DynamoDB - Condições
Ao conceder permissões, o DynamoDB permite especificar condições para elas por meio de uma política IAM detalhada com chaves de condição. Isso oferece suporte a configurações como acesso a itens e atributos específicos.
Note - O DynamoDB não oferece suporte a nenhuma tag.
Controle Detalhado
Várias condições permitem a especificidade de itens e atributos, como a concessão de acesso somente leitura a itens específicos com base na conta do usuário. Implemente esse nível de controle com políticas IAM condicionadas, que gerenciam as credenciais de segurança. Em seguida, basta aplicar a política aos usuários, grupos e funções desejados. A Federação de Identidade da Web, um tópico discutido posteriormente, também fornece uma maneira de controlar o acesso do usuário por meio de logins da Amazon, Facebook e Google.
O elemento de condição da política IAM implementa o controle de acesso. Você simplesmente o adiciona a uma política. Um exemplo de seu uso consiste em negar ou permitir o acesso aos itens e atributos da tabela. O elemento de condição também pode empregar chaves de condição para limitar as permissões.
Você pode revisar os dois exemplos a seguir das chaves de condição -
dynamodb:LeadingKeys - Impede o acesso ao item por usuários sem um ID correspondente ao valor da chave de partição.
dynamodb:Attributes - Impede que os usuários acessem ou operem em atributos fora dos listados.
Na avaliação, as políticas do IAM resultam em um valor verdadeiro ou falso. Se qualquer parte for avaliada como falsa, toda a política será avaliada como falsa, o que resulta na negação de acesso. Certifique-se de especificar todas as informações necessárias nas chaves de condição para garantir que os usuários tenham acesso apropriado.
Chaves de condição predefinidas
A AWS oferece uma coleção de chaves de condição predefinidas, que se aplicam a todos os serviços. Eles suportam uma ampla gama de usos e detalhes finos no exame de usuários e acesso.
Note - Há distinção entre maiúsculas e minúsculas nas chaves de condição.
Você pode revisar uma seleção das seguintes chaves específicas do serviço -
dynamodb:LeadingKey- Representa o primeiro atributo chave de uma tabela; a chave de partição. Use o modificador ForAllValues nas condições.
dynamodb:Select- Representa um parâmetro de seleção de solicitação de consulta / verificação. Deve ter o valor ALL_ATTRIBUTES, ALL_PROJECTED_ATTRIBUTES, SPECIFIC_ATTRIBUTES ou COUNT.
dynamodb:Attributes- Representa uma lista de nomes de atributos em uma solicitação ou atributos retornados de uma solicitação. Seus valores e suas funções se assemelham aos parâmetros de ação da API, por exemplo, BatchGetItem usa AttributesToGet.
dynamodb:ReturnValues - Representa o parâmetro ReturnValues de uma solicitação e pode usar estes valores: ALL_OLD, UPDATED_OLD, ALL_NEW, UPDATED_NEW e NONE.
dynamodb:ReturnConsumedCapacity - Representa o parâmetro ReturnConsumedCapacity de uma solicitação e pode usar estes valores: TOTAL e NONE.