Amazon dynamodb 是否可以将dynamoDb权限范围设置为仅包含某些前缀的表?
假设我使用的是共享aws帐户。我想设置前缀为“x-team”的表格,例如:Amazon dynamodb 是否可以将dynamoDb权限范围设置为仅包含某些前缀的表?,amazon-dynamodb,amazon-iam,Amazon Dynamodb,Amazon Iam,假设我使用的是共享aws帐户。我想设置前缀为“x-team”的表格,例如: x团队\客户\订单 x团队客户 另一个团队还有其他具有不同前缀命名方案的表。为了限制我们的应用范围,我们需要设置每个团队使用的不同凭证 在本文件中http://docs.aws.amazon.com/amazondynamodb/latest/developerguide/ddb-api-permissions-ref.html,它们使用通配符*,但没有说明可以对表的前缀名称方案使用通配符。是的,这是可能的 此策略允
- x团队\客户\订单
- x团队客户
http://docs.aws.amazon.com/amazondynamodb/latest/developerguide/ddb-api-permissions-ref.html
,它们使用通配符*,但没有说明可以对表的前缀名称方案使用通配符。是的,这是可能的
此策略允许用户创建、读取、更新和删除使用用户名和下划线命名的表:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllAPIActionsOnUserSpecificTable",
"Effect": "Allow",
"Action": [
"dynamodb:*"
],
"Resource": "arn:aws:dynamodb:us-west-2:494057818753:table/${aws:username}_*"
},
{
"Sid": "AdditionalPrivileges",
"Effect": "Allow",
"Action": [
"dynamodb:ListTables",
"dynamodb:DescribeTable"
],
"Resource": "*"
}
]
}
这是非常简短地提到了底部的报告
显然,如果您想使用不同于您可以使用的用户名的前缀,您只需要为您想要支持的每个前缀制定单独的策略