DynamoDB - Контроль доступа

DynamoDB использует предоставленные вами учетные данные для аутентификации запросов. Эти учетные данные необходимы и должны включать разрешения на доступ к ресурсам AWS. Эти разрешения охватывают практически все аспекты DynamoDB, вплоть до незначительных функций операции или функциональности.

Типы разрешений

В этом разделе мы обсудим различные разрешения и доступ к ресурсам в DynamoDB.

Аутентификация пользователей

При регистрации вы указали пароль и адрес электронной почты, которые служат в качестве учетных данных root. DynamoDB связывает эти данные с вашей учетной записью AWS и использует их для предоставления полного доступа ко всем ресурсам.

AWS рекомендует использовать учетные данные root только для создания учетной записи администратора. Это позволяет вам создавать учетные записи / пользователей IAM с меньшими привилегиями. Пользователи IAM - это другие учетные записи, созданные сервисом IAM. Их права доступа / привилегии включают доступ к защищенным страницам и определенные настраиваемые разрешения, такие как изменение таблицы.

Ключи доступа предоставляют еще одну возможность для дополнительных учетных записей и доступа. Используйте их для предоставления доступа, а также для предотвращения ручного предоставления доступа в определенных ситуациях. Федеративные пользователи предоставляют еще один вариант, разрешая доступ через поставщика удостоверений.

Администрация

Ресурсы AWS остаются во владении учетной записи. Политики разрешений определяют разрешения, предоставляемые для создания или доступа к ресурсам. Администраторы связывают политики разрешений с идентификаторами IAM, то есть ролями, группами, пользователями и службами. Они также прикрепляют разрешения к ресурсам.

Разрешения определяют пользователей, ресурсы и действия. Обратите внимание, что администраторы - это просто учетные записи с правами администратора.

Работа и ресурсы

Таблицы остаются основным ресурсом DynamoDB. Субресурсы служат дополнительными ресурсами, например потоками и индексами. Эти ресурсы используют уникальные имена, некоторые из которых упомянуты в следующей таблице -

Тип ARN (название ресурса Amazon)
Ручей arn: aws: динамодб: регион: идентификатор-учетной записи: таблица / имя-таблицы / поток / метка-потока
Индекс arn: aws: Dynamodb: регион: идентификатор-учетной записи: таблица / имя-таблицы / индекс / имя-индекса
Стол arn: aws: динамодб: регион: идентификатор-учетной записи: таблица / имя-таблицы

Владение

Владелец ресурса определяется как учетная запись AWS, которая породила ресурс, или учетная запись основного объекта, отвечающая за аутентификацию запроса при создании ресурса. Рассмотрим, как это работает в среде DynamoDB -

  • При использовании учетных данных root для создания таблицы ваша учетная запись остается владельцем ресурса.

  • При создании пользователя IAM и предоставлении пользователю разрешения на создание таблицы ваша учетная запись остается владельцем ресурса.

  • При создании пользователя IAM и предоставлении пользователю и всем, кто может взять на себя роль, разрешения на создание таблицы, ваша учетная запись остается владельцем ресурса.

Управление доступом к ресурсам

Управление доступом в основном требует внимания к политике разрешений, описывающей пользователей и доступ к ресурсам. Вы связываете политики с идентификаторами или ресурсами IAM. Однако DynamoDB поддерживает только политики IAM / идентификации.

Политики на основе идентификации (IAM) позволяют предоставлять привилегии следующими способами:

  • Прикрепите разрешения к пользователям или группам.
  • Прикрепите разрешения к ролям для разрешений между аккаунтами.

Другие AWS допускают использование политик на основе ресурсов. Эти политики разрешают доступ к таким вещам, как корзина S3.

Элементы политики

Политики определяют действия, эффекты, ресурсы и принципы; и предоставить разрешение на выполнение этих операций.

Note - Для операций API могут потребоваться разрешения на несколько действий.

Внимательно изучите следующие элементы политики -

  • Resource - ARN идентифицирует это.

  • Action - Ключевые слова идентифицируют эти операции с ресурсами и указывают, разрешить или запретить.

