Anhängen einer ressourcenbasierten Richtlinie an einen DynamoDB-Stream - Amazon DynamoDB

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Anhängen einer ressourcenbasierten Richtlinie an einen DynamoDB-Stream

Sie können eine ressourcenbasierte Richtlinie an den Stream einer vorhandenen Tabelle anhängen oder eine vorhandene Richtlinie ändern, indem Sie die DynamoDB-Konsole, die PutResourcePolicyAPI AWS CLI, das AWS SDK oder eine Vorlage verwenden.CloudFormation

Anmerkung

Sie können eine Richtlinie nicht an einen Stream anhängen, während Sie ihn mit dem oder erstellen. CreateTableUpdateTable APIs Sie können eine Richtlinie jedoch ändern oder löschen, nachdem eine Tabelle gelöscht wurde. Sie können außerdem die Richtlinie eines deaktivierten Streams ändern oder löschen.

Im folgenden Beispiel für eine IAM-Richtlinie wird der put-resource-policy AWS CLI Befehl verwendet, um eine ressourcenbasierte Richtlinie an den Stream einer Tabelle mit dem Namen anzuhängen. MusicCollection In diesem Beispiel kann der Benutzer John die DescribeStreamAPI-Aktionen GetRecordsGetShardIterator, und im Stream ausführen.

Denken Sie daran, den italicized Text durch Ihre ressourcenspezifischen Informationen zu ersetzen.

aws dynamodb put-resource-policy \
    --resource-arn arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection/stream/2024-02-12T18:57:26.492 \
    --policy \
        "{
            \"Version\": \"2012-10-17\",		 	 	 
            \"Statement\": [
              {
                    \"Effect\": \"Allow\",
                    \"Principal\": {
                        \"AWS\": \"arn:aws:iam::111122223333:user/John\"
                    },
                    \"Action\": [
                        \"dynamodb:GetRecords\",
                        \"dynamodb:GetShardIterator\",
                        \"dynamodb:DescribeStream\"
                    ],
                    \"Resource\": \"arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection/stream/2024-02-12T18:57:26.492\"
                }
            ]
        }"

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die DynamoDB-Konsole unter. https://console.aws.amazon.com/dynamodb/

  2. Wählen Sie im Dashboard der DynamoDB-Konsole die Option Tabellen und dann eine vorhandene Tabelle aus.

    Vergewissern Sie sich, dass in der ausgewählten Tabelle Streams aktiviert sind. Hinweise zum Aktivieren von Streams für eine Tabelle finden Sie unter Aktivieren eines Streams.

  3. Wählen Sie die Registerkarte Berechtigungen.

  4. Wählen Sie unter Ressourcenbasierte Richtlinie für aktiven Stream die Option Stream-Richtlinie erstellen aus.

  5. Fügen Sie im Editor Ressourcenbasierte Richtlinie eine Richtlinie hinzu, um die Zugriffsberechtigungen für den Stream zu definieren. In dieser Richtlinie geben Sie an, wer Zugriff auf jede Ressource hat und welche Aktionen für jede Ressource ausgeführt werden dürfen. Um eine Richtlinie hinzuzufügen, gehen Sie wie folgt vor:

    • Geben oder fügen Sie ein JSON-Richtliniendokument ein. Einzelheiten zur Sprache der IAM-Richtlinien finden Sie unter Erstellen von Richtlinien mit dem JSON-Editor im IAM-Benutzerhandbuch.

      Tipp

      Beispiele für ressourcenbasierte Richtlinien finden Sie unter Beispiele für Richtlinien im Entwicklerhandbuch für Amazon DynamoDB.

    • Wählen Sie Neue Anweisung hinzufügen aus, um eine neue Anweisung hinzuzufügen, und geben Sie die Informationen in die bereitgestellten Felder ein. Wiederholen Sie diesen Vorgang für so viele Anweisungen, wie Sie hinzufügen möchten.

    Wichtig

    Beheben Sie mögliche Sicherheitswarnungen, Fehler und Vorschläge, bevor Sie die Richtlinie speichern.

  6. (Optional) Wählen Sie unten rechts Preview external access (Vorschau des externen Zugriffs) aus, um eine Vorschau anzuzeigen, wie sich Ihre neue Richtlinie auf den öffentlichen und kontoübergreifenden Zugriff auf Ihre Ressource auswirkt. Bevor Sie Ihre Richtlinie speichern, können Sie überprüfen, ob sie neue IAM-Access-Analyzer-Ergebnisse einführt oder vorhandene Ergebnisse löst. Wenn Sie keinen aktiven Analyzer sehen, wählen Sie Go to Access Analyzer (Zu Access Analyzer wechseln) aus, um einen Account Analyzer in IAM Access Analyzer zu erstellen. Weitere Informationen finden Sie unter Vorschau des Zugriffs.

  7. Wählen Sie Richtlinie erstellen aus.

Im folgenden Beispiel für eine IAM-Richtlinie wird eine ressourcenbasierte Richtlinie an den Stream einer Tabelle mit dem Namen angehängt. MusicCollection In diesem Beispiel kann der Benutzer John die DescribeStreamAPI-Aktionen GetRecordsGetShardIterator, und im Stream ausführen.

Denken Sie daran, den italicized Text durch Ihre ressourcenspezifischen Informationen zu ersetzen.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:user/username"
      },
      "Action": [
        "dynamodb:GetRecords",
        "dynamodb:GetShardIterator",
        "dynamodb:DescribeStream"
      ],
      "Resource": [
        "arn:aws:dynamodb:us-east-1:123456789012:table/MusicCollection/stream/2024-02-12T18:57:26.492"
      ]
    }
  ]
}