growing hard days.

DynamoDB IAMポリシーで特定属性だけを許可する

2021/01/11 2021/01/11

検証記録です。

目次

対象テーブル

書籍のサンプルで作ったこちらです。
所属バンドの楽曲配信記録を蓄積するイメージのテーブルです。

IAMポリシー

IAMポリシーはユーザーガイドAmazon DynamoDB: 特定の列へのアクセスの許可を参考に、スキャンだけ許可した次のポリシーにしました。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:Scan"
            ],
            "Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/SongsRevenue",
            "Condition": {
                "ForAllValues:StringEquals": {
                    "dynamodb:Attributes": [
                        "ISRC",
                        "RevenueId",
                        "Month"
                    ]
                },
                "StringEqualsIfExists": {"dynamodb:Select": "SPECIFIC_ATTRIBUTES"}
            }
        }
    ]
}

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

{

"Version": "2012-10-17",

"Statement": [

{

"Effect": "Allow",

"Action": [

"dynamodb:Scan"

],

"Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/SongsRevenue",

"Condition": {

"ForAllValues:StringEquals": {

"dynamodb:Attributes": [

"ISRC",

"RevenueId",

"Month"

]

},

"StringEqualsIfExists": {"dynamodb:Select": "SPECIFIC_ATTRIBUTES"}

}

}

]

}

属性で、ISRC, RevenueId, Monthのみ許可しています。

実行

IAMユーザーには、AWS管理ポリシーAWSCloudShellFullAccessをアタッチして、CloudShellを使えるようにしました。
CloudShellでPython3からboto3を使います。

$ python3

1

2

$ python3

import boto3
table = boto3.resource('dynamodb').Table('SongsRevenue')
table.scan(
    ProjectionExpression='ISRC, RevenueId, #M',
    ExpressionAttributeNames={
       '#M': 'Month'
    }
)

1

2

3

4

5

6

7

8

9

import boto3

table = boto3.resource('dynamodb').Table('SongsRevenue')

table.scan(

ProjectionExpression='ISRC, RevenueId, #M',

ExpressionAttributeNames={

'#M': 'Month'

}

)

ProjectionExpressionで属性を指定して実行したら、結果が表示されました。

table.scan()

1 2	table.scan()

ProjectionExpressionなしで実行すると、「is not authorized to perform: dynamodb:Scan」になりました。

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「AWS認定資格試験テキスト　AWS認定AIプラクティショナー」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, dynamodb

Tweet

関連記事

: ハンズオン目的アカウントに設定しているSCPポリシー

AWS Organizationsでハンズオン目的のアカウントに設定しているSC …

: EC2インスタンスプロファイルによってAssumeRoleされた認証情報の有効期限は短くできるのでしょうか

「EC2インスタンスプロファイルによってAssumeRoleされた認証情報の有効 …

: CloudFrontディストリビューションを別アカウントへ移動する

すでにCNAMEを設定しているCloudFrontディストリビューションを、別ア …

: AWS Cost Explorerの設定で「EC2リソースの推奨事項を受け取る」を有効にしました

「EC2リソースの推奨事項を受け取る」という機能がAWS Cost Explor …

: AWS KMSのキーポリシーとアイデンティティベースポリシー

AWS KMSのCMKを作成する際に、管理者とキーユーザーを選択することで、以下 …

: AWS Lambda(Python)でDynamoDB テーブルを日次で削除/作成(オートスケーリング付き)

この記事はAWS #2 Advent Calendar 2018に参加した記事で …

: AWSルートユーザーのパスワード復旧

AWSルートユーザーのパスワード最設定は、メールアドレスだけでいいのですね。 M …

: AWSアカウント内のすべてのS3バケットを削除するLambda(Python)

やりたいこと特定アカウント内のS3バケットを全部削除したいです。バケット内の …

: ADOT用のAWS マネージド型 Lambda レイヤーを使ってトレースを送信する

2025年11月にAWS X-Ray SDK / Daemon のサポート終了と …

: Active Directory認証でAWSマネジメントコンソールにSSO

こちらの2つのサイトを参考にすすめました。 Active Directory資産 …

PREV: DynamoDB IAMポリシーで特定項目だけを許可する
NEXT: API Gateway Lambdaプロキシ統合で渡されるリクエストを確認しました