Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiele für ressourcenbasierte DynamoDB-Richtlinien
Wenn Sie im Feld Resource einer ressourcenbasierten Richtlinie einen ARN angeben, wird die Richtlinie nur wirksam, wenn der angegebene ARN mit dem ARN der DynamoDB-Ressource übereinstimmt, an die er angehängt ist.
Anmerkung
Denken Sie daran, den italicized Text durch Ihre ressourcenspezifischen Informationen zu ersetzen.
Ressourcenbasierte Richtlinie für eine Tabelle
Die folgende ressourcenbasierte Richtlinie, die an eine DynamoDB-Tabelle mit dem Namen angehängt istMusicCollection, erteilt den IAM-Benutzern John die Jane Berechtigung, Aktionen auf der Ressource auszuführen GetItem. BatchGetItemMusicCollection
Ressourcenbasierte Richtlinie für einen Stream
Die folgende ressourcenbasierte Richtlinie, die an einen DynamoDB-Stream mit dem Namen angehängt ist, 2024-02-12T18:57:26.492 erteilt den IAM-Benutzern die Jane Berechtigung GetRecords,, GetShardIterator, John und DescribeStreamAPI-Aktionen auf der Ressource durchzuführen. 2024-02-12T18:57:26.492
Ressourcenbasierte Richtlinie für den Zugriff zur Ausführung aller Aktionen für bestimmte Ressourcen
Damit ein Benutzer alle Aktionen für eine Tabelle und alle zugehörigen Indizes mit einer Tabelle ausführen kann, können Sie einen Platzhalter (*) verwenden, um die mit der Tabelle verknüpften Aktionen und Ressourcen darzustellen. Die Verwendung eines Platzhalterzeichens für die Ressourcen ermöglicht dem Benutzer den Zugriff auf die DynamoDB-Tabelle und alle zugehörigen Indizes, einschließlich der Indizes, die noch nicht erstellt wurden. Die folgende Richtlinie gibt dem Benutzer beispielsweise die John Erlaubnis, alle Aktionen an der MusicCollection Tabelle und all ihren Indizes durchzuführen, einschließlich aller Indizes, die in future erstellt werden.
Ressourcenbasierte Richtlinie für kontoübergreifenden Zugriff
Sie können Berechtigungen für eine kontoübergreifende IAM-Identität für den Zugriff auf DynamoDB-Ressourcen angeben. Beispielsweise benötigen Sie möglicherweise einen Benutzer mit einem vertrauenswürdigen Konto, um Lesezugriff auf den Inhalt Ihrer Tabelle zu erhalten, unter der Bedingung, dass er nur auf bestimmte Elemente und bestimmte Attribute in diesen Elementen zugreift. Die folgende Richtlinie ermöglicht Benutzern John über eine vertrauenswürdige AWS-Konto ID 111111111111 den Zugriff auf Daten aus einer Tabelle im Konto 123456789012 mithilfe der GetItemAPI. Die Richtlinie stellt sicher, dass der Benutzer nur auf Elemente mit einem Primärschlüssel zugreifen kann Jane und dass der Benutzer nur die Attribute Artist undSongTitle, aber keine anderen Attribute abrufen kann.
Wichtig
Wenn Sie die SPECIFIC_ATTRIBUTES-Bedingung nicht angeben, werden Ihnen alle Attribute für die zurückgegebenen Elemente angezeigt.
Zusätzlich zur vorherigen ressourcenbasierten Richtlinie muss die dem Benutzer zugeordnete identitätsbasierte Richtlinie John auch die GetItem API-Aktion ermöglichen, damit der kontoübergreifende Zugriff funktioniert. Im Folgenden finden Sie ein Beispiel für eine identitätsbasierte Richtlinie, die Sie dem Benutzer zuordnen müssen. John
Der Benutzer John kann eine GetItem Anfrage stellen, indem er den Tabellen-ARN im table-name Parameter für den Zugriff auf die Tabelle MusicCollection im Konto angibt123456789012.
aws dynamodb get-item \ --table-name arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection\ --key '{"Artist": {"S": "Jane"}' \ --projection-expression 'Artist, SongTitle' \ --return-consumed-capacity TOTAL
Ressourcenbasierte Richtlinie mit Bedingungen für die IP-Adresse
Sie können eine Bedingung anwenden, um Quell-IP-Adressen, virtuelle private Clouds (VPCs) und VPC-Endpunkte (VPCE) einzuschränken. Sie können Berechtigungen auf der Grundlage der Quelladressen der ursprünglichen Anforderung angeben. Angenommen, Sie möchten einem Benutzer nur dann Zugriff auf DynamoDB-Ressourcen gewähren, wenn von einer bestimmten IP-Quelle aus darauf zugegriffen wird, z. B. von einem Unternehmens-VPN-Endpunkt. Geben Sie diese IP-Adressen in der Condition-Anweisung an.
Das folgende Beispiel ermöglicht dem Benutzer den John Zugriff auf jede DynamoDB-Ressource, wenn die Quelle IPs und ist. 54.240.143.0/24 2001:DB8:1234:5678::/64
Sie können auch jeglichen Zugriff auf DynamoDB-Ressourcen verweigern, es sei denn, die Quelle ist beispielsweise ein bestimmter VPC-Endpunkt. vpce-1a2b3c4d
Wichtig
Wenn Sie DAX mit DynamoDB-Tabellen verwenden, die IP-basierte Ressourcenrichtlinien in IPv6 reinen Umgebungen haben, müssen Sie zusätzliche Zugriffsregeln konfigurieren. Wenn Ihre Ressourcenrichtlinie den Zugriff auf den IPv4 Adressraum 0.0.0.0/0 in Tabellen einschränkt, müssen Sie den Zugriff für die mit Ihrem DAX-Cluster verknüpfte IAM-Rolle zulassen. Fügen Sie Ihrer Richtlinie eine ArnNotEquals Bedingung hinzu, um sicherzustellen, dass DAX den Zugriff auf Ihre DynamoDB-Tabellen beibehält. Weitere Informationen finden Sie unter DAX und. IPv6
Ressourcenbasierte Richtlinie mit einer IAM-Rolle
Sie können auch eine IAM-Servicerolle in der ressourcenbasierten Richtlinie angeben. IAM-Entitäten, die diese Rolle übernehmen, sind an die für die Rolle angegebenen zulässigen Aktionen und an die spezifische Gruppe von Ressourcen innerhalb der ressourcenbasierten Richtlinie gebunden.
Das folgende Beispiel ermöglicht es einer IAM-Entität, alle DynamoDB-Aktionen auf den MusicCollection und MusicCollection DynamoDB-Ressourcen durchzuführen.
