DynamoDB IAMポリシーで特定項目だけを許可する

2021/01/10 2021/01/10

検証記録です。

対象テーブル

書籍のサンプルで作ったこちらです。
所属バンドの楽曲配信記録を蓄積するイメージのテーブルです。

IAMポリシー

IAMポリシーはユーザーガイドAmazon DynamoDB: DynamoDB ID に基づいた Amazon Cognito への行レベルのアクセスを許可するを参考に、クエリだけ許可した次のポリシーにしました。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:Query"
            ],
            "Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/SongsRevenue",
            "Condition": {
                "ForAllValues:StringEquals": {
                    "dynamodb:LeadingKeys": "TCJPC1574876"
                }
            }
        }
    ]
}

{

"Version": "2012-10-17",

"Statement": [

{

"Effect": "Allow",

"Action": [

"dynamodb:Query"

"Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/SongsRevenue",

"Condition": {

"ForAllValues:StringEquals": {

"dynamodb:LeadingKeys": "TCJPC1574876"

}

]

}

ISRCキーがTCJPC1574876の項目のみ許可しています。

実行

IAMユーザーには、AWS管理ポリシーAWSCloudShellFullAccessをアタッチして、CloudShellを使えるようにしました。
CloudShellでPython3からboto3を使います。

$ python3

$ python3

import boto3
table = boto3.resource('dynamodb').Table('SongsRevenue')
from boto3.dynamodb.conditions import Key
table.query(
    KeyConditionExpression=Key('ISRC').eq('TCJPC1574876')
)

import boto3

table = boto3.resource('dynamodb').Table('SongsRevenue')

from boto3.dynamodb.conditions import Key

table.query(

KeyConditionExpression=Key('ISRC').eq('TCJPC1574876')

)

結果が表示されました。

table.query(
    KeyConditionExpression=Key('ISRC').eq('TCJPC00000')
)

table.query(

KeyConditionExpression=Key('ISRC').eq('TCJPC00000')

)

キーの値を変えて実行すると、「is not authorized to perform: dynamodb:Query」になりました。

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「AWS認定資格試験テキスト　AWS認定AIプラクティショナー」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

@yamamanx

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, dynamodb

: AWS CDKでリージョンをまたいだクロススタックリファレンスはできなかった

例えばこんなコードが実行できるかというと、 [crayon-69e0f9c95d …

: AWSアカウント内のすべてのS3バケットを削除するLambda(Python)

やりたいこと特定アカウント内のS3バケットを全部削除したいです。バケット内の …

: API Gatewayで顧客レベルの使用量プランを設定する

API GatewayのAPIキーを使って使用量プランでのスロットリングも設定し …

: Lambdaでちょっとしたコードを試すときに便利なエディタのフルスクリーン機能

Lambda歴6年で、はじめて使いました。この存在に気がついてなかったです。 …

: Amazon EC2(Amazon Linux 2)にRedmine3.4をインストール

久しぶりに新しい環境でRedmineを構築したくなり、せっかくなのでAmazon …

: AWS CLIを使用せずにCodeCommitへhttpsで接続する

AWS CLIやアクセスキーID、シークレットアクセスキーなどを開発環境にセット …

: boto3(Python SDK) s3 get_object でバイト範囲を指定する

S3のGetObjectアクションでバイト範囲を指定することができます。それに …

: AWS Systems Manager Run CommandでEC2 Linuxのユーザーとカレントディレクトリを確認

AWS Systems Manager Run CommandからEC2 Lin …

: AWS認定SAPの執筆開始にあたって環境を構築しました

AWS認定ソリューションアーキテクトプロフェッショナル対策本の執筆開始にあたりま …

: S3バケットポリシーで特定のVPCエンドポイント以外からのリクエストを拒否しつつメンテナンスはしたい

特定のVPCで実行されているEC2のアプリケーションからのリクエストだけを許可し …

PREV: S3バケットにWebフォントをアップロードしてCORSを設定する
NEXT: DynamoDB IAMポリシーで特定属性だけを許可する

DynamoDB IAMポリシーで特定項目だけを許可する

対象テーブル

IAMポリシー

実行

関連記事