Verwenden von identitätsbasierten Richtlinien mit Amazon DynamoDB
Dieses Thema deckt das Verwenden von identitätsbasierten-AWS Identity and Access Management (IAM)-Richtlinien mit Amazon DynamoDB ab und bietet Beispiele. Die folgenden Beispiele zu identitätsbasierten Richtlinien verdeutlichen, wie ein Kontoadministrator IAM-Identitäten (d.h. Benutzern, Gruppen und Rollen) Berechtigungsrichtlinien zuweisen und somit Berechtigungen zum Durchführen von Operationen an Amazon-DynamoDB-Ressourcen erteilen kann.
Dieses Thema besteht aus folgenden Abschnitten:
Nachstehend finden Sie ein Beispiel für eine Berechtigungsrichtlinie.
Die Richtlinie verfügt über eine Anweisung für die Erteilung von Berechtigungen für drei DynamoDB-Aktionen (dynamodb:DescribeTable, dynamodb:Query, und dynamodb:Scan) in einer Tabelle in der us-west-2 AWS Region, die dem AWS-Konto gehört, das anhand von account-idResource-Wert gibt die Tabelle an, für die die Berechtigungen zutreffen.
Erforderliche IAM-Berechtigungen für die Verwendung der Amazon-DynamoDB-Konsole
Damit Benutzer mit der DynamoDB-Konsole arbeiten können, müssen diese über eine Mindestmenge an Berechtigungen verfügen, die es ihnen erlauben, mit anderen DynamoDB-Ressourcen in ihrem AWS-Konto zu arbeiten. Zusätzlich zu diesen DynamoDB-Berechtigungen erfordert die Konsole Berechtigungen von den folgenden Services:
-
Amazon-CloudWatch-Berechtigungen zum Anzeigen von Metriken und Diagrammen.
-
AWS Data Pipeline-Berechtigungen zum Exportieren und Importieren von DynamoDB-Daten.
-
AWS Identity and Access Management-Berechtigungen für den Zugriff auf Rollen, die erforderlich für Importe und Exporte sind.
-
Amazon-Simple-Notification-Service-Berechtigungen, die Sie benachrichtigen, wenn ein CloudWatch-Alarm ausgelöst wird.
-
AWS Lambda-Berechtigungen zum Verarbeiten von DynamoDB-Streams-Datensätzen.
Wenn Sie eine IAM-Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Benutzer mit dieser IAM-Richtlinie. Um sicherzustellen, dass diese Benutzer die DynamoDB-Konsole weiterhin verwenden können, fügen Sie dem Benutzer auch die AmazonDynamoDBReadOnlyAccessAWSverwaltete Richtlinie an. Einzelheiten dazu finden Sie unter Von AWS verwaltete (vordefinierte) IAM-Richtlinien für Amazon DynamoDB.
Für Benutzer, die nur Aufrufe an die AWS CLI oder Amazon-DynamoDB-API durchführen, müssen Sie keine Mindestberechtigungen in der Konsole erteilen.
Anmerkung
Wenn Sie auf einen VPC-Endpunkt verweisen, müssen Sie auch den DescribeEndPoints-API-Aufruf für den/die anfragenden IAM-Prinzipal(e) mit der IAM-Aktion (dynamoDB:DescribeEndPoints) autorisieren. Weitere Informationen finden Sie unter Erforderliche Richtlinie für Endpunkte.
Von AWS verwaltete (vordefinierte) IAM-Richtlinien für Amazon DynamoDB
AWS adressiert einige häufige Anwendungsfälle durch die Bereitstellung eigenständiger IAM-Richtlinien, die von AWS erstellt und verwaltet werden. Diese AWS verwalteten Richtlinien erteilen die erforderlichen Berechtigungen für viele häufige Anwendungsfälle, sodass Sie nicht mühsam ermitteln müssen, welche Berechtigungen erforderlich sind. Weitere Informationen finden Sie unter AWS-verwaltete Richtlinien im IAM-Benutzerhandbuch.
Die folgenden AWS-verwalteten Richtlinien, die Sie Benutzern in Ihrem Konto anfügen können, gelten für DynamoDB und sind nach Anwendungsfallszenarien gruppiert:
-
AmazonDynamoDBReadOnlyAccess – Gewährt schreibgeschützten Zugriff auf DynamoDB-Ressourcen durch die AWS Management Console.
-
AmazonDynamoDBFullAccess – Gewährt vollständigen Zugriff auf DynamoDB-Ressourcen durch die AWS Management Console.
Sie können diese von AWS verwalteten Berechtigungsrichtlinien prüfen, indem Sie sich bei der IAM-Konsole anmelden und dort nach bestimmten Richtlinien suchen.
Wichtig
Die bewährte Methode besteht darin, benutzerdefinierte IAM-Richtlinien zu erstellen, die den Benutzern, Rollen oder Gruppen, die diese Berechtigungen benötigen, die geringste Berechtigung gewähren.
Beispiele für vom Kunden verwaltete Richtlinien
In diesem Abschnitt finden Sie Beispiele für Benutzerrichtlinien, die Berechtigungen für verschiedene DynamoDB-Aktionen gewähren. Diese Richtlinien sind nur wirksam, wenn Sie AWS-SDKs oder die AWS CLI verwenden. Wenn Sie die Konsole verwenden, müssen Sie zusätzliche konsolenspezifische Berechtigungen erteilen. Weitere Informationen finden Sie unter Erforderliche IAM-Berechtigungen für die Verwendung der Amazon-DynamoDB-Konsole.
Anmerkung
In allen folgenden Richtlinienbeispielen verwendet eine der AWS-Regionen und fiktive Konto-IDs und Tabellennamen.
Beispiele:
-
IAM-Richtlinie zum Erteilen von Berechtigungen für alle DynamoDB-Aktionen in einer Tabelle
-
IAM-Richtlinie zum Erteilen des Zugriffs auf eine bestimmte DynamoDB-Tabelle und ihre Indizes
-
IAM-Richtlinie zum Trennen von DynamoDB-Umgebungen in demselben AWS-Konto
-
IAM-Richtlinie zum Verhindern des Erwerbs von reservierter DynamoDB-Kapazität
-
IAM-Richtlinie zum Gewähren von Lesezugriff für einen DynamoDB Stream (nicht für die Tabelle)
-
IAM-Richtlinie zum Zulassen einer AWS Lambda-Funktion für den Zugriff auf DynamoDB-Stream-Datensätze
-
IAM-Richtlinie für Lese- und Schreibzugriff auf einen DynamoDB-Accelerator-(DAX)-Cluster
Das IAM-Benutzerhandbuch umfasst drei zusätzliche DynamoDB-Beispiele:
