使用 DynamoDB 的基于资源的策略 - Amazon DynamoDB
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用 DynamoDB 的基于资源的策略

DynamoDB 支持针对表、索引和流的基于资源的策略。基于资源的策略允许您通过指定谁有权访问每种资源以及允许他们对每个资源执行的操作来定义访问权限。

您可以将基于资源的策略附加到 DynamoDB 资源,例如表或流。在此策略中,您可以为身份和访问管理(IAM)主体指定权限,这些主体可以对这些 DynamoDB 资源执行特定操作。例如,附加到表的策略将包含访问该表及其索引的权限。因此,基于资源的策略可以通过在资源级别定义权限,来协助您简化对 DynamoDB 表、索引和流的访问控制。您可以附加到 DynamoDB 资源的策略大小为最大 20 KB。

使用基于资源的策略的一个显著好处是,可以简化跨账户访问控制,从而为不同 Amazon Web Services 账户中的 IAM 主体提供跨账户访问权限。有关更多信息,请参阅 用于跨账户访问的基于资源的策略

基于资源的策略还支持与 IAM Access Analyzer 外部访问分析器和阻止公有访问(BPA)功能集成。IAM Access Analyzer 报告对基于资源的策略中指定的外部实体的跨账户访问。它还提供了可见性,有助于您完善权限并遵守最低权限原则。BPA 有助于防止针对您 DynamoDB 表、索引和流的公有访问,并且会在基于资源的策略创建和修改工作流程中自动启用。

主题