Einführung in DynamoDB -Berechtigungen
Mit den Berechtigungen können Sie die Aktionen, eine Benutzer-, Rolle oder Gruppe in jeder bestimmten Dynamodb -Ressource ausführen und angeben, auszuwählen und anzugeben. Beispielsweise können Sie einer Gruppe von Benutzern erlauben, die Daten in eine bestimmte Tabelle zu lesen und zu schreiben, sie jedoch die Erlaubnis zum Löschen der Tabelle verweigern. Natürlich können Sie dies erreichen, indem Sie eine IAM -Richtlinie mit den entsprechenden Berechtigungen Ihrer Gruppe anschließen.
Dieser Blog-Beitrag führt Sie in die dynamoDB-identitätsbasierten IAM-Richtlinien vor. Zu den Aspekten, nach denen wir suchen werden.
Arten von Dynamode -Berechtigungen
Im Folgenden finden Sie einige der Arten von DynamoDB -Berechtigten, die Sie in einer IAM -Richtlinie definieren können: \
- Tabellenberechtigungen: Diese Berechtigungen steuern den Zugriff auf bestimmte Dynamodb -Tabellen. Zum Beispiel können Sie einem Benutzer erlauben, die Daten in eine bestimmte Tabelle zu lesen und zu schreiben, aber nicht zulassen, dass er die Tabelle löschen kann.
- Globale Berechtigungen: Diese Kategorie von Berechtigungen steuert den Zugriff auf alle DynamoDB -Ressourcen. Beispielsweise können Sie einem Benutzer ermöglichen.
- Streams -Berechtigungen: Diese Berechtigungen steuern den Zugriff auf die DynamoDB -Streams. Ein Stream ist eine zeitgestellte Abfolge von Änderungen auf Elementebene in einer DynamoDB-Tabelle.
- Indexberechtigungen: Diese Berechtigungen steuern den Zugriff auf globale Sekundärindizes in DynamoDB.
- Sicherung und Wiederherstellung von Berechtigungen: Sicherung und Wiederherstellung der Berechtigungen steuern Sie den Zugriff auf die DynamoDB -Sicherungen und stellen Sie sie wieder her.
Es ist wichtig, sorgfältig zu prüfen, welche Berechtigungen jedem Benutzer, jeder Gruppe oder jeder Rolle gewährt werden sollen, um sicherzustellen, dass nur die autorisierten Benutzer auf die von ihnen benötigten Ressourcen zugreifen können.
Beispiele für DynamoDB -Berechtigungen
Im Folgenden finden Sie einige DynamoDB -Berechtigungen, die Sie in Betracht ziehen können:
A. Erstellen einer Tischberechtigung
In diesem Beispiel wird eine IAM -Richtlinie erstellt, die es einem bestimmten Benutzer ermöglicht, die Daten in eine bestimmte Tabelle zu lesen und zu schreiben. Der erste Schritt besteht darin, das Richtliniendokument in einer JSON -Datei zu erstellen, wie in Folgendes gezeigt:
"Version": "2012-10-17",
"Stellungnahme": [
"Effekt": "erlauben",
"Aktion": [
"Dynamodb: PutItem",
"DynamoDB: GetItem",
"DynamoDB: UpdateItem",
"DynamoDB: DeleteItem"
],
"Ressource": "ARN: AWS: DynamoDB: EU-West-1: 123456789012: Tabelle/My-Table-Name"
]
Sobald Sie mit dem Erstellen des Richtliniendokuments fertig sind, erstellen Sie die Richtlinie und fügen Sie den IAM -Benutzer wie im Folgenden dargestellt:
AWS IAM CREATE-Policy-Policy-name Dynamodb-table-Access-Policy-Dokument-Datei: // Richtlinie.JSON
AWS IAM Attach-User-Policy-Benutzername MyUser-Policy-Arn ARN: AWS: IAM :: 123456789012: Richtlinien/DynamoDB-Table-Access-Access
Dieser Code erstellt eine Richtlinie mit dem Namen "DynamoDB-Table-Access", mit der der IAM-Benutzer "Auser" die Daten in die DynamoDB-Tabelle "My-table" lesen und schreiben kann.”Der Benutzer kann nicht andere Aktionen auf der Tabelle ausführen, z. B. das Löschen.
B. Erstellen einer DynamoDB -Stream -Richtlinie
Das folgende Beispiel erstellt eine IAM -Richtlinie, mit der ein Benutzer die Daten aus einem DynamoDB -Stream lesen kann:
"Version": "2012-10-17",
"Stellungnahme": [
"Effekt": "erlauben",
"Aktion": [
"DynamoDB: beschreibenStream",
"DynamoDB: GetRecords",
"Dynamodb: getSharditerator"
],
"Ressource": "ARN: AWS: DynamoDB: EU-East-1: 123456789012: Tabelle/My-table-name/Stream/*"
]
Mit dieser Richtlinie kann der Benutzer Informationen über den Stream abrufen, die Datensätze aus dem Stream abrufen und die Shard -Iteratoren für den Stream erhalten. Der Benutzer kann nicht andere Aktionen im Stream oder in der Tabelle ausführen.
Sie können diese Richtlinie mit der AWS CLI oder der AWS -Verwaltungskonsole an einen IAM -Benutzer, eine Gruppe oder eine Rolle beibringen.
Abschluss
Die DynamoDB -Berechtigungen können sehr detailliert sein, sodass Sie die Maßnahmen angeben, die für jede Ressource zulässig oder verweigert werden. Dies hilft sicher, dass nur die autorisierten Benutzer auf Ihre DynamoDB -Ressourcen zugreifen und diese ändern können.
Es ist wichtig, Ihre DynamoDB -Berechtigungen sorgfältig zu verwalten, um sicherzustellen, dass nur die autorisierten Benutzer auf Ihre Ressourcen zugreifen und diese ändern können. Unzureichende Berechtigungen können zu Sicherheitsverletzungen und nicht autorisierten Zugriff auf Ihre Daten führen.