Verwendung von IAM-Richtlinien für Amazon Kinesis Data Streams und Amazon DynamoDB - Amazon DynamoDB
Beispiel: Aktivieren von Amazon Kinesis Data Streams für Amazon DynamoDBBeispiel: Aktualisieren von Amazon Kinesis Data Streams für Amazon DynamoDBBeispiel: Deaktivieren von Amazon Kinesis Data Streams für Amazon DynamoDBBeispiel: Selektives Anwenden von Berechtigungen für Amazon Kinesis Data Streams für Amazon DynamoDB basierend auf RessourceVerwenden von serviceverknüpften Rollen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung von IAM-Richtlinien für Amazon Kinesis Data Streams und Amazon DynamoDB

Wenn Sie Amazon Kinesis Data Streams für Amazon DynamoDB zum ersten Mal aktivieren, erstellt DynamoDB automatisch eine AWS Identity and Access Management (IAM) -Serviceverknüpfte Rolle für Sie. Diese Rolle AWSServiceRoleForDynamoDBKinesisDataStreamsReplication ermöglicht DynamoDB, die Replikation von Änderungen auf Elementebene in Kinesis Data Streams in Ihrem Auftrag zu verwalten. Löschen Sie diese serviceverknüpfte Rolle nicht.

Weitere Informationen zu serviceverknüpften Rollen finden Sie unter Verwenden serviceverknüpfter Rollen im IAM-Benutzerhandbuch.

Anmerkung

DynamoDB unterstützt keine Tag-basierten Bedingungen für IAM-Richtlinien.

Damit Sie Amazon Kinesis Data Streams für Amazon DynamoDB aktivieren können, benötigen Sie die folgenden Berechtigungen für die Tabelle:

  • dynamodb:EnableKinesisStreamingDestination

  • kinesis:ListStreams

  • kinesis:PutRecords

  • kinesis:DescribeStream

Wenn Sie Amazon Kinesis Data Streams für Amazon DynamoDB für eine bestimmte DynamoDB-Tabelle beschreiben möchten, benötigen Sie die folgenden Berechtigungen für die Tabelle.

  • dynamodb:DescribeKinesisStreamingDestination

  • kinesis:DescribeStreamSummary

  • kinesis:DescribeStream

Damit Sie Amazon Kinesis Data Streams für Amazon DynamoDB deaktivieren können, benötigen Sie die folgenden Berechtigungen für die Tabelle.

  • dynamodb:DisableKinesisStreamingDestination

Damit Sie Amazon Kinesis Data Streams für Amazon DynamoDB aktualisieren können, benötigen Sie die folgenden Berechtigungen für die Tabelle.

  • dynamodb:UpdateKinesisStreamingDestination

Die folgenden Beispiele zeigen, wie IAM-Richtlinien verwendet werden, um Berechtigungen für Amazon Kinesis Data Streams für Amazon DynamoDB zu erteilen.

Beispiel: Aktivieren von Amazon Kinesis Data Streams für Amazon DynamoDB

Über die folgende IAM-Richtlinie werden die nötigen Berechtigungen eingeräumt, um Amazon Kinesis Data Streams für Amazon DynamoDB für die Music-Tabelle zu aktivieren. Sie gewährt keine Berechtigungen zum Deaktivieren, Aktualisieren oder Beschreiben von Kinesis Data Streams for DynamoDB für die Music-Tabelle.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/kinesisreplication.dynamodb.amazonaws.com/AWSServiceRoleForDynamoDBKinesisDataStreamsReplication",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "kinesisreplication.dynamodb.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:EnableKinesisStreamingDestination"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:111122223333:table/Music"
        }
    ]
}

Beispiel: Aktualisieren von Amazon Kinesis Data Streams für Amazon DynamoDB

Über die folgende IAM-Richtlinie werden die nötigen Berechtigungen eingeräumt, um Amazon Kinesis Data Streams für Amazon DynamoDB für die Music-Tabelle zu aktualisieren. Sie gewährt keine Berechtigungen zum Aktivieren, Deaktivieren oder Beschreiben von Amazon Kinesis Data Streams für Amazon DynamoDB für die Music-Tabelle.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:UpdateKinesisStreamingDestination"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:111122223333:table/Music"
        }
    ]
}

Beispiel: Deaktivieren von Amazon Kinesis Data Streams für Amazon DynamoDB

Über die folgende IAM-Richtlinie werden die nötigen Berechtigungen eingeräumt, um Amazon Kinesis Data Streams für Amazon DynamoDB für die Music-Tabelle zu deaktivieren. Sie gewährt keine Berechtigungen zum Aktivieren, Aktualisieren oder Beschreiben von Amazon Kinesis Data Streams für Amazon DynamoDB für die Music-Tabelle.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:DisableKinesisStreamingDestination"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:111122223333:table/Music"
        }
    ]
}

Beispiel: Selektives Anwenden von Berechtigungen für Amazon Kinesis Data Streams für Amazon DynamoDB basierend auf Ressource

Über die folgende IAM-Richtlinie werden Berechtigungen zum Aktivieren und Beschreiben von Amazon Kinesis Data Streams für Amazon DynamoDB für die Music-Tabelle eingeräumt und Berechtigungen zum Deaktivieren von Amazon Kinesis Data Streams für Amazon DynamoDB für die Tabelle Orders verweigert.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:EnableKinesisStreamingDestination",
                "dynamodb:DescribeKinesisStreamingDestination"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:111122223333:table/Music"
        },
        {
            "Effect": "Deny",
            "Action": [
                "dynamodb:DisableKinesisStreamingDestination"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:111122223333:table/Orders"
        }
    ]
}

Verwenden von serviceverknüpften Rollen für Kinesis Data Streams für DynamoDB

Amazon Kinesis Data Streams für Amazon DynamoDB verwendet AWS Identity and Access Management (IAM) service-verknüpfte Rollen. Eine serviceverknüpfte Rolle ist ein spezieller Typ einer IAM-Rolle, die direkt mit Kinesis Data Streams für DynamoDB verknüpft ist. Dienstbezogene Rollen sind von Kinesis Data Streams for DynamoDB vordefiniert und beinhalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.

Eine serviceverknüpfte Rolle vereinfacht das Einrichten von Kinesis Data Streams für DynamoDB, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Kinesis Data Streams für DynamoDB definiert die Berechtigungen seiner serviceverknüpften Rollen. Sofern keine andere Einstellung festgelegt wurde, können nur Kinesis Data Streams für DynamoDB die Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.

Informationen zu anderen Services, die serviceverknüpften Rollen unterstützen, finden Sie unter AWS -Services, die mit IAM funktionieren. Suchen Sie nach den Services, für die Ja in der Spalte Serviceverknüpfte Rolle angegeben ist. Wählen Sie über einen Link Yes (Ja) aus, um die Dokumentation zu einer servicegebundenen Rolle für diesen Service anzuzeigen.

Berechtigungen von serviceverknüpften Rollen für Kinesis Data Streams für DynamoDB

Kinesis Data Streams for DynamoDB verwendet die mit dem Service verknüpfte Rolle namens. AWSServiceRoleForDynamoDBKinesisDataStreamsReplication Die serviceverknüpfte Rolle ermöglicht es Amazon DynamoDB, in Ihrem Namen die Replikation von Änderungen auf Elementebene in Kinesis Data Streams zu verwalten.

Die serviceverknüpfte Rolle AWSServiceRoleForDynamoDBKinesisDataStreamsReplication vertraut darauf, dass die folgenden Services die Rolle annehmen:

  • kinesisreplication.dynamodb.amazonaws.com

Die Richtlinie für Rollenberechtigungen erlaubt Kinesis Data Streams für DynamoDB die folgenden Aktionen auf den angegebenen Ressourcen durchzuführen:

  • Aktion: Put records and describe für Kinesis stream

  • Aktion: Generate data keys aktiviert, um Daten AWS KMS in Kinesis-Streams zu speichern, die mit benutzergenerierten AWS KMS Schlüsseln verschlüsselt sind.

Den genauen Inhalt des Richtliniendokuments finden Sie unter Dynamo. DBKinesis ReplicationServiceRolePolicy

Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter serviceverknüpfte Rollenberechtigungen im IAM-Benutzerhandbuch.

Erstellen einer serviceverknüpften Rolle für Kinesis Data Streams für DynamoDB

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie Kinesis Data Streams for DynamoDB in der AWS-Managementkonsole, der oder der AWS API aktivieren, erstellt Kinesis Data Streams for DynamoDB die serviceverknüpfte Rolle für Sie. AWS CLI

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie Kinesis Data Streams für DynamoDB aktivieren, erstellt Kinesis Data Streams für DynamoDB die serviceverknüpfte Rolle erneut für Sie.

Bearbeiten einer serviceverknüpften Rolle für Kinesis Data Streams für DynamoDB

Kinesis Data Streams für DynamoDB ermöglicht es Ihnen nicht, die mit der AWSServiceRoleForDynamoDBKinesisDataStreamsReplication serviceverknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Löschen einer serviceverknüpften Rolle für Kinesis Data Streams für DynamoDB

Sie können auch die IAM-Konsole, die AWS CLI oder die API verwenden, um die serviceverknüpfte Rolle manuell zu löschen AWS . Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zuerst manuell bereinigen, bevor Sie diese manuell löschen können.

Anmerkung

Wenn der Kinesis Data Streams für DynamoDB-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

So löschen Sie die serviceverknüpfte Rolle mit IAM

Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die serviceverknüpfte Rolle zu löschen. AWSServiceRoleForDynamoDBKinesisDataStreamsReplication Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Leitfaden.