Dynamodb-conditions
提供:Dev Guides
DynamoDB-条件
権限を付与する際、DynamoDBでは、条件キーを使用した詳細なIAMポリシーを介して権限を指定できます。 これは、特定のアイテムや属性へのアクセスなどの設定をサポートします。
注意-DynamoDBはタグをサポートしていません。
詳細な制御
いくつかの条件では、ユーザーアカウントに基づいて特定のアイテムへの読み取り専用アクセスを許可するなど、アイテムおよび属性を特定できます。 セキュリティ資格情報を管理する条件付きIAMポリシーを使用して、このレベルの制御を実装します。 次に、目的のユーザー、グループ、およびロールにポリシーを適用します。 後述するトピックであるWeb Identity Federationは、Amazon、Facebook、およびGoogleのログインを介したユーザーアクセスを制御する方法も提供します。
IAMポリシーの条件要素は、アクセス制御を実装します。 ポリシーに追加するだけです。 その使用例は、テーブル項目と属性へのアクセスを拒否または許可することです。 条件要素は、条件キーを使用して権限を制限することもできます。
条件キーの次の2つの例を確認できます-
- dynamodb:LeadingKeys -パーティションキーの値と一致するIDを持たないユーザーによるアイテムアクセスを防ぎます。
- dynamodb:Attributes -ユーザーがリストされている属性以外の属性にアクセスしたり操作したりできないようにします。
評価では、IAMポリシーは真または偽の値になります。 いずれかの部分が偽と評価された場合、ポリシー全体が偽と評価され、アクセスが拒否されます。 ユーザーが適切にアクセスできるように、条件キーに必要な情報をすべて指定してください。
定義済みの条件キー
AWSは、すべてのサービスに適用される事前定義された条件キーのコレクションを提供します。 これらは、ユーザーとアクセスの調査において幅広い用途と詳細をサポートします。
注意-条件キーには大文字と小文字の区別があります。
次のサービス固有のキーの選択を確認できます-
- dynamodb:LeadingKey -テーブルの最初のキー属性を表します。パーティションキー。 条件でForAllValues修飾子を使用します。
- dynamodb:Select -クエリ/スキャンリクエストのSelectパラメーターを表します。 値はALL_ATTRIBUTES、ALL_PROJECTED_ATTRIBUTES、SPECIFIC_ATTRIBUTES、またはCOUNTでなければなりません。
- dynamodb:Attributes -リクエスト内の属性名リスト、またはリクエストから返された属性を表します。 その値とその機能は、APIアクションパラメーターに似ています。たとえば、BatchGetItemはAttributesToGetを使用します。
- dynamodb:ReturnValues -リクエストのReturnValuesパラメーターを表し、ALL_OLD、UPDATED_OLD、ALL_NEW、UPDATED_NEW、NONEの値を使用できます。
- dynamodb:ReturnConsumedCapacity -要求のReturnConsumedCapacityパラメーターを表し、TOTALおよびNONEの値を使用できます。