DynamoDB - Условия

При предоставлении разрешений DynamoDB позволяет указывать для них условия с помощью подробной политики IAM с ключами условий. Это поддерживает такие настройки, как доступ к определенным элементам и атрибутам.

Note - DynamoDB не поддерживает никаких тегов.

Детальный контроль

Некоторые условия позволяют конкретизировать элементы и атрибуты, такие как предоставление доступа только для чтения к определенным элементам на основе учетной записи пользователя. Реализуйте этот уровень контроля с помощью условных политик IAM, которые управляют учетными данными безопасности. Затем просто примените политику к нужным пользователям, группам и ролям. Web Identity Federation, тема, обсуждаемая позже, также обеспечивает способ управления доступом пользователей через логины Amazon, Facebook и Google.

Элемент условия политики IAM реализует управление доступом. Вы просто добавляете его в политику. Пример его использования состоит в запрете или разрешении доступа к элементам и атрибутам таблицы. Элемент условия может также использовать ключи условия для ограничения разрешений.

Вы можете просмотреть следующие два примера ключей условий -

  • dynamodb:LeadingKeys - Он предотвращает доступ пользователей к элементу без идентификатора, соответствующего значению ключа раздела.

  • dynamodb:Attributes - Это предотвращает доступ пользователей к атрибутам, выходящим за пределы перечисленных, или работу с ними.

При оценке политики IAM приводят к истинному или ложному значению. Если какая-либо часть оценивается как ложь, вся политика оценивается как ложь, что приводит к отказу в доступе. Обязательно укажите всю необходимую информацию в ключах условий, чтобы обеспечить пользователям соответствующий доступ.

Предопределенные ключи условий

AWS предлагает набор предопределенных ключей условий, которые применяются ко всем сервисам. Они поддерживают широкий спектр использования и мелкие детали для проверки пользователей и доступа.

Note - В условных ключах есть чувствительность к регистру.

Вы можете просмотреть выбор следующих ключей для конкретных служб -

  • dynamodb:LeadingKey- представляет собой первый ключевой атрибут таблицы; ключ раздела. Используйте модификатор ForAllValues ​​в условиях.

  • dynamodb:Select- Он представляет собой параметр выбора запроса / запроса на сканирование. Он должен иметь значение ALL_ATTRIBUTES, ALL_PROJECTED_ATTRIBUTES, SPECIFIC_ATTRIBUTES или COUNT.

  • dynamodb:Attributes- Он представляет собой список имен атрибутов в запросе или атрибуты, возвращенные из запроса. Его значения и их функции напоминают параметры действий API, например, BatchGetItem использует AttributesToGet.

  • dynamodb:ReturnValues - Он представляет собой параметр ReturnValues ​​запроса и может использовать следующие значения: ALL_OLD, UPDATED_OLD, ALL_NEW, UPDATED_NEW и NONE.

  • dynamodb:ReturnConsumedCapacity - Он представляет параметр запроса ReturnConsumedCapacity и может использовать следующие значения: TOTAL и NONE.