- DynamoDB 教程
- DynamoDB - 首頁
- DynamoDB - 概覽
- DynamoDB - 基本概念
- DynamoDB - 環境
- DynamoDB - 操作工具
- DynamoDB - 資料型別
- DynamoDB - 建立表
- DynamoDB - 載入表
- DynamoDB - 查詢表
- DynamoDB - 刪除表
- DynamoDB - API 介面
- DynamoDB - 建立專案
- DynamoDB - 獲取專案
- DynamoDB - 更新專案
- DynamoDB - 刪除專案
- DynamoDB - 批次寫入
- DynamoDB - 批次檢索
- DynamoDB - 查詢
- DynamoDB - 掃描
- DynamoDB - 索引
- 全域性二級索引
- 本地二級索引
- DynamoDB - 聚合
- DynamoDB - 訪問控制
- DynamoDB - 許可權 API
- DynamoDB - 條件
- Web 身份聯合
- DynamoDB - 資料管道
- DynamoDB - 資料備份
- DynamoDB - 監控
- DynamoDB - CloudTrail
- DynamoDB - MapReduce
- DynamoDB - 表活動
- DynamoDB - 錯誤處理
- DynamoDB - 最佳實踐
- DynamoDB 有用資源
- DynamoDB - 快速指南
- DynamoDB - 有用資源
- DynamoDB - 討論
DynamoDB - 條件
在授予許可權時,DynamoDB 允許透過具有條件鍵的詳細 IAM 策略為其指定條件。這支援諸如訪問特定專案和屬性之類的設定。
注意 - DynamoDB 不支援任何標籤。
詳細控制
一些條件允許具體到專案和屬性,例如根據使用者帳戶授予對特定專案的只讀訪問許可權。使用條件 IAM 策略實現此級別的控制,該策略管理安全憑證。然後只需將策略應用於所需的使用者、組和角色。稍後討論的主題 Web 身份聯合還提供了一種透過 Amazon、Facebook 和 Google 登入來控制使用者訪問許可權的方法。
IAM 策略的 condition 元素實現訪問控制。您只需將其新增到策略中。其用法的示例包括拒絕或允許訪問表專案和屬性。condition 元素還可以使用條件鍵來限制許可權。
您可以檢視以下兩個條件鍵示例 -
dynamodb:LeadingKeys - 它阻止沒有與分割槽鍵值匹配的 ID 的使用者訪問專案。
dynamodb:Attributes - 它阻止使用者訪問或操作未列出的屬性。
在評估時,IAM 策略會產生真或假值。如果任何部分評估為假,則整個策略評估為假,這會導致拒絕訪問。請確保在條件鍵中指定所有必需的資訊,以確保使用者擁有適當的訪問許可權。
預定義條件鍵
AWS 提供了一組預定義的條件鍵,這些鍵適用於所有服務。它們支援廣泛的用途和檢查使用者和訪問許可權的精細細節。
注意 - 條件鍵區分大小寫。
您可以檢視以下一些特定於服務的鍵 -
dynamodb:LeadingKey - 它表示表的第一個鍵屬性;分割槽鍵。在條件中使用 ForAllValues 修飾符。
dynamodb:Select - 它表示查詢/掃描請求 Select 引數。它必須是 ALL_ATTRIBUTES、ALL_PROJECTED_ATTRIBUTES、SPECIFIC_ATTRIBUTES 或 COUNT 之一。
dynamodb:Attributes - 它表示請求中的屬性名稱列表,或從請求返回的屬性。其值及其功能類似於 API 操作引數,例如,BatchGetItem 使用 AttributesToGet。
dynamodb:ReturnValues - 它表示請求的 ReturnValues 引數,並且可以使用以下值:ALL_OLD、UPDATED_OLD、ALL_NEW、UPDATED_NEW 和 NONE。
dynamodb:ReturnConsumedCapacity - 它表示請求的 ReturnConsumedCapacity 引數,並且可以使用以下值:TOTAL 和 NONE。