通过组成员资格的DynamoDB细粒度访问控制
问题描述:
通过使用IAM策略和cognito,可以基于经过验证的用户限制对发电机表中数据的访问。这就是所谓的细粒度访问。有什么办法可以根据认证组的成员身份或者是否可以成为IAM角色?通过组成员资格的DynamoDB细粒度访问控制
答
访问DynamoDB由IAM AccessKeys控制。因此所有访问都由IAM控制。使用Cognito,您可以通过角色对用户进行身份验证和授权,以管理对DynamoDB的访问。
答
答案here解释如何使用Cognito联合身份落实DynamoDB细粒度的访问控制。
我们现在可以使用Role based access control和Cognito User Pools groups来扩展它。 Cognito用户池中的用户将被分配一个IAM角色,允许用户访问仅属于他的身份的行。尽管如此,这仍然无法实现基于您尝试访问的组成员身份的访问控制。虽然每个组的DynamoDB表不同,因此IAM角色可能会为您提供所需的访问控制。
+0
我考虑过一个表或组。尽管技术上可行,但由于发电机每个区域有256个表格的硬限制,因此它变得不切实际。 – vangorra
这是指让用户访问整个表格,而不是其中的一部分。我询问是否有办法根据组/角色成员身份访问特定的行。类似于您对单个用户进行细粒度访问的方式。 – vangorra