Amazon DynamoDB
开发人员指南 (API Version 2012-08-10)
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

DynamoDB API 权限:操作、资源和条件参考

在设置 访问控制 和编写可附加到 IAM 身份的权限策略 (基于身份的策略) 时,可使用下面的 作为参考。该表列出的每个 DynamoDB API 操作、您可授予执行权限的对应操作以及您可授予权限的 AWS 资源。您可以在策略的 Action 字段中指定这些操作,并在策略的 Resource 字段中指定资源值。

您可以在 DynamoDB 策略中使用 AWS 范围的条件键来表达条件。有关 AWS 范围内的键的完整列表,请参阅 IAM 用户指南 中的可用键

除 AWS 范围的条件键之外,DynamoDB 还具有其自己的特定键可供您在条件中使用。有关更多信息,请参阅 使用 IAM 策略条件实现精细访问控制

注意

要指定操作,请在 API 操作名称之前使用 dynamodb: 前缀(例如,dynamodb:CreateTable)。

如果看到表右上角处有扩展箭头 (),则您可以在新窗口中打开该表。要关闭窗口,请选择右下角处的关闭按钮 (X)。

Amazon DynamoDB API 和必需的操作权限

DynamoDB API 操作 所需权限(API 操作) 资源
BatchGetItem dynamodb:BatchGetItem arn:aws:dynamodb:region:account-id:table/table-name

或者

arn:aws:dynamodb:region:account-id:table/*
BatchWriteItem dynamodb:BatchWriteItem arn:aws:dynamodb:region:account-id:table/table-name

或者

arn:aws:dynamodb:region:account-id:table/*
CreateTable dynamodb:CreateTable arn:aws:dynamodb:region:account-id:table/table-name

或者

arn:aws:dynamodb:region:account-id:table/*
DeleteItem dynamodb:DeleteItem arn:aws:dynamodb:region:account-id:table/table-name

或者

arn:aws:dynamodb:region:account-id:table/*
DeleteTable dynamodb:DeleteTable arn:aws:dynamodb:region:account-id:table/table-name

或者

arn:aws:dynamodb:region:account-id:table/*
DescribeLimits dynamodb:DescribeLimits arn:aws:dynamodb:region:account-id:*
DescribeReservedCapacity dynamodb:DescribeReservedCapacity arn:aws:dynamodb:region:account-id:*
DescribeReservedCapacityOfferings dynamodb:DescribeReservedCapacityOfferings arn:aws:dynamodb:region:account-id:*
DescribeStream dynamodb:DescribeStream arn:aws:dynamodb:region:account-id:table/table-name/stream/stream-label

或者

arn:aws:dynamodb:region:account-id:table/table-name/stream/*
DescribeTable dynamodb:DescribeTable arn:aws:dynamodb:region:account-id:table/table-name

或者

arn:aws:dynamodb:region:account-id:table/*
DescribeTimeToLive dynamodb:DescribeTimeToLive arn:aws:dynamodb:region:account-id:table/table-name

或者

arn:aws:dynamodb:region:account-id:table/*
GetItem dynamodb:GetItem arn:aws:dynamodb:region:account-id:table/table-name

或者

arn:aws:dynamodb:region:account-id:table/*
GetRecords dynamodb:GetRecords arn:aws:dynamodb:region:account-id:table/table-name/stream/stream-label

或者

arn:aws:dynamodb:region:account-id:table/table-name/stream/*
GetShardIterator dynamodb:GetShardIterator arn:aws:dynamodb:region:account-id:table/table-name/stream/stream-label

或者

arn:aws:dynamodb:region:account-id:table/table-name/stream/*
ListStreams dynamodb:ListStreams arn:aws:dynamodb:region:account-id:table/table-name/stream/*

或者

arn:aws:dynamodb:region:account-id:table/*/stream/*
ListTables dynamodb:ListTables *
ListTagsOfResource dynamodb:ListTagsOfResource arn:aws:dynamodb:region:account-id:table/table-name

或者

arn:aws:dynamodb:region:account-id:table/*
PurchaseReservedCapacityOfferings dynamodb:PurchaseReservedCapacityOfferings arn:aws:dynamodb:region:account-id:*
PutItem dynamodb:PutItem arn:aws:dynamodb:region:account-id:table/table-name

或者

arn:aws:dynamodb:region:account-id:table/*
查询 dynamodb:Query

如何查询表:

arn:aws:dynamodb:region:account-id:table/table-name

或者:

arn:aws:dynamodb:region:account-id:table/*

查询索引:

arn:aws:dynamodb:region:account-id:table/table-name/index/index-name

或者:

arn:aws:dynamodb:region:account-id:table/table-name/index/*
扫描 dynamodb:Scan

扫描表:

arn:aws:dynamodb:region:account-id:table/table-name

或者:

arn:aws:dynamodb:region:account-id:table/*

扫描索引:

arn:aws:dynamodb:region:account-id:table/table-name/index/index-name

或者:

arn:aws:dynamodb:region:account-id:table/table-name/index/*
TagResource dynamodb:TagResource arn:aws:dynamodb:region:account-id:table/table-name

或者

arn:aws:dynamodb:region:account-id:table/*
UpdateItem dynamodb:UpdateItem arn:aws:dynamodb:region:account-id:table/table-name

或者

arn:aws:dynamodb:region:account-id:table/*
UpdateTable dynamodb:UpdateTable arn:aws:dynamodb:region:account-id:table/table-name

或者

arn:aws:dynamodb:region:account-id:table/*
UpdateTimeToLive dynamodb:UpdateTimeToLive arn:aws:dynamodb:region:account-id:table/table-name

或者

arn:aws:dynamodb:region:account-id:table/*
UntagResource dynamodb:UntagResource arn:aws:dynamodb:region:account-id:table/table-name

或者

arn:aws:dynamodb:region:account-id:table/*

相关主题

本页内容: