DynamoDB - Контроль доступа
DynamoDB использует предоставленные вами учетные данные для аутентификации запросов. Эти учетные данные необходимы и должны включать разрешения на доступ к ресурсам AWS. Эти разрешения охватывают практически все аспекты DynamoDB, вплоть до незначительных функций операции или функциональности.
Типы разрешений
В этом разделе мы обсудим различные разрешения и доступ к ресурсам в DynamoDB.
Аутентификация пользователей
При регистрации вы указали пароль и адрес электронной почты, которые служат в качестве учетных данных root. DynamoDB связывает эти данные с вашей учетной записью AWS и использует их для предоставления полного доступа ко всем ресурсам.
AWS рекомендует использовать учетные данные root только для создания учетной записи администратора. Это позволяет вам создавать учетные записи / пользователей IAM с меньшими привилегиями. Пользователи IAM - это другие учетные записи, созданные сервисом IAM. Их права доступа / привилегии включают доступ к защищенным страницам и определенные настраиваемые разрешения, такие как изменение таблицы.
Ключи доступа предоставляют еще одну возможность для дополнительных учетных записей и доступа. Используйте их для предоставления доступа, а также для предотвращения ручного предоставления доступа в определенных ситуациях. Федеративные пользователи предоставляют еще один вариант, разрешая доступ через поставщика удостоверений.
Администрация
Ресурсы AWS остаются во владении учетной записи. Политики разрешений определяют разрешения, предоставляемые для создания или доступа к ресурсам. Администраторы связывают политики разрешений с идентификаторами IAM, то есть ролями, группами, пользователями и службами. Они также прикрепляют разрешения к ресурсам.
Разрешения определяют пользователей, ресурсы и действия. Обратите внимание, что администраторы - это просто учетные записи с правами администратора.
Работа и ресурсы
Таблицы остаются основным ресурсом DynamoDB. Субресурсы служат дополнительными ресурсами, например потоками и индексами. Эти ресурсы используют уникальные имена, некоторые из которых упомянуты в следующей таблице -
Тип | ARN (название ресурса Amazon) |
---|---|
Ручей | arn: aws: динамодб: регион: идентификатор-учетной записи: таблица / имя-таблицы / поток / метка-потока |
Индекс | arn: aws: Dynamodb: регион: идентификатор-учетной записи: таблица / имя-таблицы / индекс / имя-индекса |
Стол | arn: aws: динамодб: регион: идентификатор-учетной записи: таблица / имя-таблицы |
Владение
Владелец ресурса определяется как учетная запись AWS, которая породила ресурс, или учетная запись основного объекта, отвечающая за аутентификацию запроса при создании ресурса. Рассмотрим, как это работает в среде DynamoDB -
При использовании учетных данных root для создания таблицы ваша учетная запись остается владельцем ресурса.
При создании пользователя IAM и предоставлении пользователю разрешения на создание таблицы ваша учетная запись остается владельцем ресурса.
При создании пользователя IAM и предоставлении пользователю и всем, кто может взять на себя роль, разрешения на создание таблицы, ваша учетная запись остается владельцем ресурса.
Управление доступом к ресурсам
Управление доступом в основном требует внимания к политике разрешений, описывающей пользователей и доступ к ресурсам. Вы связываете политики с идентификаторами или ресурсами IAM. Однако DynamoDB поддерживает только политики IAM / идентификации.
Политики на основе идентификации (IAM) позволяют предоставлять привилегии следующими способами:
- Прикрепите разрешения к пользователям или группам.
- Прикрепите разрешения к ролям для разрешений между аккаунтами.
Другие AWS допускают использование политик на основе ресурсов. Эти политики разрешают доступ к таким вещам, как корзина S3.
Элементы политики
Политики определяют действия, эффекты, ресурсы и принципы; и предоставить разрешение на выполнение этих операций.
Note - Для операций API могут потребоваться разрешения на несколько действий.
Внимательно изучите следующие элементы политики -
Resource - ARN идентифицирует это.
