DynamoDB IAMポリシーで特定項目だけを許可する
2021/01/10
検証記録です。
目次
対象テーブル
書籍のサンプルで作ったこちらです。
所属バンドの楽曲配信記録を蓄積するイメージのテーブルです。
IAMポリシー
IAMポリシーはユーザーガイドAmazon DynamoDB: DynamoDB ID に基づいた Amazon Cognito への行レベルのアクセスを許可するを参考に、クエリだけ許可した次のポリシーにしました。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:Query" ], "Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/SongsRevenue", "Condition": { "ForAllValues:StringEquals": { "dynamodb:LeadingKeys": "TCJPC1574876" } } } ] } |
ISRCキーがTCJPC1574876の項目のみ許可しています。
実行
IAMユーザーには、AWS管理ポリシーAWSCloudShellFullAccessをアタッチして、CloudShellを使えるようにしました。
CloudShellでPython3からboto3を使います。
1 2 |
$ python3 |
1 2 3 4 5 6 7 |
import boto3 table = boto3.resource('dynamodb').Table('SongsRevenue') from boto3.dynamodb.conditions import Key table.query( KeyConditionExpression=Key('ISRC').eq('TCJPC1574876') ) |
結果が表示されました。
1 2 3 4 |
table.query( KeyConditionExpression=Key('ISRC').eq('TCJPC00000') ) |
キーの値を変えて実行すると、「is not authorized to perform: dynamodb:Query」になりました。
最後までお読みいただきましてありがとうございました!
「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル 改訂第2版」という本を書きました。
「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー 改訂第3版」という本を書きました。
「ポケットスタディ AWS認定 デベロッパーアソシエイト [DVA-C02対応] 」という本を書きました。
「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。
「AWSではじめるLinux入門ガイド」という本を書きました。
開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。
このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。
また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。
ad
ad
関連記事
-
EC2 Amazon Linux 2 にAmazon LinuxからWordPressを移行
このブログを新しいインスタンスに移行することにしました。 2015年5月にAma …
-
AWS LambdaでS3 Select
RDSスナップショットをS3にエクスポートした、Parquetフォーマットのデー …
-
AWS CodeStarで静的webサイトのテンプレートプロジェクトを作成する
執筆環境の検討中です。 CodeCommitは使うつもりで、コミットしたときにE …
-
Transit GatewayポリシーテーブルでCloud WANのコアネットワークに接続しました
「ポリシーテーブルってなんですか?」のご質問をいただいたので設定してみました。 …
-
AWS Lambda(Python)からTwitterに投稿する
「GoogleフォームからAPI Gatewayで作成したREST APIにPO …
-
EKS「現在の IAM プリンシパルは、このクラスター上の Kubernetes オブジェクトにアクセスできません」
マネジメントコンソールでクラスターのオブジェクトを見ようと、リソースの名前空間や …
-
「JAWS-UG in AWS Cloud Roadshow 2017 大阪」で運営をしました
AWS Cloud Roadshow 2017 大阪のナイトイベントで、「JAW …
-
DynamoDBテーブル項目をS3にエクスポート
DynamoDBテーブルを一時テーブルとして使っていて、毎回使い捨てしてます。 …
-
AWSアカウントでルートユーザーが使用されたときにTeamsへ投稿する
Organizations組織内のアカウントのいずれかでルートユーザーが使用され …
-
Lucidchart AWSアカウントからインポート機能で自動作図
SNSでLucidchartというサービスが話題になってました。 AWSの環境を …