假设我使用共享aws帐户。我想设置前缀为"x-team"的表格,例如:
- x团队客户订单
- x团队客户
另一个团队也有其他具有不同前缀命名方案的表。为了限制我们的应用范围,我们希望为每个团队设置不同的凭据。
在本文档http://docs.aws.amazon.com/amazondynamodb/latest/developerguide/ddb-api-permissions-ref.html中,它们使用通配符*,但并没有说明可以将通配符用于表的前缀名称方案。
是的,这是可能的。
该策略允许用户创建、读取、更新和删除用用户名和下划线命名的表:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllAPIActionsOnUserSpecificTable",
"Effect": "Allow",
"Action": [
"dynamodb:*"
],
"Resource": "arn:aws:dynamodb:us-west-2:494057818753:table/${aws:username}_*"
},
{
"Sid": "AdditionalPrivileges",
"Effect": "Allow",
"Action": [
"dynamodb:ListTables",
"dynamodb:DescribeTable"
],
"Resource": "*"
}
]
}
在AWS DynamoDB文档中,此示例的底部非常简要地提到了这一点。
显然,如果你想使用与用户名不同的前缀,你只需要为你想要支持的每个前缀制定单独的策略。