IAM-Richtlinie zum Verhindern des Erwerbs von reservierter DynamoDB-Kapazität - Amazon-DynamoDB

IAM-Richtlinie zum Verhindern des Erwerbs von reservierter DynamoDB-Kapazität

Mit Amazon DynamoDBs reservierter Kapazität bezahlen Sie im Vorfeld eine einmalige Gebühr und verpflichten sich zur Zahlung für eine Mindestnutzung während eines bestimmten Zeitraums mit erheblichen Einsparungen. Sie können die AWS Management Console verwenden, um reservierte Kapazität anzuzeigen und zu erwerben. Möglicherweise möchten Sie jedoch nicht, dass alle Benutzer in Ihrer Organisation reservierte Kapazität erwerben können. Weitere Informationen über reservierte Kapazität finden Sie unter Amazon DynamoDB.

DynamoDB bietet die folgenden API-Operationen für die Steuerung des Zugriffs auf das reservierte Kapazitätsmanagement:

  • dynamodb:DescribeReservedCapacity – gibt die Käufe der reservierten Kapazität zurück, die momentan bestehen

  • dynamodb:DescribeReservedCapacityOfferings – gibt Details über die Pläne der reservierten Kapazität zurück, die momentan von AWS angeboten werden.

  • dynamodb:PurchaseReservedCapacityOfferings – führt einen tatsächlichen Kauf von reservierter Kapazität durch

Die AWS Management Console verwendet diese API-Aktionen, um Informationen zu reservierter Kapazität anzuzeigen und Käufe zu tätigen. Sie können diese Operationen nicht von einem Anwendungsprogramm abrufen, da sie nur über die Konsole aufgerufen werden können. Sie können jedoch den Zugriff auf diese Operationen in einer IAM-Berechtigungsrichtlinie zulassen oder verweigern.

Mit der folgenden Richtlinie können Benutzer reservierte Kapazitätsangebote und aktuelle Käufe mithilfe der AWS Management Console anzeigen lassen – neue Käufe werden jedoch verweigert.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowReservedCapacityDescriptions",
            "Effect": "Allow",
            "Action": [
                "dynamodb:DescribeReservedCapacity",
                "dynamodb:DescribeReservedCapacityOfferings"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:123456789012:*"
        },
        {
            "Sid": "DenyReservedCapacityPurchases",
            "Effect": "Deny",
            "Action": "dynamodb:PurchaseReservedCapacityOfferings",
            "Resource": "arn:aws:dynamodb:us-west-2:123456789012:*"
        }
    ]
}

Beachten Sie, dass diese Richtlinie das Platzhalterzeichen (*) verwendet, um Beschreibungsberechtigungen für alle, zu ermöglichen und den Kauf von reservierter DynamoDB-Kapazität für alle zu verweigern.