16

我正在尝试使用 DynamoDB 和 Cognito 创建一个多租户应用程序。该文档非常清楚地说明了如何实现细粒度授权,以便用户只能访问自己的记录,方法是向 IAM 访问策略添加条件,如下所示:

"Condition": {
                "ForAllValues:StringEquals": {
                    "dynamodb:LeadingKeys": [
                        "${cognito-identity.amazonaws.com:sub}"
                    ]
                 }
             }

当 Cognito 用户 id 是行的哈希键时,这对于允许用户读取和写入他们自己的记录非常有用,但是我正在努力解决如何允许其他用户对某些记录具有只读访问权限。

以我为拥有多门课程的学生的模型为例:

{
    “student_id”: “ABC-1234567”,
    “course_name”: “Statistics 101”,
    “tutors”: [“Cognito-sub-1”, “Cognito-sub-2”],
    “seminar_reviews”: [ 
        {
            “seminar_id”: “XXXYYY-12345”
            “date”: “2018-01-12”,
            “score”: “8”,
            “comments”: “Nice class!”  
        },
        {
            “seminar_id”: “ABCDEF-98765”
            “date”: “2018-01-25”,
            “score”: “3”,
            “comments”: “Boring.”  
        }
    ]
}

Cognito-sub-1是导师的 Cognito id)

将上述策略条件应用于用户的 IAM 角色后,用户可以读取和写入此文档,因为哈希键 ( student_id) 是用户的 Cognito id。

我还希望文档中列出的导师对某些属性具有只读访问权限,但我找不到任何可以做到这一点的示例。我知道我不能使用这个dynamodb:LeadingKeys条件,因为导师不是表的哈希键。如果我设置一个使用导师列表作为哈希键的全球二级索引 (GSI) 可以做到这一点吗?

如果这可以通过索引来完成,我假设这将只允许对该索引进行读取访问(因为索引不能允许写入操作)。是否有任何替代方法允许基于不是哈希键的属性进行写访问?

或者,我可以使用更长的字符串作为哈希键,连接包含 Cognito ID 列表的属性,”owner”:”read-only”:在我的策略中使用它以仅基于哈希键创建更细粒度的权限模型?这假设策略可以从字符串中解码列表,因为 DynamoDB 不允许哈希键是列表、JSON 对象或类似的。

除了允许用户只读/写他们自己的记录之外,我还没有找到任何考虑细粒度访问控制的资源,所以如果有人可以指导我找到一些,那将是一个很好的开始。

4

1 回答 1

1

您可以轻松地限制对特定属性的访问(仅是属性)。

但是,为了实现更细粒度的访问模式,您必须:

  • 将访问控制任务卸载到您的代码(例如 Lambda)
  • 或者您可以评估您的访问模式(这通常是一件好事,但是可能有点棘手)并相应地对您的数据进行建模

一般来说,在设计 NoSQL 应用程序时,您应该始终评估您如何使用数据。它们通常是针对特定用例量身定制的——与 RDBMS 不同,RDBMS 无论如何都允许非常通用的查询。

这里有一个关于根据 DynamoDB 对关系数据建模的好例子

于 2018-06-07T13:35:17.340 回答