDestination](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_DisableKinesisStreamingDestination.html) | Ja | Nein |
| [EnableKinesisStreamingDestination](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_EnableKinesisStreamingDestination.html) | Ja | Nein |
| [UpdateKinesisStreamingDestination](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_UpdateKinesisStreamingDestination.html) | Ja | Nein |
## API-Operationen für ressourcenbasierte Richtlinien
In der folgenden Tabelle ist die Unterstützung auf API-Ebene aufgeführt, die durch API-Operationen im Zusammenhang mit ressourcenbasierten Richtlinien für ressourcenbasierte Richtlinien und den kontoübergreifenden Zugriff bereitgestellt wird.
| Ressourcenbasierte Richtlinie APIs | Unterstützung für ressourcenbasierte Richtlinien | Kontoübergreifende Unterstützung |
| --- | --- | --- |
| [GetResourcePolicy](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_GetResourcePolicy.html) | Ja | Nein |
| [PutResourcePolicy](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_PutResourcePolicy.html) | Ja | Nein |
| [DeleteResourcePolicy](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_DeleteResourcePolicy.html) | Ja | Nein |
## Time-to-Live API-Operationen
In der folgenden Tabelle ist die Unterstützung auf API-Ebene aufgeführt, die durch [Time-to-Live](TTL.md) (TTL)-API-Operationen für ressourcenbasierte Richtlinien und den kontoübergreifenden Zugriff bereitgestellt wird.
| TTL APIs | Unterstützung für ressourcenbasierte Richtlinien | Kontoübergreifende Unterstützung |
| --- | --- | --- |
| [DescribeTimeToLive](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_DescribeTimeToLive.html) | Ja | Nein |
| [UpdateTimeToLive](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_UpdateTimeToLive.html) | Ja | Nein |
## Sonstige API-Operationen
In der folgenden Tabelle ist die Unterstützung auf API-Ebene aufgeführt, die durch sonstige verschiedene API-Operationen für ressourcenbasierte Richtlinien und den kontoübergreifenden Zugriff bereitgestellt wird.
| Andere APIs | Unterstützung für ressourcenbasierte Richtlinien | Kontoübergreifende Unterstützung |
| --- | --- | --- |
| [DescribeLimits](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_DescribeLimits.html) | Nein | Nein |
| [DescribeEndpoints](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_DescribeEndpoints.html) | Nein | Nein |
| [ListBackups](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_ListBackups.html) | Nein | Nein |
| [ListTables](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_ListTables.html) | Nein | Nein |
## API-Operationen in DynamoDB Streams
In der folgenden Tabelle ist die Unterstützung von DynamoDB Streams auf API-Ebene APIs für ressourcenbasierte Richtlinien und kontoübergreifenden Zugriff aufgeführt.
| DynamoDB Streams APIs | Unterstützung für ressourcenbasierte Richtlinien | Kontoübergreifende Unterstützung |
| --- | --- | --- |
| [DescribeStream](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_streams_DescribeStream.html) | Ja | Ja |
| [GetRecords](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_streams_GetRecords.html) | Ja | Ja |
| [GetShardIterator](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_streams_GetShardIterator.html) | Ja | Ja |
| [ListStreams](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_streams_ListStreams.html) | Nein | Nein |
# Autorisierung mit identitätsbasierten IAM-Richtlinien und ressourcenbasierten DynamoDB-Richtlinien
**Identitätsbasierte Richtlinien** sind an eine Identität wie IAM-Benutzer, -Benutzergruppen und -Rollen angehängt. Diese IAM-Richtliniendokumente steuern, welche Aktionen eine Identität für welche Ressourcen und unter welchen Bedingungen ausführen kann. Identitätsbasierte Richtlinien können [verwaltet](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) oder [Inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#inline-policies) sein.