Action - Ключевые слова идентифицируют эти операции с ресурсами и указывают, разрешить или запретить.
Effect - Он определяет эффект для пользовательского запроса на действие, то есть разрешить или запретить с отказом по умолчанию.
Principal - Это идентифицирует пользователя, привязанного к политике.
Условия
При предоставлении разрешений вы можете указать условия, при которых политики становятся активными, например, в определенную дату. Выражайте условия с помощью ключей условий, которые включают общесистемные ключи AWS и ключи DynamoDB. Эти ключи подробно обсуждаются позже в руководстве.
Разрешения консоли
Для использования консоли пользователю требуются определенные базовые разрешения. Им также требуются разрешения для консоли в других стандартных сервисах -
- CloudWatch
- Конвейер данных
- Управление идентификацией и доступом
- Служба уведомлений
- Lambda
Если политика IAM окажется слишком ограниченной, пользователь не сможет эффективно использовать консоль. Кроме того, вам не нужно беспокоиться о разрешениях пользователей для тех, кто вызывает только CLI или API.
Общие правила использования Iam
AWS покрывает общие операции с разрешениями с помощью автономных политик, управляемых IAM. Они предоставляют ключевые разрешения, позволяющие избежать глубокого расследования того, что вы должны предоставить.
Некоторые из них следующие -
AmazonDynamoDBReadOnlyAccess - Предоставляет доступ только для чтения через консоль.
AmazonDynamoDBFullAccess - Предоставляет полный доступ через консоль.
AmazonDynamoDBFullAccesswithDataPipeline - Он предоставляет полный доступ через консоль и разрешает экспорт / импорт с помощью Data Pipeline.
Вы также можете создавать собственные политики.
Предоставление привилегий: использование оболочки
Вы можете предоставить разрешения с помощью оболочки Javascript. Следующая программа показывает типичную политику разрешений -
{
"Version": "2016-05-22",
"Statement": [
{
"Sid": "DescribeQueryScanToolsTable",
"Effect": "Deny",
"Action": [
"dynamodb:DescribeTable",
"dynamodb:Query",
"dynamodb:Scan"
],
"Resource": "arn:aws:dynamodb:us-west-2:account-id:table/Tools"
}
]
}
Вы можете просмотреть три следующих примера:
Block the user from executing any table action.
{
"Version": "2016-05-23",
"Statement": [
{
"Sid": "AllAPIActionsOnTools",
"Effect": "Deny",
"Action": "dynamodb:*",
"Resource": "arn:aws:dynamodb:us-west-2:155556789012:table/Tools"
}
]
}
Block access to a table and its indices.
{
"Version": "2016-05-23",
"Statement": [
{
"Sid": "AccessAllIndexesOnTools",
"Effect": "Deny",
"Action": [
"dynamodb:*"
],
"Resource": [
"arn:aws:dynamodb:us-west-2:155556789012:table/Tools",
"arn:aws:dynamodb:us-west-2:155556789012:table/Tools/index/*"
]
}
]
}
Block a user from making a reserved capacity offering purchase.
{
"Version": "2016-05-23",
"Statement": [
{
"Sid": "BlockReservedCapacityPurchases",
"Effect": "Deny",
"Action": "dynamodb:PurchaseReservedCapacityOfferings",
"Resource": "arn:aws:dynamodb:us-west-2:155556789012:*"
}
]
}
Предоставление привилегий: использование консоли с графическим интерфейсом пользователя
Вы также можете использовать консоль графического интерфейса для создания политик IAM. Для начала выберитеTablesиз панели навигации. В списке таблиц выберите целевую таблицу и выполните следующие действия.
Step 1 - Выберите Access control таб.
Step 2- Выберите поставщика удостоверений, действия и атрибуты политики. ВыбратьCreate policy после ввода всех настроек.
Step 3 - Выбрать Attach policy instructions, и выполните каждый необходимый шаг, чтобы связать политику с соответствующей ролью IAM.