Блог

У меня есть таблица dynamodb, к которой обращается пользователь IAM через приложение; но проблема в том, что любой пользователь-администратор, вошедший в консоль AWS, может перейти к таблице dynamodb и просмотреть элементы в ней. Согласно нашей политике безопасности; это не должно быть разрешено.

Кто-нибудь может подсказать, возможно ли заблокировать доступ к элементам dynamodb из графического интерфейса AWS?

DynamoDB не поддерживает политики, основанные на ресурсах. Итак, есть два обходных пути.

1. Создайте политику IAM, которая запрещает доступ к таблице DynamoDB, и примените эту политику ко всем пользователям IAM. Вам также придется запретить доступ, запрещающий определенные действия IAM, чтобы пользователи-администраторы не могли удалить политику запрета доступа к DynamoDB. Границы разрешений IAM могли бы помочь вам в этом. Обновите свое приложение, чтобы оно использовало роль IAM вместо пользователя IAM.

2. Используйте шифрование данных DynamoDB на стороне клиента, чтобы администраторы могли просматривать только зашифрованные данные в DynamoDB. Для этого можно использовать KMS, но в зависимости от того, как вы управляете шифрованием, затраты на KMS могут намного превышать затраты на DynamoDB.