限制从AWS GUI访问Dynamodb项目

问题描述 投票:0回答:1

我有一个由IAM用户通过应用程序访问的dynamodb表;但问题是登录到AWS控制台的任何管理员用户都可以导航到dynamodb表并查看其中的项目。根据我们的安全政策;这不应该被允许。

任何人都可以建议是否可以阻止从AWS GUI访问dynamodb项目?

amazon-dynamodb
1个回答
0
投票

DynamoDB不支持基于资源的策略。所以有两种解决方法。

  1. 创建拒绝访问DynamoDB表的IAM策略,并将此策略应用于所有IAM用户。您还必须拒绝访问某些IAM操作,以防止管理员用户删除拒绝的DynamoDB访问策略。 IAM权限边界可能能够帮助您解决此问题。更新您的应用程序以使用IAM角色而不是IAM用户。
  2. 在DynamoDB数据上使用客户端加密,以便管理员只能在DynamoDB中查看加密数据。您可以使用KMS,但根据您管理加密的方式,KMS成本可能远远超过DynamoDB成本。
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.