DynamoDBに関する基本的な内容をまとめてみたものです。DynamoDBに関する、Web上にすでにある解説コンテンツをまとめたサイトの抜粋です。
DynamoDBのセキュリティ
FGAC(Fine Grained Access Control)
DynamoDB と AWS Identity and Access Management (IAM)との統合により、組織内のユーザーのアクセスを細かく管理することもできます。
FGAC(Fine Grained Access Control)とは、DynamoDB テーブルの所有者がテーブル内のデータに対して詳細なコントロールを行うための機能です。具体的には、テーブル所有者は誰(呼び出し元)がテーブルのどの項目や属性にアクセスでき、どのようなアクション(読み込み/書き込み)を実行できるかを指定できます。FGAC は、AWS Identity and Access Management(IAM)と組み合わせて使用されます。セキュリティ認証情報および対応するアクセス権限の管理は、IAM で行います。
DynamoDBがセキュリティ、アクセス制限を実現する仕組み
FGACを利用する場合には、アプリケーションはセキュリティトークンをリクエストします。このトークンは、特定の DynamoDB テーブル内の特定の項目のみへのアクセスをアプリケーションに認可するものです。
このトークンを使用して、エンドユーザーアプリケーションエージェントは DynamoDB に対して直接リクエストを発行します。このリクエストが受信されると、リクエストの認証情報が DynamoDB によって検証されます。リクエストの認証には IAM が使用され、そのユーザーにどの操作を許可するかが決定します。ユーザーのリクエストが許可されない場合は、データへのアクセスが FGACによって阻止されます。
FGAC が効果を発揮するのは、DynamoDB テーブルを使用して情報をトラッキングするアプリケーションにおいて、エンドユーザー(またはエンドユーザーの代理となるアプリケーションクライアント) がテーブルの読み取りや変更を、中間層サービスなしで直接行う必要がある場合です。
セキュリティ、アクセス制限を利用するために発生する追加料金
FGAC は追加料金なしで使用できます。通常どおり、お支払いいただくのは DynamoDB テーブルに関連してプロビジョニングされたスループットとストレージの料金のみです。