Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden von IAM mit DynamoDB-Backup und -Wiederherstellung
Sie können AWS Identity and Access Management (IAM) verwenden, um die Sicherungs- und Wiederherstellungsaktionen von Amazon DynamoDB für einige Ressourcen einzuschränken. Die `CreateBackup` und werden für `RestoreTableFromBackup` APIs jede Tabelle einzeln ausgeführt.
Weitere Informationen zur Verwendung der IAM-Richtlinien in DynamoDB finden Sie unter [Identitätsbasierte Richtlinien für DynamoDB](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies).
Es folgen Beispiele für die IAM-Richtlinien, die Sie zum Konfigurieren bestimmter Backup- und Wiederherstellungsfunktionen in DynamoDB verwenden können.
## Beispiel 1: Die Aktionen CreateBackup und RestoreTableFromBackup zulassen
Mit der folgenden IAM-Richtlinie werden die Berechtigungen zum Zulassen der DynamoDB-Aktionen `CreateBackup` und `RestoreTableFromBackup` für alle Tabellen erteilt:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dynamodb:CreateBackup",
"dynamodb:RestoreTableFromBackup",
"dynamodb:PutItem",
"dynamodb:UpdateItem",
"dynamodb:DeleteItem",
"dynamodb:GetItem",
"dynamodb:Query",
"dynamodb:Scan",
"dynamodb:BatchWriteItem"
],
"Resource": "*"
}
]
}
```
------
**Wichtig**
RestoreTableFromBackup DynamoDB-Berechtigungen sind für das Quell-Backup erforderlich, und DynamoDB-Lese- und Schreibberechtigungen für die Zieltabelle sind für die Wiederherstellungsfunktion erforderlich.
RestoreTableToPointInTime DynamoDB-Berechtigungen sind für die Quelltabelle erforderlich, und DynamoDB-Lese- und Schreibberechtigungen für die Zieltabelle sind für die Wiederherstellungsfunktion erforderlich.
## Beispiel 2: Zulassen und Verweigern CreateBackup RestoreTableFromBackup
Mit der folgenden IAM-Richtlinie werden die Berechtigungen für die Aktion `CreateBackup` erteilt und für die Aktion `RestoreTableFromBackup` verweigert:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["dynamodb:CreateBackup"],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": ["dynamodb:RestoreTableFromBackup"],
"Resource": "*"
}
]
}
```
------
## Beispiel 3: Zulassen ListBackups und verweigern CreateBackup und RestoreTableFromBackup
Mit der folgenden IAM-Richtlinie werden die Berechtigungen für die Aktion `ListBackups` erteilt und für die Aktionen `CreateBackup` und `RestoreTableFromBackup` verweigert:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["dynamodb:ListBackups"],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"dynamodb:CreateBackup",
"dynamodb:RestoreTableFromBackup"
],
"Resource": "*"
}
]
}
```
------
## Beispiel 4: Zulassen ListBackups und Verweigern DeleteBackup
Mit der folgenden IAM-Richtlinie werden die Berechtigungen für die Aktion `ListBackups` erteilt und für die Aktion `DeleteBackup` verweigert:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["dynamodb:ListBackups"],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": ["dynamodb:DeleteBackup"],
"Resource": "*"
}
]
}
```
------
## Beispiel 5: Zulassen RestoreTableFromBackup und DescribeBackup für alle Ressourcen und Verweigern DeleteBackup für ein bestimmtes Backup
Mit der folgenden IAM-Richtlinie werden die Berechtigungen für die Aktionen `RestoreTableFromBackup` und `DescribeBackup` erteilt und die Aktion `DeleteBackup` für eine bestimmte Backupressource abgelehnt:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dynamodb:DescribeBackup",
"dynamodb:RestoreTableFromBackup"
],
"Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/Music/backup/01489173575360-b308cd7d"
},
{
"Effect": "Allow",
"Action": [
"dynamodb:PutItem",
"dynamodb:UpdateItem",
"dynamodb:DeleteItem",
"dynamodb:GetItem",
"dynamodb:Query",
"dynamodb:Scan",
"dynamodb:BatchWriteItem"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"dynamodb:DeleteBackup"
],
"Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/Music/backup/01489173575360-b308cd7d"
}
]
}
```
------
**Wichtig**
RestoreTableFromBackup DynamoDB-Berechtigungen sind für das Quell-Backup erforderlich, und DynamoDB-Lese- und Schreibberechtigungen für die Zieltabelle sind für die Wiederherstellungsfunktion erforderlich.
RestoreTableToPointInTime DynamoDB-Berechtigungen sind für die Quelltabelle erforderlich, und DynamoDB-Lese- und Schreibberechtigungen für die Zieltabelle sind für die Wiederherstellungsfunktion erforderlich.
## Beispiel 6: Erlauben Sie eine bestimmte Tabelle CreateBackup
Mit der folgenden IAM-Richtlinie werden die Berechtigungen für die Aktion `CreateBackup` nur für die Tabelle `Movies` erteilt:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["dynamodb:CreateBackup"],
"Resource": [
"arn:aws:dynamodb:us-east-1:123456789012:table/Movies"
]
}
]
}
```
------
## Beispiel 7: Zulassen ListBackups
Die folgende IAM-Richtlinie erteilt Berechtigungen für die `ListBackups` Aktion:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["dynamodb:ListBackups"],
"Resource": "*"
}
]
}
```
------
**Wichtig**
Sie können keine Berechtigungen für die Aktion `ListBackups` für eine bestimmte Tabelle erteilen.
## Beispiel 8: Zugriff auf AWS Backup Funktionen zulassen
Sie benötigen API-Berechtigungen für die `StartAwsBackupJob`-Aktion für ein erfolgreiches Backup mit erweiterten Funktionen und die `dynamodb:RestoreTableFromAwsBackup`-Aktion, um dieses Backup erfolgreich wiederherzustellen.
Die folgende IAM-Richtlinie gewährt AWS Backup die Berechtigungen zum Auslösen von Backups mit erweiterten Funktionen und Wiederherstellungen. Beachten Sie auch, dass die Richtlinie Zugriff auf den [AWS -KMS-Schlüssel](encryption.usagenotes.html#dynamodb-kms-authz) benötigt, wenn die Tabellen verschlüsselt sind.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DescribeQueryScanBooksTable",
"Effect": "Allow",
"Action": [
"dynamodb:StartAwsBackupJob",
"dynamodb:DescribeTable",
"dynamodb:Query",
"dynamodb:Scan"
],
"Resource": "arn:aws:dynamodb:us-west-2:111122223333:table/Books"
},
{
"Sid": "AllowRestoreFromAwsBackup",
"Effect": "Allow",
"Action": [
"dynamodb:RestoreTableFromAwsBackup"
],
"Resource": "*"
}
]
}
```
------
## Beispiel 9: RestoreTableToPointInTime Für eine bestimmte Quelltabelle verweigern
Die folgende IAM-Richtlinie verweigert Berechtigungen für die Aktion `RestoreTableToPointInTime` für eine bestimmte Quelltabelle:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"dynamodb:RestoreTableToPointInTime"
],
"Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/Music"
}
]
}
```
------
## Beispiel 10: Alle Backups für eine bestimmte Quelltabelle ablehnen RestoreTableFromBackup
Die folgende IAM-Richtlinie verweigert Berechtigungen für die Aktion `RestoreTableToPointInTime` für alle Backups für eine bestimmte Quelltabelle:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"dynamodb:RestoreTableFromBackup"
],
"Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/Music/backup/*"
}
]
}
```
------