搭配 Amazon DynamoDB 使用身分型政策
此主題介紹如何搭配使用身分型 AWS Identity and Access Management (IAM) 政策和 Amazon DynamoDB,並提供範例。這些範例會示範帳戶管理員如何將許可政策連接至 IAM 身分 (使用者、群組和角色),並藉此授與許可,以取得在 Amazon DynamoDB 資源上執行操作的許可。
本主題中的各節涵蓋下列內容:
以下是許可政策的範例。
此上述政策的一個陳述式針對 us-west-2 AWS 區域的一個資料表 (由 account-iddynamodb:DescribeTable、dynamodb:Query 和 dynamodb:Scan) 的許可。Resource 值中的 Amazon Resource Name (ARN) 會指定許可適用的資料表。
使用 Amazon DynamoDB 主控台所需的 IAM 許可
若要使用 DynamoDB 主控台,使用者必須擁有一組最基本的許可,以允許其使用 AWS 帳戶的 DynamoDB 資源。除了這些 DynamoDB 許可之外,主控台還需要以下許可:
-
顯示指標和圖形的 Amazon CloudWatch 許可。
-
匯出和匯入 DynamoDB 資料的 AWS Data Pipeline 許可。
-
存取匯出和匯入所需角色的 AWS Identity and Access Management 許可。
-
只要觸發 CloudWatch 警示就通知您的 Amazon Simple Notification Service 許可。
-
處理 DynamoDB Streams 紀錄的 AWS Lambda 許可。
如果您建立比最基本必要許可更嚴格的 IAM 政策,則對於採取該 IAM 政策的使用者而言,主控台就無法如預期運作。為確保這些使用者仍可使用 DynamoDB 主控台,也請將 AmazonDynamoDBReadOnlyAccess AWS 受管政策連接至使用者,如 Amazon DynamoDB 的 AWS 受管 (預先定義) IAM 政策 所述。
對於僅呼叫 AWS CLI 或 Amazon DynamoDB API 的使用者,您不需要允許其最基本的主控台許可。
注意
若您參考 VPC 端點,您也需使用 IAM 動作 (dynamodb:DescribeEndpoints),對請求的 IAM 主體授權 DescribeEndpoints API 呼叫。如需更多資訊,請參閱 端點所需的政策。
Amazon DynamoDB 的 AWS 受管 (預先定義) IAM 政策
AWS 透過提供獨立的 IAM 政策來解決許多常用案例,這些政策由 AWS 所建立與管理。這些 AWS 受管政策會授予常用案例所需的許可,讓您可免於調查需要哪些許可。如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策。
您可以連接至帳戶中使用者的下列 AWS 受管政策,這些政策為 DynamoDB 特有並會依使用案例加以群組:
-
AmazonDynamoDBReadOnlyAccess - 透過 AWS Management Console 授予對 DynamoDB 資源的唯讀存取權。
-
AmazonDynamoDBFullAccess - 透過 AWS Management Console 授予對 DynamoDB 資源的完整存取權。
您可以登入 IAM 主控台並在該處搜尋特定政策,來檢閱這些 AWS 受管許可政策。
重要
最佳實務是建立自訂 IAM 政策,授予最低權限給需要的使用者、角色或群組。
客戶管理政策範例
在本節中,您可以找到授予各種 DynamoDB 動作許可之政策範例。這些政策會在您使用 AWS 軟體開發套件或 AWS CLI 時運作。在您使用主控台時,需要授予特定的其他許可給主控台。如需更多詳細資訊,請參閱 使用 Amazon DynamoDB 主控台所需的 IAM 許可。
注意
下列所有政策範例都使用其中一個 AWS 區域,並包含虛構帳戶 ID 和資料表。
範例:
《IAM 使用者指南》包含三個其他 DynamoDB 範例:
