Сканирование таблицы DynamoDB с областью действия IAM
У меня есть таблица, которая позволяет пользователям (аутентифицированным через Cognito) читать и писать только свои собственные записи, включенные политикой IAM, как показано ниже:
"Condition": {
"ForAllValues:StringEquals": {
"dynamodb:LeadingKeys": [
"${cognito-identity.amazonaws.com:sub}"
]
}
}
Я разрабатываю свою структуру данных и мне нужно знать, как DynamoDB применяет эту область видимости в контексте операций сканирования.
При выполнении сканирования будет ли DynamoDB сначала применять область действия пользователя к таблице (так, чтобы сканированные документы были только документами пользователя), или сканирование будет использовать всю таблицу, а затем применить политику для области записи?
Значение этого вопроса заключается в том, насколько эффективно сканирование - если сканировать всю таблицу, то операция будет очень дорогой, но если сканируются только собственные записи пользователя (небольшая часть таблицы), сканирование может быть приемлемо эффективный.
Ответы 1
Лучше всего разработать приложение для использования запроса вместо сканирования. Сканирование стоит дорого и по определению сканирует всю таблицу. Согласно Документация Dynamodb Scan and Query Best Practice:
If possible, you should avoid using a Scan operation on a large table or index with a filter that removes many results
Вы предлагаете именно такой сценарий. Пожалуйста, подумайте о редизайне, чтобы избежать этого.
Модуль безопасности IAM будет выполнять работу по предотвращению редактирования других пользовательских данных, но для одного пользователя сканирование потребует удаления файлов других пользователей из сканирования и будет дорогостоящим.
Ответ очевиден - если этот проект находится на стадии разработки / пилотного проекта, вам будет лучше перепроектировать его и придерживаться лучших практик. Пойдите с запросами против индексов, и если они приведут к увеличению хранилища, это будет предпочтительнее, чем полное сканирование, которое приравнивается к увеличению емкости чтения и, вероятно, к снижению производительности для ваших пользователей. Держитесь подальше от сканирования.
Ваш ответ, кажется, переформулирует вопрос, а не отвечает на него. Мой вопрос заключается в том, действует ли политика безопасности IAM как фильтр в соответствии с указанными вами рекомендациями по использованию «фильтра, удаляющего множество результатов». Я понимаю, что сканирование стоит дорого, но я пытаюсь понять, насколько оно дорого в этом контексте - нецелесообразно реорганизовывать мои данные и резко увеличивать требования к хранилищу, чтобы полностью избежать сканирований, если они не намного дороже и если они относительно нечасто по сравнению с запросами.