Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Utilisation de politiques IAM personnalisées pour Amazon Kinesis Data Streams et Amazon DynamoDB
<a name="kds_iam"></a>

La première fois que vous activez Amazon Kinesis Data Streams pour Amazon DynamoDB, DynamoDB crée automatiquement Gestion des identités et des accès AWS un rôle lié à un service (IAM) pour vous. Ce rôle, `AWSServiceRoleForDynamoDBKinesisDataStreamsReplication`, permet à DynamoDB de gérer pour vous la réplication des modifications au niveau élément dans Kinesis Data Streams. Ne supprimez pas ce rôle lié à un service.

Pour en savoir plus sur l’utilisation des rôles liés à un service, consultez [Utilisation des rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) dans le *Guide de l’utilisateur IAM*.

**Note**  
DynamoDB ne prend pas en charge les conditions basées sur une balise pour les politiques IAM.

Pour activer Amazon Kinesis Data Streams pour Amazon DynamoDB, vous devez disposer des autorisations suivantes sur la table.
+ `dynamodb:EnableKinesisStreamingDestination`
+ `kinesis:ListStreams`
+ `kinesis:PutRecords`
+ `kinesis:DescribeStream`

Pour décrire Amazon Kinesis Data Streams pour Amazon DynamoDB pour une table DynamoDB donnée, vous devez disposer des autorisations suivantes sur la table.
+ `dynamodb:DescribeKinesisStreamingDestination`
+ `kinesis:DescribeStreamSummary`
+ `kinesis:DescribeStream`

Pour désactiver Amazon Kinesis Data Streams pour Amazon DynamoDB, vous devez disposer des autorisations suivantes sur la table.
+ `dynamodb:DisableKinesisStreamingDestination`

Pour mettre à jour Amazon Kinesis Data Streams pour Amazon DynamoDB, vous devez disposer des autorisations suivantes sur la table.
+ `dynamodb:UpdateKinesisStreamingDestination`

Les exemples suivants montrent comment utiliser des politiques IAM afin d’accorder des autorisations pour Amazon Kinesis Data Streams pour Amazon DynamoDB.

## Exemple : Activer Amazon Kinesis Data Streams pour Amazon DynamoDB
<a name="access-policy-kds-example1"></a>

La politique IAM suivante octroie les autorisations nécessaires pour activer Amazon Kinesis Data Streams pour Amazon DynamoDB pour la table `Music`. Elle n’accorde pas les autorisations permettant de désactiver, de mettre à jour ou de décrire Kinesis Data Streams pour DynamoDB pour la table `Music`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/kinesisreplication.dynamodb.amazonaws.com/AWSServiceRoleForDynamoDBKinesisDataStreamsReplication",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "kinesisreplication.dynamodb.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:EnableKinesisStreamingDestination"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:{{111122223333}}:table/Music"
        }
    ]
}
```

------

## Exemple : mise à jour Amazon Kinesis Data Streams pour Amazon DynamoDB
<a name="access-policy-kds-example2"></a>

La politique IAM suivante octroie les autorisations nécessaires pour mettre à jour Amazon Kinesis Data Streams pour Amazon DynamoDB pour la table `Music`. Elle n’accorde pas les autorisations permettant d’activer, de désactiver ou de décrire Amazon Kinesis Data Streams pour Amazon DynamoDB pour la table `Music`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:UpdateKinesisStreamingDestination"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:{{111122223333}}:table/Music"
        }
    ]
}
```

------

## Exemple : Désactiver Amazon Kinesis Data Streams pour Amazon DynamoDB
<a name="access-policy-kds-example2"></a>

La politique IAM suivante octroie les autorisations nécessaires pour désactiver Amazon Kinesis Data Streams pour Amazon DynamoDB pour la table `Music`. Elle n’accorde pas les autorisations permettant d’activer, de mettre à jour ou de décrire Amazon Kinesis Data Streams pour Amazon DynamoDB pour la table `Music`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:DisableKinesisStreamingDestination"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:{{111122223333}}:table/Music"
        }
    ]
}
```

------

## Exemple : Appliquer de manière sélective des autorisations pour Amazon Kinesis Data Streams pour Amazon DynamoDB en fonction de la ressource
<a name="access-policy-kds-example3"></a>

La politique IAM suivante octroie les autorisations nécessaires pour activer et décrire Amazon Kinesis Data Streams pour Amazon DynamoDB pour la table `Music`, et n’accorde pas les autorisations permettant de désactiver Amazon Kinesis Data Streams pour Amazon DynamoDB pour la table `Orders`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:EnableKinesisStreamingDestination",
                "dynamodb:DescribeKinesisStreamingDestination"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:{{111122223333}}:table/Music"
        },
        {
            "Effect": "Deny",
            "Action": [
                "dynamodb:DisableKinesisStreamingDestination"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:{{111122223333}}:table/Orders"
        }
    ]
}
```

