DynamoDB - Conditions

En accordant des autorisations, DynamoDB permet de spécifier des conditions pour celles-ci via une stratégie IAM détaillée avec des clés de condition. Cela prend en charge des paramètres tels que l'accès à des éléments et attributs spécifiques.

Note - Le DynamoDB ne prend en charge aucune balise.

Contrôle détaillé

Plusieurs conditions permettent la spécificité des éléments et des attributs tels que l'octroi d'un accès en lecture seule à des éléments spécifiques en fonction du compte d'utilisateur. Implémentez ce niveau de contrôle avec des stratégies IAM conditionnées, qui gèrent les informations d'identification de sécurité. Ensuite, appliquez simplement la stratégie aux utilisateurs, groupes et rôles souhaités. Web Identity Federation, un sujet abordé plus tard, fournit également un moyen de contrôler l'accès des utilisateurs via les connexions Amazon, Facebook et Google.

L'élément condition de la stratégie IAM implémente le contrôle d'accès. Vous l'ajoutez simplement à une politique. Un exemple de son utilisation consiste à refuser ou à autoriser l'accès aux éléments et attributs de table. L'élément condition peut également utiliser des clés de condition pour limiter les autorisations.

Vous pouvez consulter les deux exemples suivants de clés de condition -

  • dynamodb:LeadingKeys - Il empêche l'accès à l'élément par les utilisateurs sans ID correspondant à la valeur de la clé de partition.

  • dynamodb:Attributes - Il empêche les utilisateurs d'accéder ou d'opérer sur des attributs en dehors de ceux répertoriés.

Lors de l'évaluation, les stratégies IAM donnent une valeur vraie ou fausse. Si une partie est évaluée à false, l'ensemble de la stratégie est évaluée à false, ce qui entraîne un refus d'accès. Assurez-vous de spécifier toutes les informations requises dans les clés de condition pour vous assurer que les utilisateurs disposent d'un accès approprié.

Clés de condition prédéfinies

AWS propose une collection de clés de condition prédéfinies, qui s'appliquent à tous les services. Ils prennent en charge un large éventail d'utilisations et des détails fins lors de l'examen des utilisateurs et de l'accès.

Note - Il y a une sensibilité à la casse dans les clés de condition.

Vous pouvez consulter une sélection des clés spécifiques au service suivantes -

  • dynamodb:LeadingKey- Il représente le premier attribut clé d'une table; la clé de partition. Utilisez le modificateur ForAllValues ​​dans les conditions.

  • dynamodb:Select- Il représente un paramètre de sélection de requête / requête d'analyse. Il doit avoir la valeur ALL_ATTRIBUTES, ALL_PROJECTED_ATTRIBUTES, SPECIFIC_ATTRIBUTES ou COUNT.

  • dynamodb:Attributes- Il représente une liste de noms d'attributs dans une demande, ou des attributs renvoyés par une demande. Ses valeurs et leurs fonctions ressemblent aux paramètres d'action de l'API, par exemple, BatchGetItem utilise AttributesToGet.

  • dynamodb:ReturnValues - Il représente le paramètre ReturnValues ​​d'une requête et peut utiliser ces valeurs: ALL_OLD, UPDATED_OLD, ALL_NEW, UPDATED_NEW et NONE.

  • dynamodb:ReturnConsumedCapacity - Il représente le paramètre ReturnConsumedCapacity d'une requête et peut utiliser les valeurs suivantes: TOTAL et NONE.