Utilisation des politiques basées sur une identité avec Amazon DynamoDB
Cette rubrique traite de l’utilisation de politiques AWS Identity and Access Management (IAM) basées sur une identité avec Amazon DynamoDB, et fournit des exemples. Les exemples montrent comment un administrateur de comptes peut attacher des politiques d’autorisations à des identités IAM (utilisateurs, groupes et rôles), et ainsi accorder des autorisations d’effectuer des opérations sur des ressources Amazon DynamoDB.
Les sections de cette rubrique couvrent les sujets suivants :
Un exemple de politique d’autorisation est exposé ci-dessous.
La politique précédente dispose d’une instruction qui accorde des autorisations pour trois actions DynamoDB (dynamodb:DescribeTable, dynamodb:Query et dynamodb:Scan) sur une table dans la région us-west-2 AWS, qui appartient au compte AWS spécifié par account-idResource spécifie la table à laquelle les autorisations s’appliquent.
Autorisations IAM requises pour utiliser la console Amazon DynamoDB
Pour utiliser la console DynamoDB, les utilisateurs doivent disposer d’un ensemble minimal d’autorisations leur permettant de travailler avec les ressources DynamoDB de leur compte AWS. Outre ces autorisations DynamoDB, la console nécessite d’autres autorisations :
-
Autorisations Amazon CloudWatch pour afficher les métriques et les graphiques.
-
Autorisations AWS Data Pipeline pour exporter et importer les données DynamoDB.
-
Autorisations AWS Identity and Access Management pour accéder aux rôles nécessaires pour les exportations et les importations.
-
Autorisations Amazon Simple Notification Service pour vous avertir chaque fois qu’une alarme CloudWatch est déclenchée.
-
Autorisations AWS Lambda pour traiter les registres DynamoDB Streams.
Si vous créez une politique IAM plus restrictive que les autorisations minimales requises, la console ne fonctionnera pas comme prévu pour les utilisateurs dotés de cette politique IAM. Pour garantir que ces utilisateurs pourront continuer à utiliser la console DynamoDB, attachez également la politique AmazonDynamoDBReadOnlyAccess gérée par AWS aux utilisateurs, comme décrit dans Politiques IAM gérées par AWS (prédéfinies) pour Amazon DynamoDB.
Vous n’avez pas besoin d’accorder les autorisations de console minimales aux utilisateurs qui effectuent des appels uniquement à l’AWS CLI ou à l’API Amazon DynamoDB.
Note
Si vous faites référence au point de terminaison d’un VPC, vous devez également autoriser l’appel d’API DescribeEndpoints pour le ou les principaux IAM demandeurs à l’aide de l’action IAM (dynamodb:DescribeEndpoints). Pour plus d’informations, consultez Politique requise pour les points de terminaison.
Politiques IAM gérées par AWS (prédéfinies) pour Amazon DynamoDB
AWS couvre cas d’utilisation courants, et fournit des politiques IAM autonomes qui sont créées et administrées par AWS. Ces politiques gérées par AWS octroient les autorisations requises dans les cas d’utilisation courants pour que vous évitiez d’avoir à réfléchir aux autorisations requises. Pour plus d’informations, consultez Politiques gérées par AWS dans le Guide de l’utilisateur IAM.
Les politiques gérées par AWS suivantes que vous pouvez associer aux utilisateurs de votre compte sont spécifiques de DynamoDB et regroupées par scénario de cas d’utilisation :
-
AmazonDynamoDBReadOnlyAccess – Accorde l’accès en lecture seule aux ressources DynamoDB via l’AWS Management Console.
-
AmazonDynamoDBFullAccess – Accorde l’accès complet aux ressources DynamoDB via l’AWS Management Console.
Vous pouvez examiner ces politiques d’autorisations gérées par AWS en vous connectant à la console IAM et en y recherchant des politiques spécifiques.
Important
La bonne pratique consiste à créer des politiques IAM personnalisées qui accordent le moindre privilège aux utilisateurs, rôles ou groupes IAM qui en ont besoin.
Exemples de politiques gérées par le client
Cette section contient des exemples de politiques qui accordent des autorisations pour diverses actions DynamoDB. Ces politiques fonctionnent lorsque vous utilisez des kits SDK AWS ou l’AWS CLI. Lorsque vous utilisez la console, vous devez accorder des autorisations supplémentaires spécifiques de la console. Pour en savoir plus, consultez Autorisations IAM requises pour utiliser la console Amazon DynamoDB.
Note
Tous les exemples de politique suivants utilisent l’une des régions AWS et contiennent des ID de compte et des noms de table fictifs.
Exemples :
-
Politique IAM pour accorder des autorisations à toutes les actions DynamoDB sur une table
-
Politique IAM pour accorder l’accès à une table DynamoDB spécifique et à ses index
-
Politique IAM pour lire, écrire, mettre à jour et supprimer l’accès sur une table DynamoDB
-
Politique IAM pour séparer les environnements DynamoDB dans le même compte AWS
-
Politique IAM pour empêcher l’achat de capacité réservée DynamoDB
-
Politique IAM pour accorder un accès en lecture pour un flux DynamoDB uniquement (pas pour la table)
-
Politique IAM pour autoriser une fonction AWS Lambda à accéder aux registres de flux DynamoDB
-
Politique IAM pour l’accès en lecture et écriture à un cluster DynamoDB Accelerator (DAX)
Le Guide de l’utilisateur IAM inclut trois exemples DynamoDB supplémentaires :
