- DynamoDB 教程
- DynamoDB - 首页
- DynamoDB - 概览
- DynamoDB - 基本概念
- DynamoDB - 环境
- DynamoDB - 操作工具
- DynamoDB - 数据类型
- DynamoDB - 创建表
- DynamoDB - 加载表
- DynamoDB - 查询表
- DynamoDB - 删除表
- DynamoDB - API 接口
- DynamoDB - 创建项目
- DynamoDB - 获取项目
- DynamoDB - 更新项目
- DynamoDB - 删除项目
- DynamoDB - 批量写入
- DynamoDB - 批量检索
- DynamoDB - 查询
- DynamoDB - 扫描
- DynamoDB - 索引
- 全局二级索引
- 本地二级索引
- DynamoDB - 聚合
- DynamoDB - 访问控制
- DynamoDB - 权限 API
- DynamoDB - 条件
- Web 身份联合
- DynamoDB - 数据管道
- DynamoDB - 数据备份
- DynamoDB - 监控
- DynamoDB - CloudTrail
- DynamoDB - MapReduce
- DynamoDB - 表活动
- DynamoDB - 错误处理
- DynamoDB - 最佳实践
- DynamoDB 有用资源
- DynamoDB - 快速指南
- DynamoDB - 有用资源
- DynamoDB - 讨论
DynamoDB - 条件
在授予权限时,DynamoDB 允许通过具有条件键的详细 IAM 策略为其指定条件。这支持诸如访问特定项目和属性之类的设置。
注意 - DynamoDB 不支持任何标签。
详细控制
一些条件允许具体到项目和属性,例如根据用户帐户授予对特定项目的只读访问权限。使用条件 IAM 策略实现此级别的控制,该策略管理安全凭证。然后只需将策略应用于所需的使用者、组和角色。稍后讨论的主题 Web 身份联合还提供了一种通过 Amazon、Facebook 和 Google 登录来控制用户访问权限的方法。
IAM 策略的 condition 元素实现访问控制。您只需将其添加到策略中。其用法的示例包括拒绝或允许访问表项目和属性。condition 元素还可以使用条件键来限制权限。
您可以查看以下两个条件键示例 -
dynamodb:LeadingKeys - 它阻止没有与分区键值匹配的 ID 的用户访问项目。
dynamodb:Attributes - 它阻止用户访问或操作未列出的属性。
在评估时,IAM 策略会产生真或假值。如果任何部分评估为假,则整个策略评估为假,这会导致拒绝访问。请确保在条件键中指定所有必需的信息,以确保用户拥有适当的访问权限。
预定义条件键
AWS 提供了一组预定义的条件键,这些键适用于所有服务。它们支持广泛的用途和检查用户和访问权限的精细细节。
注意 - 条件键区分大小写。
您可以查看以下一些特定于服务的键 -
dynamodb:LeadingKey - 它表示表的第一个键属性;分区键。在条件中使用 ForAllValues 修饰符。
dynamodb:Select - 它表示查询/扫描请求 Select 参数。它必须是 ALL_ATTRIBUTES、ALL_PROJECTED_ATTRIBUTES、SPECIFIC_ATTRIBUTES 或 COUNT 之一。
dynamodb:Attributes - 它表示请求中的属性名称列表,或从请求返回的属性。其值及其功能类似于 API 操作参数,例如,BatchGetItem 使用 AttributesToGet。
dynamodb:ReturnValues - 它表示请求的 ReturnValues 参数,并且可以使用以下值:ALL_OLD、UPDATED_OLD、ALL_NEW、UPDATED_NEW 和 NONE。
dynamodb:ReturnConsumedCapacity - 它表示请求的 ReturnConsumedCapacity 参数,并且可以使用以下值:TOTAL 和 NONE。