Policy IAM per concedere l'accesso in lettura solo per un flusso DynamoDB (non per la tabella) - Amazon DynamoDB

Policy IAM per concedere l'accesso in lettura solo per un flusso DynamoDB (non per la tabella)

Quando si abilita DynamoDB Streams su una tabella, vengono acquisite le informazioni su ogni modifica apportata agli elementi nella tabella. Per ulteriori informazioni, consulta Acquisizione dei dati di modifica per DynamoDB Streams.

In alcuni casi, è possibile che si desideri impedire a un'applicazione di leggere i dati da una tabella DynamoDB, permettendo comunque l'accesso al flusso di tale tabella. Ad esempio, è possibile configurare AWS Lambda perché esegua il polling di un flusso e richiami una funzione Lambda quando vengono rilevati aggiornamenti di elementi e quindi eseguire elaborazioni aggiuntive.

Per controllare l'accesso a DynamoDB Streams sono disponibili le seguenti operazioni:

  • dynamodb:DescribeStream

  • dynamodb:GetRecords

  • dynamodb:GetShardIterator

  • dynamodb:ListStreams

Nella seguente policy esempio vengono concesse le autorizzazioni agli utenti per accedere ai flussi di una tabella denominata GameScores. Il carattere jolly (*) nell'ARN corrisponde a qualsiasi flusso associato a tale tabella.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AccessGameScoresStreamOnly",
            "Effect": "Allow",
            "Action": [
                "dynamodb:DescribeStream",
                "dynamodb:GetRecords",
                "dynamodb:GetShardIterator",
                "dynamodb:ListStreams"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/GameScores/stream/*"
        }
    ]
}

Questa policy concede l'accesso ai flussi della tabella GameScores, ma non alla tabella stessa.