DynamoDB - Condiciones
Al otorgar permisos, DynamoDB permite especificar condiciones para ellos a través de una política de IAM detallada con claves de condición. Esto admite configuraciones como el acceso a elementos y atributos específicos.
Note - DynamoDB no admite etiquetas.
Control detallado
Varias condiciones permiten la especificidad hasta los elementos y atributos, como otorgar acceso de solo lectura a elementos específicos según la cuenta del usuario. Implemente este nivel de control con políticas de IAM condicionadas, que administran las credenciales de seguridad. Luego, simplemente aplique la política a los usuarios, grupos y roles deseados. Web Identity Federation, un tema que se discutirá más adelante, también proporciona una forma de controlar el acceso de los usuarios a través de los inicios de sesión de Amazon, Facebook y Google.
El elemento de condición de la política de IAM implementa el control de acceso. Simplemente agréguelo a una política. Un ejemplo de su uso consiste en denegar o permitir el acceso a los elementos y atributos de la tabla. El elemento de condición también puede emplear claves de condición para limitar los permisos.
Puede revisar los dos ejemplos siguientes de claves de condición:
dynamodb:LeadingKeys - Evita que los usuarios accedan al elemento sin un ID que coincida con el valor de la clave de partición.
dynamodb:Attributes - Evita que los usuarios accedan o utilicen atributos fuera de los enumerados.
En la evaluación, las políticas de IAM dan como resultado un valor verdadero o falso. Si alguna parte se evalúa como falsa, toda la política se evalúa como falsa, lo que da como resultado la denegación de acceso. Asegúrese de especificar toda la información requerida en las claves de condición para garantizar que los usuarios tengan el acceso adecuado.
Claves de condición predefinidas
AWS ofrece una colección de claves de condición predefinidas, que se aplican a todos los servicios. Admiten una amplia gama de usos y detalles finos al examinar los usuarios y el acceso.
Note - Hay distinción entre mayúsculas y minúsculas en las claves de condición.
Puede revisar una selección de las siguientes claves específicas del servicio:
dynamodb:LeadingKey- Representa el primer atributo clave de una tabla; la clave de partición. Utilice el modificador ForAllValues en condiciones.
dynamodb:Select- Representa un parámetro de selección de solicitud de consulta / escaneo. Debe tener el valor ALL_ATTRIBUTES, ALL_PROJECTED_ATTRIBUTES, SPECIFIC_ATTRIBUTES o COUNT.
dynamodb:Attributes- Representa una lista de nombres de atributo dentro de una solicitud o atributos devueltos de una solicitud. Sus valores y sus funciones se asemejan a los parámetros de acción de la API, por ejemplo, BatchGetItem usa AttributesToGet.
dynamodb:ReturnValues - Representa el parámetro ReturnValues de una solicitud y puede utilizar estos valores: ALL_OLD, UPDATED_OLD, ALL_NEW, UPDATED_NEW y NONE.
dynamodb:ReturnConsumedCapacity - Representa el parámetro ReturnConsumedCapacity de una solicitud y puede usar estos valores: TOTAL y NONE.