Policy IAM per impedire l'acquisto di capacità riservata DynamoDB - Amazon DynamoDB

Policy IAM per impedire l'acquisto di capacità riservata DynamoDB

Con la capacità riservata di Amazon DynamoDB, si paga una commissione anticipata una tantum e ci si impegna a pagare per un livello minimo di utilizzo, con un risparmio significativo, per un periodo di tempo. Puoi utilizzare la AWS Management Console per visualizzare e acquistare la capacità prenotata. Tuttavia, si potrebbe volere che non tutti gli utenti nell'organizzazione abbiano la possibilità di acquistare capacità riservata. Per ulteriori informazioni sulla capacità riservata, consulta Prezzi di Amazon DynamoDB.

DynamoDB fornisce le seguenti operazioni API per controllare l'accesso alla gestione della capacità riservata:

  • dynamodb:DescribeReservedCapacity: restituisce gli acquisti di capacità riservata attualmente in vigore.

  • dynamodb:DescribeReservedCapacityOfferings: restituisce i dettagli sui piani di capacità riservata attualmente offerti da AWS.

  • dynamodb:PurchaseReservedCapacityOfferings: esegue un acquisto effettivo della capacità riservata.

La AWS Management Console utilizza queste operazioni API per mostrare le informazioni sulla capacità riservata ed effettuare acquisti. Non puoi chiamare queste operazioni da un programma applicativo, poiché sono accessibili solo dalla console. Tuttavia, è possibile consentire o negare l'accesso a queste operazioni in una policy di autorizzazioni IAM.

La policy seguente consente agli utenti di visualizzare le offerte e gli acquisti di capacità riservata utilizzando la AWS Management Console, ma vieta i nuovi acquisti.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowReservedCapacityDescriptions",
            "Effect": "Allow",
            "Action": [
                "dynamodb:DescribeReservedCapacity",
                "dynamodb:DescribeReservedCapacityOfferings"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:123456789012:*"
        },
        {
            "Sid": "DenyReservedCapacityPurchases",
            "Effect": "Deny",
            "Action": "dynamodb:PurchaseReservedCapacityOfferings",
            "Resource": "arn:aws:dynamodb:us-west-2:123456789012:*"
        }
    ]
}

Ricorda che questa policy utilizza il carattere jolly (*) per consentire a tutti di descrivere le autorizzazioni, e per impedire a tutti l'acquisto della capacità riservata di DynamoDB.