Politique IAM pour accorder un accès en lecture pour un flux DynamoDB uniquement (pas pour la table) - Amazon DynamoDB

Politique IAM pour accorder un accès en lecture pour un flux DynamoDB uniquement (pas pour la table)

Lorsque vous activez DynamoDB Streams sur une table, des informations sont capturées sur chaque modification apportée à des éléments dans celle-ci. Pour en savoir plus, consultez Modifier la récupération de données pour DynamoDB Streams.

Dans certains cas, vous pouvez être amené à empêcher une application de lire les données d’une table DynamoDB, tout en autorisant l’accès aux flux de celle-ci. Par exemple, vous pouvez configurer AWS Lambda pour interroger le flux et appeler une fonction Lambda lorsque des mises à jour d’élément sont détectées, puis effectuer un traitement supplémentaire.

Les actions suivantes sont disponibles pour contrôler l’accès à DynamoDB Streams :

  • dynamodb:DescribeStream

  • dynamodb:GetRecords

  • dynamodb:GetShardIterator

  • dynamodb:ListStreams

L’exemple de politique suivant accorde aux utilisateurs des autorisations d’accès aux flux d’une table nommée GameScores. Le caractère générique final (*) dans l’ARN correspond à tout flux associé à la table.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AccessGameScoresStreamOnly",
            "Effect": "Allow",
            "Action": [
                "dynamodb:DescribeStream",
                "dynamodb:GetRecords",
                "dynamodb:GetShardIterator",
                "dynamodb:ListStreams"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/GameScores/stream/*"
        }
    ]
}

Notez que cette politique donne accès aux flux de la table GameScores, mais pas à la table proprement dite.