📅  最后修改于: 2020-11-28 14:06:07             🧑  作者: Mango
在授予权限时,DynamoDB允许通过带有条件键的详细IAM策略为其指定条件。这支持诸如访问特定项目和属性的设置。
注– DynamoDB不支持任何标签。
若干条件允许对项目和属性进行专一化,例如根据用户帐户授予对特定项目的只读访问权限。使用条件IAM策略实施此级别的控制,该条件可管理安全凭证。然后只需将策略应用于所需的用户,组和角色。 Web Identity Federation(稍后讨论的主题)还提供了一种通过Amazon,Facebook和Google登录名控制用户访问的方法。
IAM策略的条件元素实现访问控制。您只需将其添加到策略中。它的用法示例包括拒绝或允许访问表项和属性。条件元素还可以使用条件键来限制权限。
您可以查看以下两个条件键示例-
dynamodb:LeadingKeys-它阻止用户在ID与分区键值不匹配的情况下访问项目。
dynamodb:Attributes-它防止用户访问或操作所列属性以外的属性。
根据评估,IAM策略会得出正确或错误的值。如果任何部分的评估结果为假,则整个策略的评估结果为假,这将导致拒绝访问。确保在条件键中指定所有必需的信息,以确保用户具有适当的访问权限。
AWS提供了适用于所有服务的预定义条件键的集合。它们支持检查用户和访问权限的广泛用途和详细信息。
注–条件键中区分大小写。
您可以查看以下特定于服务的键的选择-
dynamodb:LeadingKey-代表表的第一个键属性;分区键。在条件中使用ForAllValues修饰符。
dynamodb:Select-表示查询/扫描请求的Select参数。它的值必须为ALL_ATTRIBUTES,ALL_PROJECTED_ATTRIBUTES,SPECIFIC_ATTRIBUTES或COUNT。
dynamodb:Attributes-它表示请求中的属性名称列表,或从请求返回的属性。它的值及其功能类似于API操作参数,例如BatchGetItem使用AttributesToGet。
dynamodb:ReturnValues-表示请求的ReturnValues参数,并且可以使用以下值:ALL_OLD,UPDATED_OLD,ALL_NEW,UPDATED_NEW和NONE。
dynamodb:ReturnConsumedCapacity-代表请求的ReturnConsumedCapacity参数,可以使用以下值:TOTAL和NONE。