Q&A
すみません。先ほど再度見直したところ2つのユーザーがあり一方ではDynamoDBを操作する権限がなくもう一方では権限を持っているという状況になっています。そしてDynamodbを操作する時は権限を持っているユーザーで操作するのですが、権限がないユーザーを使用しているみたいでそれでエラーが起きています。この状況に心当たりがあれば教えていただきたいのですがどうでしょうか?
実現したい事
pythonでpynamodbを使用してDynamoDBを制御してテーブルを作成する。
困っている事
テーブルが作成されない。
今っている事
python manage.py init_dbを実行すると下記のようなエラーがでてコードの実行が完了されない。
エラーコード
Traceback (most recent call last): File "manage.py", line 8, in <module> manager.run() File "C:\Users\user.virtualenvs\application-KTHLna8B\lib\site-packages\flask_script\__init__.py", line 417, in run result = self.handle(argv[0], argv[1:]) File "C:\Users\user.virtualenvs\application-KTHLna8B\lib\site-packages\flask_script\__init__.py", line 386, in handle res = handle(*args, **config) File "C:\Users\user.virtualenvs\application-KTHLna8B\lib\site-packages\flask_script\commands.py", line 216, in __call__ return self.run(*args, **kwargs) File "C:\Users\user\Desktop\application\flask_blog\scripts\db.py", line 10, in run if not Entry.exists(): File "C:\Users\user.virtualenvs\application-KTHLna8B\lib\site-packages\pynamodb\models.py", line 753, in exists cls._get_connection().describe_table() File "C:\Users\user.virtualenvs\application-KTHLna8B\lib\site-packages\pynamodb\connection\table.py", line 290, in describe_table return self.connection.describe_table(self.table_name) File "C:\Users\user.virtualenvs\application-KTHLna8B\lib\site-packages\pynamodb\connection\base.py", line 748, in describe_table tbl = self.get_meta_table(table_name, refresh=True) File "C:\Users\user.virtualenvs\application-KTHLna8B\lib\site-packages\pynamodb\connection\base.py", line 548, in get_meta_table data = self.dispatch(DESCRIBE_TABLE, operation_kwargs) File "C:\Users\user.virtualenvs\application-KTHLna8B\lib\site-packages\pynamodb\connection\base.py", line 329, in dispatch data = self._make_api_call(operation_name, operation_kwargs, settings) File "C:\Users\user.virtualenvs\application-KTHLna8B\lib\site-packages\pynamodb\connection\base.py", line 440, in _make_api_call raise VerboseClientError(botocore_expected_format, operation_name, verbose_properties) pynamodb.exceptions.VerboseClientError: An error occurred (AccessDeniedException) on request (RQJV3QL0TRKS6U~) on table (serverless_blog_entries) when calling the DescribeTable operation: User: arn:aws:iam::アカウントID:user/zappa-exec-user is not authorized to perform: dynamodb:DescribeTable on resource: arn:aws:dynamodb:ap-northeast-1:アカウントID:table/serverless_blog_entries
自分の中ではuser/zappa-exec-userにtable/serverless_blog_entriesを作成する権限がないという事だと思っているのですがどうでしょうか?
ちなみに開発環境と本番環境で分かれており、今回は本番環境での実施予定になります。
可能な限り教えていただけないでしょうか?よろしくお願い致します。
追記
現状下記のようなポリシーでユーザーを作成しているのですがこれだとDynamoDBの権限としては不足しているでしょうか?
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:GetRole", "iam:CreateRole", "iam:PutRolePolicy", "apigateway:*", "cloudformation:*", "events:*", "lambda:*", "logs:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::アカウントID(数字の奴):role/*-ZappaLambdaExecutionRole" }, { "Effect": "Allow", "Action": "s3:*", "Resource": "arn:aws:s3:::zappa-*" } ] }
回答3件
0
質問の回答に対して考えて見直したとき、システム環境変数でなく、ユーザー環境変数に登録していたアクセスキーとシークレットキーがDynamoDBを扱うためのユーザーのものでなくデプロイ用のユーザーのものだったのでエラーが出てみたいなのでその部分を直したらエラーがなくなりました。
投稿2021/12/03 03:54
総合スコア52
0
ベストアンサー
現状のポリシー追記したのですがこのポリシーだと上記の権限が伴っていないという事でしょうか?
ご提示のポリシーにはAction要素にdynamodb:xxxxx (例えば、dynamodb:DescribeTableとか)がないので、DynamoDBの権限は1つも許可されていません(明示的に許可がなければ拒否になります)。ポリシーの記述方法は先の回答のリンクをご参照ください。
またユーザー作成時にDynamoDBの権限を追加することは可能なのでしょうか?
ポリシーをIAMユーザー(またはIAMグループ)に割り当てることになります。ポリシーの割り当てはユーザー作成時もできますし、既存のユーザーに対してもできます。
ポリシーは次の2種類があります。(他にインラインポリシーというものもありますが、説明は割愛します)
- AWS管理ポリシー: AWSが事前に用意したポリシー。AWS利用者はカスタマイズできない。
- カスタマー管理ポリシー: AWS利用者が作成するポリシー。カスタマイズ可能。
DynamoDB関連のAWS管理ポリシーはAmazonDynamoDBFullAccess, AmazonDynamoDBReadOnlyAccessなど、いくつかあります。これらが要件に合わなけば、カスタマー管理ポリシーの作成をご検討ください。
追記
回答してから気づいたのですが、既にIAMユーザーにポリシーを割り当てているので、DynamoDBのAction許可のステートメントを、そのポリシーに追加すればよいと思います。
投稿2021/12/01 05:45
編集2021/12/01 07:41
総合スコア838
zappa-exec-userはDynamoDB利用権限のないユーザーで、DynamoDBの権限を持つユーザー(仮にdynamodb-userとします)を利用したいということでしょうか?
pynamodbでDynamoDBにアクセスしているプログラムに、zappa-exec-userの認証情報(アクセスキー/シークレットアクセスキー)を渡していると思います。これをdynamodb-userの認証情報を渡すように変更する必要があります。
どのようにして認証情報を渡しているか追記してもらえれば、何か回答できるかもしれません。
何度も確認したんですけどzappa_settings.jsonファイルでの設定か、credencialsファイルの設定のどちらかのファイルだと思うんです。pyhthonでモデルクラス作成する時にアクセスキー、シークレットキー、テーブル名、region、hostを指定しているので環境変数から取得していると思うのですが。。。
解決できたようでよかったです。
こちらこそ助かりました。
0
DynamoDBは使ったことがないので、一般的なIAMの観点での回答になります。
dynamodb:DescribeTableの権限がないためアクセス拒否されています。該当IAMユーザーのIAMポリシーでdynamodb:DescribeTableが許可されているか確認してください。
尚、dynamodb:DescribeTableはテーブルの詳細を取得する権限であり、テーブルを作成するには、IAMポリシーでdynamodb:CreateTableも許可する必要があります。
IAMポリシーのサンプルです。他にも権限が必要であれば、参考にしてください。
DynamoDB テーブルに対するアクセスの読み込み、書き込み、更新、削除を行う IAM ポリシー - Amazon DynamoDB
投稿2021/11/30 23:04
編集2021/11/30 23:27総合スコア838
現状のポリシー追記したのですがこのポリシーだと上記の権限が伴っていないという事でしょうか?
またユーザー作成時にDynamoDBの権限を追加することは可能なのでしょうか?
ご回答宜しくお願い致します。
回答しました。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。