DynamoDB-조건
권한을 부여 할 때 DynamoDB는 조건 키가있는 세부 IAM 정책을 통해 조건을 지정할 수 있습니다. 특정 항목 및 속성에 대한 액세스와 같은 설정을 지원합니다.
Note − DynamoDB는 태그를 지원하지 않습니다.
세부 제어
여러 조건을 통해 사용자 계정을 기반으로 특정 항목에 대한 읽기 전용 액세스 권한을 부여하는 것과 같은 항목 및 속성에 대한 특정 성을 허용합니다. 보안 자격 증명을 관리하는 조정 된 IAM 정책으로이 수준의 제어를 구현합니다. 그런 다음 원하는 사용자, 그룹 및 역할에 정책을 적용하기 만하면됩니다. 나중에 논의되는 주제 인 Web Identity Federation은 Amazon, Facebook 및 Google 로그인을 통해 사용자 액세스를 제어하는 방법도 제공합니다.
IAM 정책의 조건 요소는 액세스 제어를 구현합니다. 정책에 추가하기 만하면됩니다. 사용 예는 테이블 항목 및 속성에 대한 액세스 거부 또는 허용으로 구성됩니다. 조건 요소는 조건 키를 사용하여 권한을 제한 할 수도 있습니다.
조건 키의 다음 두 가지 예를 검토 할 수 있습니다.
dynamodb:LeadingKeys − 파티션 키 값과 일치하는 ID가없는 사용자의 항목 접근을 차단합니다.
dynamodb:Attributes − 사용자가 나열된 속성 이외의 속성에 액세스하거나 작업하는 것을 방지합니다.
평가시 IAM 정책은 참 또는 거짓 값이됩니다. 일부가 거짓으로 평가되면 전체 정책이 거짓으로 평가되어 액세스가 거부됩니다. 사용자가 적절한 액세스 권한을 갖도록 조건 키에 필요한 모든 정보를 지정해야합니다.
미리 정의 된 조건 키
AWS는 모든 서비스에 적용되는 사전 정의 된 조건 키 모음을 제공합니다. 사용자 및 액세스를 검사 할 때 광범위한 사용과 세부 사항을 지원합니다.
Note − 조건 키에는 대소 문자 구분이 있습니다.
다음 서비스 별 키 선택을 검토 할 수 있습니다.
dynamodb:LeadingKey− 테이블의 첫 번째 키 속성을 나타냅니다. 파티션 키. 조건에서 ForAllValues 수정자를 사용하십시오.
dynamodb:Select− 쿼리 / 스캔 요청 Select 파라미터를 나타냅니다. ALL_ATTRIBUTES, ALL_PROJECTED_ATTRIBUTES, SPECIFIC_ATTRIBUTES 또는 COUNT 값이어야합니다.
dynamodb:Attributes− 요청 내 속성 이름 목록 또는 요청에서 반환 된 속성을 나타냅니다. 해당 값과 함수는 API 작업 매개 변수와 유사합니다. 예를 들어 BatchGetItem은 AttributesToGet을 사용합니다.
dynamodb:ReturnValues − 요청의 ReturnValues 매개 변수를 나타내며 ALL_OLD, UPDATED_OLD, ALL_NEW, UPDATED_NEW 및 NONE 값을 사용할 수 있습니다.
dynamodb:ReturnConsumedCapacity − 요청의 ReturnConsumedCapacity 매개 변수를 나타내며 TOTAL 및 NONE 값을 사용할 수 있습니다.