DynamoDB 多租户 IAM 策略（与其他用户共享文档）

Question

我正在尝试使用 DynamoDB 和 Cognito 创建一个多租户应用程序。该文档非常清楚地说明了如何实现细粒度授权，以便用户只能访问自己的记录，方法是向 IAM 访问策略添加条件，如下所示：

"Condition": {
                "ForAllValues:StringEquals": {
                    "dynamodb:LeadingKeys": [
                        "${cognito-identity.amazonaws.com:sub}"
                    ]
                 }
             }

当 Cognito 用户 ID 是行的哈希键时，这对于允许用户读取和写入自己的记录非常有用，但我正在努力解决如何允许其他用户对某些记录具有只读访问权限。

以我对拥有多门课程的学生的模型为例：

{
    “student_id”: “ABC-1234567”,
    “course_name”: “Statistics 101”,
    “tutors”: [“Cognito-sub-1”, “Cognito-sub-2”],
    “seminar_reviews”: [ 
        {
            “seminar_id”: “XXXYYY-12345”
            “date”: “2018-01-12”,
            “score”: “8”,
            “comments”: “Nice class!”  
        },
        {
            “seminar_id”: “ABCDEF-98765”
            “date”: “2018-01-25”,
            “score”: “3”,
            “comments”: “Boring.”  
        }
    ]
}

（Cognito-sub-1 是导师的 Cognito id）

将上述策略条件应用于用户的 IAM 角色后，用户可以读取和写入此文档，因为哈希键 (student_id) 是用户的 Cognito id。

我还希望文档中列出的导师对某些属性具有只读访问权限，但我找不到任何可以做到这一点的示例。我知道我不能使用dynamodb:LeadingKeys 条件，因为tutors 不是表的哈希键。如果我设置一个使用导师列表作为哈希键的全球二级索引 (GSI)，可以做到这一点吗？

如果这可以通过索引完成，我假设这将只允许对该索引进行读取访问（因为索引不能允许写入操作）。是否有任何替代方法允许基于不是哈希键的属性进行写访问？

或者，我是否可以使用更长的字符串作为哈希键，连接包含 Cognito ID 列表的 ”owner”: 和 ”read-only”: 等属性，并在我的策略中使用它来创建一个更细粒度的权限模型，仅基于哈希键？这假设策略可以从字符串中解码列表，因为 DynamoDB 不允许哈希键是列表、JSON 对象或类似对象。

除了允许用户仅读取/写入他们自己的记录之外，我还没有找到任何考虑细粒度访问控制的资源，所以如果有人可以指导我找到一些资源，那将是一个很好的开始。

Answer 1

你可以很容易地restrict access to specific attributes（只是属性）。

但是，为了实现更细粒度的访问模式，您必须：

• 将访问控制任务卸载到您的代码（例如 Lambda）
• 或者您可以评估您的访问模式（这通常是一件好事，但它可能有点棘手）并相应地为您的数据建模

一般而言，在设计 NoSQL 应用程序时，您应该始终评估您使用数据的方式。它们通常是针对特定用例量身定制的 - 与 RDBMS 不同，RDBMS 无论如何都允许非常通用的查询。

有一个很好的例子，关于根据 DynamoDB 对关系数据进行建模here