  • Effect - Он определяет эффект для пользовательского запроса на действие, то есть разрешить или запретить с отказом по умолчанию.

  • Principal - Это идентифицирует пользователя, привязанного к политике.

Условия

При предоставлении разрешений вы можете указать условия, при которых политики становятся активными, например, в определенную дату. Выражайте условия с помощью ключей условий, которые включают общесистемные ключи AWS и ключи DynamoDB. Эти ключи подробно обсуждаются позже в руководстве.

Разрешения консоли

Для использования консоли пользователю требуются определенные базовые разрешения. Им также требуются разрешения для консоли в других стандартных сервисах -

  • CloudWatch
  • Конвейер данных
  • Управление идентификацией и доступом
  • Служба уведомлений
  • Lambda

Если политика IAM окажется слишком ограниченной, пользователь не сможет эффективно использовать консоль. Кроме того, вам не нужно беспокоиться о разрешениях пользователей для тех, кто вызывает только CLI или API.

Общие правила использования Iam

AWS покрывает общие операции с разрешениями с помощью автономных политик, управляемых IAM. Они предоставляют ключевые разрешения, позволяющие избежать глубокого расследования того, что вы должны предоставить.

Некоторые из них следующие -

  • AmazonDynamoDBReadOnlyAccess - Предоставляет доступ только для чтения через консоль.

  • AmazonDynamoDBFullAccess - Предоставляет полный доступ через консоль.

  • AmazonDynamoDBFullAccesswithDataPipeline - Он предоставляет полный доступ через консоль и разрешает экспорт / импорт с помощью Data Pipeline.

Вы также можете создавать собственные политики.

Предоставление привилегий: использование оболочки

Вы можете предоставить разрешения с помощью оболочки Javascript. Следующая программа показывает типичную политику разрешений -

{ 
   "Version": "2016-05-22", 
   "Statement": [ 
      { 
         "Sid": "DescribeQueryScanToolsTable", 
         "Effect": "Deny", 
         
         "Action": [ 
            "dynamodb:DescribeTable", 
            "dynamodb:Query", 
            "dynamodb:Scan" 
         ], 
         "Resource": "arn:aws:dynamodb:us-west-2:account-id:table/Tools" 
      } 
   ] 
}

Вы можете просмотреть три следующих примера:

Block the user from executing any table action.

{ 
   "Version": "2016-05-23", 
   "Statement": [ 
      { 
         "Sid": "AllAPIActionsOnTools", 
         "Effect": "Deny", 
         "Action": "dynamodb:*", 
         "Resource": "arn:aws:dynamodb:us-west-2:155556789012:table/Tools" 
      } 
   ] 
}

Block access to a table and its indices.

{ 
   "Version": "2016-05-23", 
   "Statement": [ 
      { 
         "Sid": "AccessAllIndexesOnTools", 
         "Effect": "Deny", 
         "Action": [
            "dynamodb:*" 
         ], 
         "Resource": [ 
            "arn:aws:dynamodb:us-west-2:155556789012:table/Tools", 
            "arn:aws:dynamodb:us-west-2:155556789012:table/Tools/index/*" 
         ] 
      } 
   ] 
}

Block a user from making a reserved capacity offering purchase.

{ 
   "Version": "2016-05-23", 
   "Statement": [ 
      { 
         "Sid": "BlockReservedCapacityPurchases", 
         "Effect": "Deny", 
         "Action": "dynamodb:PurchaseReservedCapacityOfferings", 
         "Resource": "arn:aws:dynamodb:us-west-2:155556789012:*" 
      } 
   ] 
}

Предоставление привилегий: использование консоли с графическим интерфейсом пользователя

Вы также можете использовать консоль графического интерфейса для создания политик IAM. Для начала выберитеTablesиз панели навигации. В списке таблиц выберите целевую таблицу и выполните следующие действия.

Step 1 - Выберите Access control таб.

Step 2- Выберите поставщика удостоверений, действия и атрибуты политики. ВыбратьCreate policy после ввода всех настроек.

Step 3 - Выбрать Attach policy instructions, и выполните каждый необходимый шаг, чтобы связать политику с соответствующей ролью IAM.