#amazon-web-services #amazon-dynamodb #amazon-iam #aws-dynamodb
Вопрос:
Я планирую впервые использовать DynamoDB для своего проекта. Сначала я установил соединение с DynamoDB из своего Java-приложения, используя секретные ключи пользователя IAM. Но затем решил добавить разрешения к роли IAM моего сервера, на котором выполняется приложение.
Я все делаю правильно? Какова наилучшая практика для этого?
И если роль IAM — это правильный путь, как мне обрабатывать приложения, подключающиеся из моего AWS Workspace (моей среды разработки), могу ли я добавить роль IAM и для этого?
Ответ №1:
Роль IAM — правильный путь. Вы создаете роль с наименьшими правами доступа. Это означает, что вы назначаете роли только абсолютно необходимые разрешения. В вашем случае роль должна иметь доступ только к определенным таблицам и индексам DynamoDB.
В EC2, функциях lambda и в целом в среде AWS вы назначаете эту роль. Используемая вами служба возьмет на себя эту роль и сможет получить доступ к DynamoDB. Нет необходимости создавать ключи доступа.
Для локальной среды разработки (за пределами AWS) вам следует создать пользователя, назначить созданную вами роль и создать идентификатор ключа и секрет. Таким образом, ваша локальная среда будет иметь доступ только к необходимым ресурсам.
Если вам также нужны ваши личные учетные данные AWS на локальном компьютере, вы можете использовать профили для управления ими.
Ответ №2:
Обработка учетных данных при использовании AWS SDK для Java описана в руководстве разработчика AWS Java в следующих разделах:
В этом руководстве описаны рекомендации.