**Ressourcenbasierte Richtlinien** sind IAM-Richtliniendokumente, die Sie an eine Ressource wie eine DynamoDB-Tabelle anhängen. Diese Richtlinien erteilen dem angegebenen Auftraggeber die Berechtigung zum Ausführen bestimmter Aktionen für diese Ressource und definiert, unter welchen Bedingungen dies gilt. Beispielsweise umfasst die ressourcenbasierte Richtlinie für eine DynamoDB-Tabelle auch den Index, der der Tabelle zugeordnet ist. Ressourcenbasierte Richtlinien sind Inline-Richtlinien. Es gibt keine verwalteten ressourcenbasierten Richtlinien.
Weitere Informationen zu diesen Richtlinien finden Sie unter [Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) im *IAM-Benutzerhandbuch*.
Wenn der IAM-Prinzipal aus demselben Konto stammt wie der Ressourceneigentümer, reicht eine ressourcenbasierte Richtlinie aus, um Zugriffsberechtigungen für die Ressource festzulegen. Sie können sich weiterhin für eine identitätsbasierte IAM-Richtlinie und eine ressourcenbasierte Richtlinie entscheiden. Für den kontoübergreifenden Zugriff müssen Sie den Zugriff sowohl in den Identitäts- als auch den Ressourcenrichtlinien explizit zulassen, wie unter [Kontoübergreifender Zugriff mit ressourcenbasierten Richtlinien in DynamoDB](rbac-cross-account-access.md) beschrieben. Wenn Sie beide Arten von Richtlinien verwenden, wird eine Richtlinie wie unter [Ermitteln, ob eine Anforderung innerhalb eines Kontos zugelassen oder verweigert wird](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html#policy-eval-denyallow) beschrieben ausgewertet.
**Wichtig**
Wenn eine identitätsbasierte Richtlinie bedingungslosen Zugriff auf eine DynamoDB-Tabelle gewährt (z. B. ohne Bedingungen), `dynamodb:GetItem` schränkt eine ressourcenbasierte Richtlinie, die den Zugriff mit aktivierten Bedingungen erlaubt, diesen Zugriff nicht ein. `dynamodb:Attributes` Die bedingungslose Zulassung der identitätsbasierten Richtlinie hat Vorrang, und die Bedingungen der ressourcenbasierten Richtlinie gelten nicht als Einschränkungen. Um den Zugriff auf bestimmte Attribute einzuschränken, verwenden Sie eine explizite `Deny` Anweisung, anstatt sich ausschließlich auf bedingte `Allow` Anweisungen in der ressourcenbasierten Richtlinie zu verlassen.
# Beispiele für ressourcenbasierte DynamoDB-Richtlinien
Wenn Sie im Feld `Resource` einer ressourcenbasierten Richtlinie einen ARN angeben, wird die Richtlinie nur wirksam, wenn der angegebene ARN mit dem ARN der DynamoDB-Ressource übereinstimmt, an die er angehängt ist.
**Anmerkung**
Denken Sie daran, den *italicized* Text durch Ihre ressourcenspezifischen Informationen zu ersetzen.
## Ressourcenbasierte Richtlinie für eine Tabelle
Die folgende ressourcenbasierte Richtlinie, die an eine DynamoDB-Tabelle mit dem Namen angehängt ist*MusicCollection*, erteilt den IAM-Benutzern *John* die *Jane* Berechtigung, Aktionen auf der Ressource auszuführen [GetItem](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_GetItem.html). [BatchGetItem](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_BatchGetItem.html)*MusicCollection*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "1111",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:user/username",
"arn:aws:iam::111122223333:user/Jane"
]
},
"Action": [
"dynamodb:GetItem",
"dynamodb:BatchGetItem"
],
"Resource": [
"arn:aws:dynamodb:us-east-1:123456789012:table/MusicCollection"
]
}
]
}
```
------
## Ressourcenbasierte Richtlinie für einen Stream
Die folgende ressourcenbasierte Richtlinie, die an einen DynamoDB-Stream mit dem Namen angehängt ist, `2024-02-12T18:57:26.492` gibt den IAM-Benutzern die *Jane* Berechtigung [GetRecords](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_streams_GetRecords.html),, [GetShardIterator](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_streams_GetShardIterator.html), *John* und [DescribeStream](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_streams_DescribeStream.html)API-Aktionen auf der Ressource durchzuführen. `2024-02-12T18:57:26.492`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "1111",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:user/username",
