При предоставлении разрешений DynamoDB позволяет указывать для них условия с помощью подробной политики IAM с ключами условий. Это поддерживает такие настройки, как доступ к определенным элементам и атрибутам.
Примечание . DynamoDB не поддерживает теги.
Детальный контроль
Некоторые условия допускают конкретизацию элементов и атрибутов, например предоставление доступа только для чтения к определенным элементам на основе учетной записи пользователя. Реализуйте этот уровень контроля с помощью условных политик IAM, которые управляют учетными данными безопасности. Затем просто примените политику к нужным пользователям, группам и ролям. Федерация веб-идентичности, о которой пойдет речь позже, также предоставляет способ управления доступом пользователей через учетные записи Amazon, Facebook и Google.
Элемент условия политики IAM реализует управление доступом. Вы просто добавляете это в политику. Пример его использования состоит в запрещении или разрешении доступа к элементам и атрибутам таблицы. Элемент condition также может использовать ключи условия для ограничения разрешений.
Вы можете просмотреть следующие два примера ключей условия:
-
dynamicodb: LeadingKeys — запрещает доступ к элементу пользователям без идентификатора, соответствующего значению ключа раздела.
-
dynamicodb: Attributes — запрещает пользователям доступ или работу с атрибутами, не входящими в список.
dynamicodb: LeadingKeys — запрещает доступ к элементу пользователям без идентификатора, соответствующего значению ключа раздела.
dynamicodb: Attributes — запрещает пользователям доступ или работу с атрибутами, не входящими в список.
При оценке политики IAM приводят к истинному или ложному значению. Если какая-либо часть оценивается как ложная, вся политика оценивается как ложная, что приводит к отказу в доступе. Обязательно укажите всю необходимую информацию в условных ключах, чтобы обеспечить пользователям соответствующий доступ.
Предопределенные ключи условия
AWS предлагает набор предопределенных ключей условий, которые применяются ко всем сервисам. Они поддерживают широкий спектр использования и мелкие детали при проверке пользователей и доступа.
Примечание. Чувствительность к регистру в клавишах условий.
Вы можете просмотреть выбор следующих сервисных ключей —
dynamicodb: LeadingKey — представляет первый ключевой атрибут таблицы; ключ раздела. Используйте модификатор ForAllValues в условиях.
dynamicodb: Select — представляет запрос / запрос на сканирование. Выберите параметр. Он должен иметь значение ALL_ATTRIBUTES, ALL_PROJECTED_ATTRIBUTES, SPECIFIC_ATTRIBUTES или COUNT.
dynamicodb: Attributes — представляет список имен атрибутов в запросе или атрибуты, возвращаемые из запроса. Его значения и их функции напоминают параметры действий API, например, BatchGetItem использует AttributesToGet.
dynamicodb: ReturnValues — представляет параметр запроса ReturnValues и может использовать следующие значения: ALL_OLD, UPDATED_OLD, ALL_NEW, UPDATED_NEW и NONE.
dynamicodb: ReturnConsumedCapacity — представляет параметр запроса ReturnConsumedCapacity и может использовать следующие значения: TOTAL и NONE.