

# Amazon DynamoDB の AWS マネージドポリシー
<a name="ddb-security-iam.awsmanpol"></a>

DynamoDB は、AWS マネージドポリシーを使用して、サービスが特定のアクションを実行するために必要な一連のアクセス許可を定義します。DynamoDB は、その AWS マネージドポリシーを維持および更新します。AWS マネージドポリシーのアクセス許可を変更することはできません。AWS マネージドポリシーの詳細については、「IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。

DynamoDB は、新しい機能をサポートするために、AWS マネージドポリシーに新しいアクセス許可を追加する場合があります。この種の更新は、ポリシーがアタッチされているすべてのアイデンティティ (ユーザー、グループ、ロール) に影響を与えます。AWS マネージドポリシーは、新しい機能がリリースされたときや新しいオペレーションが使用可能になったときに、更新される可能性が最も高くなります。DynamoDB は AWS マネージドポリシーからアクセス許可を削除しないため、ポリシーの更新によって既存のアクセス許可が破棄されることはありません。AWS マネージドポリシーの完全なリストについては、「[AWS マネージドポリシー](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/policy-list.html)」を参照してください。

## AWS マネージドポリシー: DynamoDBReplicationServiceRolePolicy
<a name="ddb-security-iam.awsmanpol.policy"></a>

`DynamoDBReplicationServiceRolePolicy` ポリシーを IAM エンティティにアタッチすることはできません。このポリシーは、ユーザーに代わってアクションを実行することを DynamoDB に許可する、サービスにリンクされたロールにアタッチします。詳細については、「[グローバルテーブルでの IAM の使用](globaltables-security.md)」を参照してください。

このポリシーは、サービスにリンクされたロールに対して、グローバルテーブルのレプリカ間でデータをレプリケートするアクセス許可を付与します。また、ユーザーに代わってグローバルテーブルのレプリカを管理する管理者アクセス許可も付与します。

**アクセス許可の詳細**

このポリシーは、以下を行うアクセス許可を付与します。
+ `dynamodb` — データのレプリケーションを実行し、テーブルのレプリカを管理します。
+ `application-autoscaling` — テーブルの AutoScaling 設定を取得および管理します。
+ `account` — レプリカのアクセシビリティを評価するためのリージョンのステータスを取得します。
+ `iam` — サービスリンクロールが現時点で存在しない場合、アプリケーションの AutoScaling 用のサービスリンクロールを作成します。

このマネージドポリシーの定義については、[こちら](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/DynamoDBReplicationServiceRolePolicy.html)を参照してください。

## AWS マネージドポリシー: AmazonDynamoDBFullAccess\_v2
<a name="ddb-security-iam.awsmanpol.fullaccesspolicy-v2"></a>

スコープダウン `AmazonDynamoDBFullAccess_v2` ポリシーは、ユーザーに特定のアクセス権限を付与します。`AmazonDynamoDBFullAccess_v2` ポリシーを IAM IDにアタッチできます。このポリシーは、Amazon DynamoDB リソースへの管理アクセスを許可し、DynamoDB が統合されている AWS のサービスへのアクセスを IAM ID (ユーザー、グループ、ロールなど) に許可して、DynamoDB のすべての機能を使用できるようにします。このポリシーを使用すると、AWS マネジメントコンソールで利用可能な DynamoDB のすべての機能にアクセスできます。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `Amazon DynamoDB`
+ `DynamoDB Accelerator`
+ `AWS KMS`
+ `AWS Resource Groups Tagging`
+ `Lambda`
+ `Application Auto Scaling`
+ `CloudWatch`
+ `Amazon Kinesis`
+ `Amazon EC2`
+ `IAM`

`JSON` 形式のポリシーを確認するには、「[AmazonDynamoDBFullAccess\_v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDynamoDBFullAccess_v2.html)」を参照してください。