"arn:aws:iam::111122223333:user/Jane"
]
},
"Action": [
"dynamodb:DescribeStream",
"dynamodb:GetRecords",
"dynamodb:GetShardIterator"
],
"Resource": [
"arn:aws:dynamodb:us-east-1:123456789012:table/MusicCollection/stream/2024-02-12T18:57:26.492"
]
}
]
}
```
------
## Ressourcenbasierte Richtlinie für den Zugriff zur Ausführung aller Aktionen für bestimmte Ressourcen
Damit ein Benutzer alle Aktionen für eine Tabelle und alle zugehörigen Indizes mit einer Tabelle ausführen kann, können Sie einen Platzhalter (\$1) verwenden, um die mit der Tabelle verknüpften Aktionen und Ressourcen darzustellen. Die Verwendung eines Platzhalterzeichens für die Ressourcen ermöglicht dem Benutzer den Zugriff auf die DynamoDB-Tabelle und alle zugehörigen Indizes, einschließlich der Indizes, die noch nicht erstellt wurden. Die folgende Richtlinie gibt dem Benutzer beispielsweise die *John* Erlaubnis, alle Aktionen an der *MusicCollection* Tabelle und all ihren Indizes durchzuführen, einschließlich aller Indizes, die in future erstellt werden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "1111",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/role-name"
},
"Action": "dynamodb:*",
"Resource": [
"arn:aws:dynamodb:us-east-1:123456789012:table/MusicCollection",
"arn:aws:dynamodb:us-east-1:123456789012:table/MusicCollection/index/index-name"
]
}
]
}
```
------
## Ressourcenbasierte Richtlinie für kontoübergreifenden Zugriff
Sie können Berechtigungen für eine kontoübergreifende IAM-Identität für den Zugriff auf DynamoDB-Ressourcen angeben. Beispielsweise benötigen Sie möglicherweise einen Benutzer mit einem vertrauenswürdigen Konto, um Lesezugriff auf den Inhalt Ihrer Tabelle zu erhalten, unter der Bedingung, dass er nur auf bestimmte Elemente und bestimmte Attribute in diesen Elementen zugreift. Die folgende Richtlinie ermöglicht Benutzern *John* über eine vertrauenswürdige AWS-Konto ID *111111111111* den Zugriff auf Daten aus einer Tabelle im Konto *123456789012* mithilfe der [GetItem](https://docs.aws.amazon.com/amazondynamodb/latest/APIReference/API_GetItem.html)API. Die Richtlinie stellt sicher, dass der Benutzer nur auf Elemente mit einem Primärschlüssel zugreifen kann *Jane* und dass der Benutzer nur die Attribute `Artist` und`SongTitle`, aber keine anderen Attribute abrufen kann.
**Wichtig**
Wenn Sie die `SPECIFIC_ATTRIBUTES`-Bedingung nicht angeben, werden Ihnen alle Attribute für die zurückgegebenen Elemente angezeigt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossAccountTablePolicy",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111111111111:user/John"
},
"Action": "dynamodb:GetItem",
"Resource": [
"arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection"
],
"Condition": {
"ForAllValues:StringEquals": {
"dynamodb:LeadingKeys": "Jane",
"dynamodb:Attributes": [
"Artist",
"SongTitle"
]
},
"StringEquals": {
"dynamodb:Select": "SPECIFIC_ATTRIBUTES"
}
}
}
]
}
```
------
Zusätzlich zur vorherigen ressourcenbasierten Richtlinie muss die dem Benutzer zugeordnete identitätsbasierte Richtlinie *John* auch die `GetItem` API-Aktion ermöglichen, damit der kontoübergreifende Zugriff funktioniert. Im Folgenden finden Sie ein Beispiel für eine identitätsbasierte Richtlinie, die Sie dem Benutzer zuordnen müssen. *John*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CrossAccountIdentityBasedPolicy",
"Effect": "Allow",
"Action": [
"dynamodb:GetItem"
],
"Resource": [
"arn:aws:dynamodb:us-east-1:123456789012:table/MusicCollection"
],
"Condition": {
"ForAllValues:StringEquals": {
"dynamodb:LeadingKeys": "Jane",
"dynamodb:Attributes": [
"Artist",
"SongTitle"
]
},
"StringEquals": {
"dynamodb:Select": "SPECIFIC_ATTRIBUTES"
}
}
}
]
}
```
------
Der Benutzer John kann eine `GetItem` Anfrage stellen, indem er den Tabellen-ARN im `table-name` Parameter für den Zugriff auf die Tabelle *MusicCollection* im Konto angibt*123456789012*.
