dynamoDb izin kapsamını yalnızca bazı önek içeren tabloya ayarlamak mümkün mü?

Question

Paylaşılan aws hesabı kullanıyorum diyelim. Ben örneğin, kurulum için önek "x-ekip" ile benim tablolar istiyorum:

• x-team_customer_order
• x-team_customer

diğer bir ekip de farklı önek şeması adlandırma ile diğer tablolar vardır. Uygulama kapsamımızı sınırlamak için, her takımın kullandığı farklı kimlik bilgilerini ayarlamak istiyoruz.

Bu belgede http://docs.aws.amazon.com/amazondynamodb/latest/developerguide/ddb-api-permissions-ref.html, joker karakterini kullanırlar *, ancak tablo önek adı şeması için joker karakterini kullanmanın mümkün olmadığını gösteren bir örnek yoktur.

Answer 1

Evet, mümkün.

Bu politika bir kullanıcının kendi kullanıcı adı ve bir alt çizgi ile adlandırılır tablolar crud olanak sağlayacak:

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
     { 
      "Sid": "AllAPIActionsOnUserSpecificTable", 
      "Effect": "Allow", 
      "Action": [ 
       "dynamodb:*" 
      ], 
      "Resource": "arn:aws:dynamodb:us-west-2:494057818753:table/${aws:username}_*" 
     }, 
     { 
      "Sid": "AdditionalPrivileges", 
      "Effect": "Allow", 
      "Action": [ 
       "dynamodb:ListTables", 
       "dynamodb:DescribeTable" 
      ], 
      "Resource": "*" 
     } 
    ] 
} 

Bu çok kısaca this example in the AWS DynamoDB documentation dibinde bahsedilmiştir.

Açıkçası, kullanıcı adından farklı önekleri kullanmak isterseniz, bunu desteklemek istediğiniz her önek için ayrı ayrı politikalar yapmanız gerekir.