是否可以将dynamoDb权限范围设置为仅包含某些前缀的表?

时间:2016-04-04 03:51:48

标签: amazon-dynamodb amazon-iam

假设我正在使用共享的aws帐户。我想用前缀“x-team”设置我的表格,例如:

  • 的x team_customer_order
  • 的x team_customer

另一个团队还有其他表具有不同的前缀命名方案。为了限制我们的应用范围,我们希望设置每个团队使用的不同凭证。

在此文档http://docs.aws.amazon.com/amazondynamodb/latest/developerguide/ddb-api-permissions-ref.html中,它们使用通配符*,但没有说明可以对表的前缀名称方案使用通配符。

1 个答案:

答案 0 :(得分:2)

是的,这是可能的。

此策略允许用户创建,读取,更新和删除使用其用户名和下划线命名的表:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllAPIActionsOnUserSpecificTable",
            "Effect": "Allow",
            "Action": [
                "dynamodb:*"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:494057818753:table/${aws:username}_*"
        },
        {
            "Sid": "AdditionalPrivileges",
            "Effect": "Allow",
            "Action": [
                "dynamodb:ListTables",
                "dynamodb:DescribeTable"
            ],
            "Resource": "*"
        }
    ]
}

this example in the AWS DynamoDB documentation的底部非常简要地提到了这一点。

显然,如果您想使用与用户名不同的前缀,您只需为要支持的每个前缀制定单独的政策。

相关问题
最新问题