```
aws dynamodb get-item \
--table-name arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection \
--key '{"Artist": {"S": "Jane"}' \
--projection-expression 'Artist, SongTitle' \
--return-consumed-capacity TOTAL
```
## Ressourcenbasierte Richtlinie mit Bedingungen für die IP-Adresse
Sie können eine Bedingung anwenden, um Quell-IP-Adressen, virtuelle private Clouds (VPCs) und VPC-Endpunkte (VPCE) einzuschränken. Sie können Berechtigungen auf der Grundlage der Quelladressen der ursprünglichen Anforderung angeben. Angenommen, Sie möchten einem Benutzer nur dann Zugriff auf DynamoDB-Ressourcen gewähren, wenn von einer bestimmten IP-Quelle aus darauf zugegriffen wird, z. B. von einem Unternehmens-VPN-Endpunkt. Geben Sie diese IP-Adressen in der `Condition`-Anweisung an.
Das folgende Beispiel ermöglicht dem Benutzer den *John* Zugriff auf jede DynamoDB-Ressource, wenn die Quelle IPs und ist. `54.240.143.0/24` `2001:DB8:1234:5678::/64`
------
#### [ JSON ]
****
```
{
"Id":"PolicyId2",
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AllowIPmix",
"Effect":"Allow",
"Principal": {
"AWS": "arn:aws:iam::111111111111:user/username"
},
"Action":"dynamodb:*",
"Resource":"*",
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"54.240.143.0/24",
"2001:DB8:1234:5678::/64"
]
}
}
}
]
}
```
------
Sie können auch jeglichen Zugriff auf DynamoDB-Ressourcen verweigern, es sei denn, die Quelle ist beispielsweise ein bestimmter VPC-Endpunkt. *vpce-1a2b3c4d*
**Wichtig**
Wenn Sie DAX mit DynamoDB-Tabellen verwenden, die IP-basierte Ressourcenrichtlinien in IPv6 reinen Umgebungen haben, müssen Sie zusätzliche Zugriffsregeln konfigurieren. Wenn Ihre Ressourcenrichtlinie den Zugriff auf den IPv4 Adressraum `0.0.0.0/0` in Tabellen einschränkt, müssen Sie den Zugriff für die mit Ihrem DAX-Cluster verknüpfte IAM-Rolle zulassen. Fügen Sie Ihrer Richtlinie eine `ArnNotEquals` Bedingung hinzu, um sicherzustellen, dass DAX den Zugriff auf Ihre DynamoDB-Tabellen beibehält. Weitere Informationen finden Sie unter [DAX](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/DAX.create-cluster.DAX_and_IPV6.html) und. IPv6
------
#### [ JSON ]
****
```
{
"Id":"PolicyId",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AccessToSpecificVPCEOnly",
"Principal": "*",
"Action": "dynamodb:*",
"Effect": "Deny",
"Resource": "*",
"Condition": {
"StringNotEquals":{
"aws:sourceVpce":"vpce-1a2b3c4d"
}
}
}
]
}
```
------
## Ressourcenbasierte Richtlinie mit einer IAM-Rolle
Sie können auch eine IAM-Servicerolle in der ressourcenbasierten Richtlinie angeben. IAM-Entitäten, die diese Rolle übernehmen, sind an die für die Rolle angegebenen zulässigen Aktionen und an die spezifische Gruppe von Ressourcen innerhalb der ressourcenbasierten Richtlinie gebunden.
