• FGAC (Fine Grained Access Control)
  • DynamoDBがセキュリティ、アクセス制限を実現する仕組み
  • セキュリティ、アクセス制限を利用するために発生する追加料金

 

FGAC(Fine Grained Access Control)

DynamoDB と AWS Identity and Access Management (IAM)との統合により、組織内のユーザーのアクセスを細かく管理することもできます。

FGAC(Fine Grained Access Control)とは、DynamoDB テーブルの所有者がテーブル内のデータに対して詳細なコントロールを行うための機能です。具体的には、テーブル所有者は(呼び出し元)がテーブルのどの項目や属性にアクセスでき、どのようなアクション(読み込み/書き込み)を実行できるかを指定できます。FGAC は、AWS Identity and Access Management(IAM)と組み合わせて使用されます。セキュリティ認証情報および対応するアクセス権限の管理は、IAM で行います。

 

DynamoDBがセキュリティ、アクセス制限を実現する仕組み

FGACを利用する場合には、アプリケーションはセキュリティトークンをリクエストします。このトークンは、特定の DynamoDB テーブル内の特定の項目のみへのアクセスをアプリケーションに認可するものです。

このトークンを使用して、エンドユーザーアプリケーションエージェントは DynamoDB に対して直接リクエストを発行します。このリクエストが受信されると、リクエストの認証情報が DynamoDB によって検証されます。リクエストの認証には IAM が使用され、そのユーザーにどの操作を許可するかが決定します。ユーザーのリクエストが許可されない場合は、データへのアクセスが FGACによって阻止されます。

FGAC が効果を発揮するのは、DynamoDB テーブルを使用して情報をトラッキングするアプリケーションにおいて、エンドユーザー(またはエンドユーザーの代理となるアプリケーションクライアント) がテーブルの読み取りや変更を、中間層サービスなしで直接行う必要がある場合です。

 

セキュリティ、アクセス制限を利用するために発生する追加料金

FGAC は追加料金なしで使用できます。通常どおり、お支払いいただくのは DynamoDB テーブルに関連してプロビジョニングされたスループットとストレージの料金のみです。

 

 

本サイト上に掲載されているまとめ記事が、毎週ステップメールで受け取ることもできます。

 

 

参考文献