禁止购买 DynamoDB 预留容量的 IAM 策略 - Amazon DynamoDB
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

禁止购买 DynamoDB 预留容量的 IAM 策略

借助 Amazon DynamoDB 预留容量,您可以支付一次性预付费用并承诺在一段时间内支付最低用量级别的费用,从而节省大量费用。您可以使用 AWS 管理控制台查看和购买预留容量。但是,您可能不希望您组织中的所有用户能够购买预留容量。有关预留容量的更多信息,请参阅 Amazon DynamoDB 定价

DynamoDB 提供以下 API 操作,以便控制对预留容量管理的访问:

  • dynamodb:DescribeReservedCapacity – 返回当前有效的预留容量购买。

  • dynamodb:DescribeReservedCapacityOfferings – 返回有关 AWS 当前提供的预留容量计划的详细信息。

  • dynamodb:PurchaseReservedCapacityOfferings – 执行预留容量的实际购买。

使用这些 API 操作来显示预留容量信息和进行购买。AWS 管理控制台您无法从应用程序调用这些操作,因为它们只能从控制台进行访问。但是,您可以在 IAM 权限策略中允许或拒绝对这些操作的访问。

以下策略允许用户使用 AWS 管理控制台—查看预留的容量购买和产品,但新购买会被拒绝。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowReservedCapacityDescriptions", "Effect": "Allow", "Action": [ "dynamodb:DescribeReservedCapacity", "dynamodb:DescribeReservedCapacityOfferings" ], "Resource": "arn:aws:dynamodb:us-west-2:123456789012:*" }, { "Sid": "DenyReservedCapacityPurchases", "Effect": "Deny", "Action": "dynamodb:PurchaseReservedCapacityOfferings", "Resource": "arn:aws:dynamodb:us-west-2:123456789012:*" } ] }

请注意,此策略使用通配符 (*) 来允许描述所有和拒绝购买所有预留容量的权限。DynamoDB