Das folgende Beispiel ermöglicht es einer IAM-Entität, alle DynamoDB-Aktionen auf den *MusicCollection* und *MusicCollection* DynamoDB-Ressourcen durchzuführen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "1111",
"Effect": "Allow",
"Principal": { "AWS": "arn:aws:iam::111122223333:role/role-name" },
"Action": "dynamodb:*",
"Resource": [
"arn:aws:dynamodb:us-east-1:123456789012:table/MusicCollection",
"arn:aws:dynamodb:us-east-1:123456789012:table/MusicCollection/*"
]
}
]
}
```
------
# Überlegungen zu ressourcenbasierten DynamoDB-Richtlinien
Wenn Sie ressourcenbasierte Richtlinien für Ihre DynamoDB-Ressourcen definieren, berücksichtigen Sie die folgenden Überlegungen:
**Allgemeine Überlegungen**
+ Ein ressourcenbasiertes Richtliniendokument kann maximal 20 KB groß sein. Leerzeichen werden in DynamoDB beim Berechnen der Richtliniengröße in Bezug auf diesen Limit nicht mitgezählt.
+ Nachfolgende Aktualisierungen einer Richtlinie für eine bestimmte Ressource werden nach einer erfolgreichen Aktualisierung der Richtlinie für dieselbe Ressource 15 Sekunden lang blockiert.
+ Derzeit können Sie nur eine ressourcenbasierte Richtlinie an vorhandene Streams anhängen. Sie können einem Stream während der Erstellung keine Richtlinie zuordnen.
**Überlegungen zu globalen Tabellen**
+ Ressourcenbasierte Richtlinien werden für Replikate der [Version 2017.11.29 (veraltet) für eine globale Tabelle](globaltables_HowItWorks.md) nicht unterstützt.
+ Wenn innerhalb einer ressourcenbasierten Richtlinie die Aktion für eine serviceverknüpfte DynamoDB-Rolle (SLR) zum Replizieren von Daten für eine globale Tabelle verweigert wird, schlägt das Hinzufügen oder Löschen eines Replikats mit einem Fehler fehl.
+ Die [AWS: :DynamoDB:: GlobalTable](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-dynamodb-globaltable.html) -Ressource unterstützt nicht das Erstellen eines Replikats und das Hinzufügen einer ressourcenbasierten Richtlinie zu diesem Replikat in demselben Stack-Update in anderen Regionen als der Region, in der Sie das Stack-Update bereitstellen.
**Kontoübergreifende Überlegungen**
+ Der kontenübergreifende Zugriff mithilfe ressourcenbasierter Richtlinien unterstützt keine verschlüsselten Tabellen mit AWS verwalteten Schlüsseln, da Sie keinen kontoübergreifenden Zugriff auf die verwaltete KMS-Richtlinie gewähren können. AWS
**CloudFormation Überlegungen**
+ Ressourcenbasierte Richtlinien bieten keine Unterstützung für die [Erkennung von Abweichungen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-stack-drift.html#). Wenn Sie eine ressourcenbasierte Richtlinie außerhalb der AWS CloudFormation Stack-Vorlage aktualisieren, müssen Sie den CloudFormation Stack mit den Änderungen aktualisieren.
+ Ressourcenbasierte Richtlinien unterstützen keine Out-of-Band-Änderungen. Wenn Sie eine Richtlinie außerhalb der CloudFormation Vorlage hinzufügen, aktualisieren oder löschen, wird die Änderung nicht überschrieben, sofern in der Vorlage keine Änderungen an der Richtlinie vorgenommen wurden.
Nehmen wir beispielsweise an, dass Ihre Vorlage eine ressourcenbasierte Richtlinie enthält, die Sie später außerhalb der Vorlage aktualisieren. Wenn Sie keine Änderungen an der Richtlinie in der Vorlage vornehmen, wird die aktualisierte Richtlinie in DynamoDB nicht mit der Richtlinie in der Vorlage synchronisiert.
Nehmen wir umgekehrt an, dass Ihre Vorlage keine ressourcenbasierte Richtlinie enthält, Sie aber eine Richtlinie außerhalb der Vorlage hinzufügen. Diese Richtlinie wird nicht aus DynamoDB entfernt, solange Sie sie nicht zur Vorlage hinzufügen. Wenn Sie der Vorlage eine Richtlinie hinzufügen und den Stack aktualisieren, wird die vorhandene Richtlinie in DynamoDB aktualisiert, sodass sie mit der in der Vorlage definierten Richtlinie übereinstimmt.
# Bewährte Methoden für ressourcenbasierte DynamoDB-Richtlinien
In diesem Thema werden die bewährten Methoden für die Definition von Zugriffsberechtigungen für Ihre DynamoDB-Ressourcen und die für diese Ressourcen zulässigen Aktionen beschrieben.
## Vereinfachen der Zugriffskontrolle auf DynamoDB-Ressourcen
Wenn die AWS Identity and Access Management Prinzipale, die Zugriff auf eine DynamoDB-Ressource benötigen, zu demselben gehören AWS-Konto wie der Ressourcenbesitzer, ist keine identitätsbasierte IAM-Richtlinie für jeden Prinzipal erforderlich. Eine ressourcenbasierte Richtlinie, die an die angegebenen Ressourcen angehängt ist, reicht aus. Diese Art der Konfiguration vereinfacht die Zugriffskontrolle.
## Schützen Ihrer DynamoDB-Ressourcen mit ressourcenbasierten Richtlinien
Erstellen Sie für alle DynamoDB-Tabellen und -Streams ressourcenbasierte Richtlinien, um die Zugriffskontrolle für diese Ressourcen durchzusetzen. Mit ressourcenbasierten Richtlinien können Sie Berechtigungen auf Ressourcenebene zentralisieren, die Zugriffskontrolle für DynamoDB-Tabellen, -Indizes und -Streams vereinfachen sowie den Verwaltungsaufwand reduzieren. Wenn keine ressourcenbasierte Richtlinie für eine Tabelle oder einen Stream angegeben ist, wird der Zugriff auf die Tabelle oder den Stream implizit verweigert, es sei denn, identitätsbasierte Richtlinien, die den IAM-Prinzipalen zugeordnet sind, lassen den Zugriff zu.
## Gewähren Sie die geringsten Berechtigungen
Wenn Sie Berechtigungen mit ressourcenbasierten Richtlinien für DynamoDB-Ressourcen festlegen, gewähren Sie nur die Berechtigungen, die zum Ausführen einer Aktion erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als die geringsten Berechtigungen. Sie können mit umfassenden Berechtigungen beginnen, während Sie die für Ihren Workload oder Anwendungsfall erforderlichen Berechtigungen untersuchen. Mit zunehmender Reife Ihres Anwendungsfalls können Sie daran arbeiten, die Berechtigungen zu reduzieren, die Sie gewähren, um auf die geringsten Berechtigungen hinzuarbeiten.
## Analysieren der kontoübergreifenden Zugriffsaktivität zum Generieren von Richtlinien mit der geringsten Berechtigung
IAM Access Analyzer meldet den kontoübergreifenden Zugriff auf externe Entitäten, die in ressourcenbasierten Richtlinien angegeben sind, und bietet Transparenz, damit Sie Ihre Berechtigungen eingrenzen und das Prinzip der geringsten Berechtigung einhalten können. Weitere Informationen zur Richtlinienerstellung finden Sie unter [IAM Access Analyzer Richtlinienerstellung](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html).
## Verwenden von IAM Access Analyzer zum Generieren von Richtlinien mit der geringsten Berechtigung
Um nur die zum Ausführen einer Aufgabe erforderlichen Berechtigungen zu erteilen, können Sie Richtlinien auf der Grundlage Ihrer in AWS CloudTrail protokollierten Zugriffsaktivitäten erstellen. IAM Access Analyzer analysiert die Services und Aktionen, die Ihre Richtlinien verwenden.