如何在DynamoDB中创建策略,允许相应的IAM用户仅修改表中的文档子集?
例如,我们说有一个属性published,
我希望这个IAM用户执行PutItem和UpdateItem
在有published: false。
答案 0 :(得分:2)
您只能对哈希键值使用DynamoDB细粒度访问控制。您可以将预先设置为“草稿”的项目保存到哈希键值,并使用以下策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"dynamodb:UpdateItem",
],
"Resource": [
"arn:aws:dynamodb:REGION:ACCOUNT_NUMBER:table/TABLE_NAME"
],
"Condition": {
"ForAllValues:StringLike": {
"dynamodb:LeadingKeys": ["draft*"],
}
}
}
]
}
改编自https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/FGAC_DDB.html