我有一个 dynamodb 表,IAM 用户正在通过应用程序访问该表;但问题是登录到 AWS 控制台的任何管理员用户都可以导航到 dynamodb 表并查看其中的项目。根据我们的安全政策;这不应该被允许。
任何人都可以建议是否可以阻止从 AWS GUI 访问 dynamodb 项目?
DynamoDB 不支持基于资源的策略。所以有两种解决方法。
-
创建拒绝访问 DynamoDB 表的 IAM 策略,并将此策略应用于所有 IAM 用户。您还必须拒绝不允许某些 IAM 操作的访问,以防止管理员用户删除拒绝 DynamoDB 访问策略。IAM 权限边界可能能够帮助您解决此问题。更新您的应用程序以使用 IAM 角色而不是 IAM 用户。
-
对 DynamoDB 数据使用客户端加密,以便管理员只能查看 DynamoDB 中的加密数据。您可以使用 KMS 来实现此目的,但取决于您管理加密的方式,KMS 成本可能远远超过 DynamoDB 成本。