------

## Utilisation de rôles liés à un service pour Kinesis Data Streams pour DynamoDB
<a name="kds-service-linked-roles"></a>

[Amazon Kinesis Data Streams pour Amazon Gestion des identités et des accès AWS DynamoDB utilise des rôles liés à un service (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rôle lié à un service est un type unique de rôle IAM lié directement à Kinesis Data Streams pour DynamoDB. Les rôles liés à un service sont prédéfinis par Kinesis Data Streams for DynamoDB et incluent toutes les autorisations dont le service a besoin pour appeler d'autres services en votre nom. AWS 

Un rôle lié à un service simplifie la configuration de Kinesis Data Streams pour DynamoDB, car vous n’avez pas besoin d’ajouter manuellement les autorisations nécessaires. Kinesis Data Streams pour DynamoDB définit les autorisations de ses rôles liés à un service et, sauf définition contraire, seul Kinesis Data Streams pour DynamoDB peut endosser ses rôles. Les autorisations définies comprennent la politique d’approbation et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.

Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, veuillez consulter [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services où **Oui **figure dans la colonne **Rôle lié à un service**. Choisissez un **Oui** ayant un lien permettant de consulter les détails du rôle pour ce service.

### Autorisations de rôle lié à un service pour Kinesis Data Streams pour DynamoDB
<a name="slr-permissions"></a>

Kinesis Data Streams for DynamoDB utilise le rôle lié à un service nommé. **AWSServiceRoleForDynamoDBKinesisDataStreamsReplication** L’objectif du rôle lié à un service est d’autoriser Amazon DynamoDB à gérer pour vous la réplication des modifications au niveau élément dans Kinesis Data Streams.

Le rôle lié à un service `AWSServiceRoleForDynamoDBKinesisDataStreamsReplication` approuve les services suivants pour endosser le rôle :
+ `kinesisreplication.dynamodb.amazonaws.com`

La politique d’autorisations de rôle permet à Kinesis Data Streams pour DynamoDB d’accomplir les actions suivantes sur les ressources spécifiées :
+ Action : `Put records and describe` sur `Kinesis stream`
+ Action : `Generate data keys` activée pour placer les données `AWS KMS` dans les flux Kinesis chiffrés à l'aide de clés générées par l'utilisateur AWS KMS .

Pour le contenu exact du document de politique, voir [Dynamo. DBKinesis ReplicationServiceRolePolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/aws-service-role/DynamoDBKinesisReplicationServiceRolePolicy)

Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour en savoir plus, consultez [Service-Linked Role Permissions (autorisations du rôle lié à un service)](https://docs.aws.amazon.com/IAM/latest/UserGuide/contributorinsights-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.

### Création d’un rôle lié à un service pour Kinesis Data Streams pour DynamoDB
<a name="create-slr"></a>

Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous activez Kinesis Data Streams pour DynamoDB dans, dans ou dans AWS Management Console l'API, AWS CLI AWS Kinesis Data Streams for DynamoDB crée pour vous le rôle lié au service. 

Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous activez Kinesis Data Streams pour DynamoDB, le service crée pour vous le rôle lié à un service. 

### Modification d’un rôle lié à un service pour Kinesis Data Streams pour DynamoDB
<a name="edit-slr"></a>

Kinesis Data Streams pour DynamoDB ne vous permet pas de modifier le rôle lié à un service `AWSServiceRoleForDynamoDBKinesisDataStreamsReplication`. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour en savoir plus, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/contributorinsights-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.

### Suppression d’un rôle lié à un service pour Kinesis Data Streams pour DynamoDB
<a name="delete-slr"></a>

Vous pouvez également utiliser la console IAM AWS CLI ou l' AWS API pour supprimer manuellement le rôle lié à un service. Pour ce faire, vous devez commencer par nettoyer les ressources de votre rôle lié à un service. Vous pouvez ensuite supprimer ce rôle manuellement.

**Note**  
Si le service Kinesis Data Streams pour DynamoDB utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression peut échouer. Si cela se produit, patientez quelques minutes et réessayez.

**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**

Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au `AWSServiceRoleForDynamoDBKinesisDataStreamsReplication` service. Pour en savoir plus, consultez [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) dans le *Guide de l’utilisateur IAM*.