DynamoDB - เงื่อนไข

ในการให้สิทธิ์ DynamoDB อนุญาตให้ระบุเงื่อนไขสำหรับเงื่อนไขเหล่านี้ผ่านนโยบาย IAM โดยละเอียดพร้อมด้วยคีย์เงื่อนไข รองรับการตั้งค่าเช่นการเข้าถึงรายการและแอตทริบิวต์เฉพาะ

Note - DynamoDB ไม่รองรับแท็กใด ๆ

การควบคุมโดยละเอียด

เงื่อนไขหลายประการอนุญาตให้มีความเฉพาะเจาะจงลงไปที่รายการและแอตทริบิวต์เช่นการอนุญาตให้เข้าถึงรายการเฉพาะตามบัญชีผู้ใช้ ใช้การควบคุมระดับนี้ด้วยนโยบาย IAM ที่มีเงื่อนไขซึ่งจะจัดการข้อมูลรับรองความปลอดภัย จากนั้นใช้นโยบายกับผู้ใช้กลุ่มและบทบาทที่ต้องการ Web Identity Federation ซึ่งเป็นหัวข้อที่กล่าวถึงในภายหลังยังมีวิธีควบคุมการเข้าถึงของผู้ใช้ผ่านการเข้าสู่ระบบของ Amazon, Facebook และ Google

องค์ประกอบเงื่อนไขของนโยบาย IAM ใช้การควบคุมการเข้าถึง คุณเพียงแค่เพิ่มลงในนโยบาย ตัวอย่างการใช้งานประกอบด้วยการปฏิเสธหรืออนุญาตให้เข้าถึงรายการตารางและแอตทริบิวต์ องค์ประกอบเงื่อนไขยังสามารถใช้คีย์เงื่อนไขเพื่อ จำกัด สิทธิ์

คุณสามารถตรวจสอบสองตัวอย่างต่อไปนี้ของคีย์เงื่อนไข -

  • dynamodb:LeadingKeys - ป้องกันการเข้าถึงรายการโดยผู้ใช้ที่ไม่มี ID ที่ตรงกับค่าคีย์พาร์ติชัน

  • dynamodb:Attributes - ป้องกันไม่ให้ผู้ใช้เข้าถึงหรือดำเนินการกับแอตทริบิวต์ภายนอกที่ระบุไว้

ในการประเมินผลนโยบาย IAM จะให้ผลลัพธ์เป็นค่าจริงหรือเท็จ หากส่วนใดประเมินว่าเป็นเท็จนโยบายทั้งหมดจะประเมินเป็นเท็จซึ่งส่งผลให้เกิดการปฏิเสธการเข้าถึง อย่าลืมระบุข้อมูลที่จำเป็นทั้งหมดในคีย์เงื่อนไขเพื่อให้แน่ใจว่าผู้ใช้สามารถเข้าถึงได้อย่างเหมาะสม

คีย์เงื่อนไขที่กำหนดไว้ล่วงหน้า

AWS มีชุดคีย์เงื่อนไขที่กำหนดไว้ล่วงหน้าซึ่งใช้กับบริการทั้งหมด รองรับการใช้งานที่หลากหลายและมีรายละเอียดในการตรวจสอบผู้ใช้และการเข้าถึง

Note - มีความไวของตัวพิมพ์เล็กและใหญ่ในปุ่มเงื่อนไข

คุณสามารถตรวจสอบการเลือกคีย์เฉพาะบริการต่อไปนี้ -

  • dynamodb:LeadingKey- แสดงถึงแอตทริบิวต์หลักแรกของตาราง คีย์พาร์ติชัน ใช้ตัวปรับแต่ง ForAllValues ​​ในเงื่อนไข

  • dynamodb:Select- แสดงถึงพารามิเตอร์การร้องขอการค้นหา / สแกนเลือก ต้องเป็นค่า ALL_ATTRIBUTES, ALL_PROJECTED_ATTRIBUTES, SPECIFIC_ATTRIBUTES หรือ COUNT

  • dynamodb:Attributes- แสดงถึงรายการชื่อแอตทริบิวต์ภายในคำขอหรือแอตทริบิวต์ที่ส่งคืนจากคำขอ ค่าและฟังก์ชันคล้ายกับพารามิเตอร์การดำเนินการของ API เช่น BatchGetItem ใช้ AttributesToGet

  • dynamodb:ReturnValues - แสดงถึงพารามิเตอร์ ReturnValues ​​ของคำขอและสามารถใช้ค่าเหล่านี้: ALL_OLD, UPDATED_OLD, ALL_NEW, UPDATED_NEW และ NONE

  • dynamodb:ReturnConsumedCapacity - แสดงถึงพารามิเตอร์ ReturnConsumedCapacity ของคำขอและสามารถใช้ค่าเหล่านี้: TOTAL และ NONE