我知道有允许用户在策略中仅更新 DynamoDb 中记录的某些字段的功能,但是有没有办法限制对包含地图的字段中的字段的访问?例如,我有一个类似于以下的表:
用户ID [字符串] |名称 [字符串] |属性 [地图] |
在“属性”映射中,我想限制用户只能更新映射的某个列,比如说“值”(如果它是只有“哈希”和“值”自我的映射-命名的列)。如果它是权限链接,则类似于以下内容:
arn:.../tables/TestTable/Attributes/Value
这可能吗?
【问题讨论】:
标签: amazon-web-services dictionary amazon-dynamodb access-control amazon-iam
根据我对文档的了解,不,您不能针对地图中的特定键。因此,要么将它们拆分为自己的“字段”,要么允许用户修改整个地图。
值得注意的是,在 DynamoDB 行话中,Tables 是 Items 的集合。项目是属性的集合。因此,将属性命名为“属性”可能会导致混淆。
Anywho... 我会推荐一个类似于以下的模型,其中特性 ;) 是单独的项目属性:
UserID [string]
Name [string]
Height [string]
Weight [Float]
Race [String]
(我在猜测用户的特征)
这是一项政策,允许他们仅更新身高和体重,并且仅根据用户 ID 更新他们自己的记录。当然,在这方面的“用户”需要以某种方式成为federated。出于我们的目的,我假设您可能会使用Web Identity Federation。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToOnlyItemsMatchingUserID",
"Effect": "Allow",
"Action": [
"dynamodb:GetItem",
"dynamodb:BatchGetItem",
"dynamodb:Query",
"dynamodb:PutItem",
"dynamodb:UpdateItem",
"dynamodb:DeleteItem",
"dynamodb:BatchWriteItem"
],
"Resource": [
"arn:aws:dynamodb:us-west-2:123456789012:table/Users"
],
"Condition": {
"ForAllValues:StringEquals": {
"dynamodb:LeadingKeys": [
"${www.amazon.com:user_id}"
],
"dynamodb:Attributes": [
"UserID",
"Height",
"Weight",
...
<list other allowed to edit attributes here>
]
},
"StringEqualsIfExists": {
"dynamodb:Select": "SPECIFIC_ATTRIBUTES"
}
}
}
]
}
是的,${www.amazon.com:user_id} 中的 user_id 是正确的。它是替换变量
【讨论】: