将基于身份的策略(IAM 策略)与 Amazon DynamoDB 结合使用 - Amazon DynamoDB
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将基于身份的策略(IAM 策略)与 Amazon DynamoDB 结合使用

该主题覆盖使用基于身份的Amazon Identity and Access Management(IAM) 策略与 Amazon DynamoDB并提供了例子。示例 show账户管理员如何将权限策略挂载到 IAM 身份(用户、组和角色)从而授予权限,以便对 Amazon DynamoDB 资源执行操作。

重要

我们建议您首先阅读以下介绍性主题,这些主题讲解了管理 DynamoDB 资源访问的基本概念和选项。有关更多信息,请参阅管理 Amazon DynamoDB 资源的访问权限概述

本主题的各个部分涵盖以下内容:

下面是权限策略的示例。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "DescribeQueryScanBooksTable", "Effect": "Allow", "Action": [ "dynamodb:DescribeTable", "dynamodb:Query", "dynamodb:Scan" ], "Resource": "arn:aws:dynamodb:us-west-2:account-id:table/Books" } ] }

前面的策略有一个语句,该语句授予对三个 DynamoDB 操作 (dynamodb:DescribeTabledynamodb:Query, 和dynamodb:Scan)中的表格中的us-west-2 Amazon区域,该区域由Amazon由指定的帐户account-id。这些区域有:Amazon 资源名称 (ARN)中的Resource值指定表that权限应用到。

使用 Amazon DynamoDB 控制台所需的 IAM 权限

要使用 DynamoDB 控制台,用户必须拥有一组最低的权限,这些权限允许用户使用其Amazon帐户的 DynamoDB 资源。除这些 DynamODB 权限以外,控制台还需要权限:

  • Amazon CloudWatch 显示指标和图形的权限。

  • Amazon Data Pipeline导出和导入 DynamoDB 数据的权限。

  • 访问导出和导入所需角色的 Amazon Identity and Access Management 权限。

  • 每当触发 CloudWatch 警报时通知您的权限。

  • Amazon Lambda处理 DynamoDB Streams 记录的权限。

如果创建比必需的最低权限更为严格的 IAM 策略,对于附加了该 IAM 策略的用户,控制台将无法按预期正常运行。要确保这些用户仍可使用 DynamoDB 控制台,还请将AmazonDynamoDBReadOnlyAccess Amazon托管的策略传送给用户,如Amazon适用于 Amazon DynamoDB 的托管(预定义)IAM 策略

对于只需要调用的用户,您无需为其提供最低控制台权限。Amazon CLI或 Amazon DynamoDB API。

Amazon适用于 Amazon DynamoDB 的托管(预定义)IAM 策略

Amazon通过提供独立 IAM 策略来满足一些常用案例的要求。Amazon。这些Amazon托管策略可针对常用案例授予必要的权限,使您不必调查所需权限。有关更多信息,请参阅 。Amazon管理的策略中的IAM 用户指南

这些区域有:跟随Amazon托管策略可附加到您账户中的用户,这些托管策略特定于 DynamoDB 并按使用案例场景进行分组:

  • AmazonDynamoDBReadOnlyAccess— 授予对 DynamoDB 资源的只读访问权限通过的Amazon Web Services Management Console。

  • AmazonDynamoDBFullAccess— 授予对 DynamoDB 资源的完全访问权限通过的Amazon Web Services Management Console。

您可以查看这些Amazon托管权限策略,方法是登录到 IAM 控制台并在该控制台中搜索特定策略。

重要

最佳做法是创建自定义 IAM 策略,授予Lynamo privilege添加到需要它们的 IAM 用户、角色或组。

客户托管策略示例

本节的策略示例示例介绍如何授予各种 DynamoDB 操作的权限。当您使用时,这些策略将起作用Amazon开发工具包或Amazon CLI。当您使用控制台时,您需要授予其他权限这是特定于控制台。 有关更多信息,请参阅使用 Amazon DynamoDB 控制台所需的 IAM 权限

注意

以下所有策略示例都使用Amazon Regions,并且包含虚构的账户 ID 和表名。

示例:

这些区域有:IAM 用户指南,包括 另外三个 DynamoDB 示例