## AWS 管理ポリシー: AmazonDynamoDBReadOnlyAccess
<a name="ddb-security-iam.awsmanpol.readonlypolicy"></a>

`AmazonDynamoDBReadOnlyAccess` ポリシーを IAM IDにアタッチできます。

このポリシーは Amazon DynamoDB への読み取り専用アクセスを許可します。

**アクセス許可の詳細**

このポリシーには、以下のアクセス許可が含まれています。
+ `Amazon DynamoDB` – Amazon DynamoDB への読み取り専用アクセスを提供します。
+ `Amazon DynamoDB Accelerator (DAX)` – Amazon DynamoDB Accelerator (DAX) への読み取り専用アクセスを提供します。
+ `Application Auto Scaling` — Application Auto Scaling の設定をプリンシパルが表示できるようにします。これは、テーブルにアタッチされているオートスケーリングポリシーをユーザーが表示できる場合に必須です。
+ `CloudWatch` - CloudWatch で設定されたメトリクスデータとアラームをプリンシパルが表示できるようにします。これは、テーブルに対して設定された請求対象テーブルサイズと CloudWatch アラームをユーザーが表示できる場合に必須です。
+ `AWS Data Pipeline` — プリンシパルが AWS Data Pipeline と関連オブジェクトを表示することを許可します。
+ `Amazon EC2` – プリンシパルが Amazon EC2 VPC、サブネット、およびセキュリティグループを表示することを許可します。
+ `IAM` — プリンシパルが IAM ロールを表示することを許可します。
+ `AWS KMS` — で設定されたキーをプリンシパルが表示できるようにします。AWS KMSこれは、ユーザーが、各自のアカウントで作成して管理している AWS KMS keys を表示するために必要です。
+ `Amazon SNS` – Amazon SNS のトピックとトピック別のサブスクリプションを一覧表示することをプリンシパルに許可します。
+ `AWS Resource Groups` — プリンシパルがリソースグループとクエリを表示することを許可します。
+ `AWS Resource Groups Tagging` — プリンシパルがリージョン内のタグ付けされたリソースまたは以前にタグ付けされたリソースのすべてを一覧表示することを許可します。
+ `Kinesis` — プリンシパルが Kinesis データストリーム記述を表示することを許可します。
+ `Amazon CloudWatch Contributor Insights` — プリンシパルが Contributor Insights ルールによって収集された時系列データを表示することを許可します。

ポリシーを `JSON` 形式で確認するには、「[AmazonDynamoDBReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDynamoDBReadOnlyAccess.html)」を参照してください。

## DynamoDB での AWS マネージドポリシーの更新
<a name="ddb-security-iam.awsmanpol.updates"></a>

この表は、DynamoDB の AWS アクセス管理ポリシーの更新を示しています。


****  

| 変更 | 説明 | 変更日 | 
| --- | --- | --- | 
| AmazonDynamoDBFullAccess - 廃止済み | このポリシーは、`AmazonDynamoDBFullAccess_v2` という名前のスコープダウンポリシーに置き換えられました。<br />**2025 年 4 月**以降、新しいユーザー、グループ、またはロールに `AmazonDynamoDBFullAccess` ポリシーをアタッチすることはできません。詳細については、「[AWS マネージドポリシー: AmazonDynamoDBFullAccess\_v2](#ddb-security-iam.awsmanpol.fullaccesspolicy-v2)」を参照してください。 | 2025 年 4 月 28 日 | 
| AmazonDynamoDBReadOnlyAccess の既存のポリシーに対する更新 | AmazonDynamoDBReadOnlyAccess に dynamodb:GetAbacStatus および dynamodb:UpdateAbacStatus のアクセス許可を追加しました。これらのアクセス許可により、現在のリージョンで AWS アカウントの ABAC ステータスを表示し、ABAC を有効にすることができます。 | 2024 年 11 月 18 日 | 
| AmazonDynamoDBReadOnlyAccess の既存のポリシーに対する更新 | AmazonDynamoDBReadOnlyAccess にアクセス許可  を追加しました。dynamodb:GetResourcePolicyこのアクセス許可は、DynamoDB リソースにアタッチされたリソースベースのポリシーの読み取りアクセスを提供します。 | 2024 年 3 月 20 日 | 
| DynamoDBReplicationServiceRolePolicy の既存のポリシーに対する更新 | DynamoDBReplicationServiceRolePolicy にアクセス許可  を追加しました。dynamodb:GetResourcePolicyこのアクセス許可では、サービスリンクロールは、DynamoDB リソースにアタッチされたリソースベースのポリシーを読み取ることができます。 | 2023 年 12 月 15 日 | 
| DynamoDBReplicationServiceRolePolicy の既存のポリシーに対する更新 | DynamoDBReplicationServiceRolePolicy にアクセス許可 account:ListRegions を追加しました。このアクセス許可は、サービスにリンクされたロールに対して、レプリカのアクセシビリティを評価することを許可します。 | 2023 年 5 月 10 日 | 
| DynamoDBReplicationServiceRolePolicy をマネージドポリシーのリストに追加 | マネージドポリシー DynamoDBReplicationServiceRolePolicy に関する情報を追加しました。このポリシーは DynamoDB グローバルテーブルのサービスにリンクされたロールで使用されます。 | 2023 年 5 月 10 日 | 
| DynamoDB グローバルテーブルが変更の追跡を開始 | DynamoDB グローバルテーブルが AWS マネージドポリシーの変更の追跡を開始しました。 | 2023 年 5 月 10 日 |