将 IAM 与 CloudWatch Contributor Insights for DynamoDB 结合使用 - Amazon DynamoDB
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

将 IAM 与 CloudWatch Contributor Insights for DynamoDB 结合使用

首次启用 Amazon CloudWatch Contributor Insights for Amazon DynamoDB 时,DynamoDB 会自动为您创建 AWS Identity and Access Management (IAM) 服务相关角色。该角色 AWSServiceRoleForDynamoDBCloudWatchContributorInsights 允许 DynamoDB 代表您管理 CloudWatch Contributor Insights 规则。不要删除该服务相关角色。如果删除它,则删除表或全局二级索引时,将不再清理所有托管规则。

有关服务相关角色的更多信息,请参阅 IAM 用户指南 中的使用服务相关角色

需要以下权限:

  • 要启用或禁用 CloudWatch Contributor Insights for DynamoDB,您必须对表或索引具有 dynamodb:UpdateContributorInsights 权限。

  • 要查看 CloudWatch Contributor Insights for DynamoDB 图表,您必须具有 cloudwatch:GetInsightRuleReport 权限。

  • 要描述给定 DynamoDB 表或索引的 CloudWatch Contributor Insights for DynamoDB,您必须具有 dynamodb:DescribeContributorInsights 权限。

  • 要列出每个表和全局二级索引的 CloudWatch Contributor Insights for DynamoDB 状态,您必须具有 dynamodb:ListContributorInsights 权限。

示例:启用或禁用 CloudWatch Contributor Insights for DynamoDB

以下 IAM 策略授予启用或禁用 CloudWatch Contributor Insights for DynamoDB 的权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole", "dynamodb:UpdateContributorInsights" ], "Resource": "*" } ] }

示例:检索 CloudWatch Contributor Insights 规则报告

以下 IAM 策略授予检索 CloudWatch Contributor Insights 规则报告的权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:GetInsightRuleReport" ], "Resource": "arn:aws:cloudwatch:*:*:insight-rule/DynamoDBContributorInsights*" } ] }

示例:选择性地基于资源应用 CloudWatch Contributor Insights for DynamoDB 权限。

以下 IAM 策略授予权限以允许 ListContributorInsightsDescribeContributorInsights 操作,并拒绝针对特定全局二级索引的 UpdateContributorInsights 操作。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:ListContributorInsights", "dynamodb:DescribeContributorInsights" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "dynamodb:UpdateContributorInsights" ], "Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/Books/index/Author-index" } ] }

对 CloudWatch Contributor Insights for DynamoDB 使用服务相关角色

CloudWatch Contributor Insights for DynamoDB 使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种与 CloudWatch Contributor Insights for DynamoDB 直接关联的独特类型的 IAM 角色。服务相关角色由 CloudWatch Contributor Insights for DynamoDB 预定义,并包含该服务代表您调用其他 AWS 服务所需的一切权限。

服务相关角色使 CloudWatch Contributor Insights for DynamoDB 的设置更轻松,因为您不必手动添加必要的权限。CloudWatch Contributor Insights for DynamoDB 定义其服务相关角色的权限,除非另行定义,否则仅 CloudWatch Contributor Insights for DynamoDB 可以代入其角色。定义的权限包括信任策略和权限策略,并且权限策略不能附加到任何其他 IAM 实体。

有关支持服务相关角色的其他服务的信息,请参阅与 IAM 配合使用的 AWS 服务并查找 Service-Linked Role 列为 Yes 的服务。选择 Yes 与查看该服务的服务相关角色文档的链接。

CloudWatch Contributor Insights for DynamoDB 的服务相关角色权限

CloudWatch Contributor Insights for DynamoDB 使用名为 AWSServiceRoleForDynamoDBCloudWatchContributorInsights 的服务相关角色。The purpose of the service-linked role is to allow Amazon DynamoDB to manage Amazon CloudWatch Contributor Insights rules created for DynamoDB tables and global secondary indexes, on your behalf

AWSServiceRoleForDynamoDBCloudWatchContributorInsights 服务相关角色信任以下服务代入该角色:

  • contributorinsights.dynamodb.amazonaws.com

角色权限策略允许 CloudWatch Contributor Insights for DynamoDB 对指定资源完成以下操作:

  • 操作:DynamoDBContributorInsights 上的 Create and manage Insight Rules

您必须配置权限以允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅 IAM 用户指南 中的服务相关角色权限

为 CloudWatch Contributor Insights for DynamoDB 创建服务相关角色

您无需手动创建服务相关角色。当您在 AWS 管理控制台、AWS CLI 或 AWS API 中 enable Contributor Insights 时,CloudWatch Contributor Insights for DynamoDB 会为您创建服务相关角色。

如果您删除了此服务相关角色然后需要再次创建它,则可以使用相同的流程在您的账户中重新创建此角色。当您enable Contributor Insights时,CloudWatch Contributor Insights for DynamoDB 将再次为您创建服务相关角色。

编辑 CloudWatch Contributor Insights for DynamoDB 的服务相关角色

CloudWatch Contributor Insights for DynamoDB 不允许您编辑 AWSServiceRoleForDynamoDBCloudWatchContributorInsights 服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅 IAM 用户指南 中的编辑服务相关角色

删除 CloudWatch Contributor Insights for DynamoDB 的服务相关角色

您无需手动删除 AWSServiceRoleForDynamoDBCloudWatchContributorInsights 角色。当您在 AWS 管理控制台、AWS CLI 或 AWS API 中执行 disable Contributor Insights 时,CloudWatch Contributor Insights for DynamoDB 将清理资源。

您还可以使用 IAM 控制台、AWS CLI 或 AWS API 来手动删除服务相关角色。为此,您必须先手动清除服务相关角色的资源,然后才能手动删除它。

注意

如果在您试图删除资源时 CloudWatch Contributor Insights for DynamoDB 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,则请等待几分钟后重试。

使用 IAM 手动删除服务相关角色

可以使用 IAM 控制台、AWS CLI 或 AWS API 删除 AWSServiceRoleForDynamoDBCloudWatchContributorInsights 服务相关角色。有关更多信息,请参阅 IAM 用户指南 中的删除服务相关角色