我有一个dynamodb表,IAM用户正在通过该应用程序访问该表。但是问题是登录到AWS Console的任何管理员用户都可以导航到dynamodb表并查看其中的项目。根据我们的安全政策;这是不允许的。
有人可以建议是否可以从AWS GUI阻止对dynamodb项目的访问吗?
答案 0 :(得分:0)
DynamoDB不支持基于资源的策略。因此,有两种解决方法。
创建一个拒绝访问DynamoDB表的IAM策略,并将该策略应用于所有IAM用户。您还必须拒绝访问,禁止某些IAM操作,以防止管理员用户删除拒绝DynamoDB访问策略。 IAM权限边界也许可以帮助您。更新您的应用程序以使用IAM角色而不是IAM用户。
对DynamoDB数据使用客户端加密,因此管理员只能查看DynamoDB中的加密数据。您可以为此使用KMS,但是根据您管理加密的方式,KMS成本可能远远超过DynamoDB成本。