适用于 Amazon DynamoDB 的 Amazon 托管式策略 - Amazon DynamoDB
Amazon 托管式策略AmazonDynamoDBReadOnlyAccess对 Amazon 托管式策略的 DynamoDB 更新
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

适用于 Amazon DynamoDB 的 Amazon 托管式策略

DynamoDB 使用 Amazon 托管式策略来定义服务执行特定操作所需的一组权限。DynamoDB 维护和更新其 Amazon 托管式策略。您无法更改 Amazon 托管式策略中的权限。有关 Amazon 托管式策略的更多信息,请参阅《IAM 用户指南》中的 Amazon 托管式策略

DynamoDB 可能偶尔向 Amazon 托管式策略添加额外权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当推出新功能或新操作变为可用时,最有可能会更新 Amazon 托管式策略。DynamoDB 将不会从 Amazon 托管式策略中删除权限,因此策略更新不会破坏您的现有权限。

Amazon 托管式策略:DynamoDBReplicationServiceRolePolicy

您不能将 DynamoDBReplicationServiceRolePolicy 策略附加到您的 IAM 实体。附加到服务相关角色的这一策略允许 DynamoDB 代表您执行操作。有关更多信息,请参阅将 IAM 与全局表结合使用

此策略授予权限,以允许服务相关角色在全局表副本之间执行数据复制。它还授予代表您管理全局表副本的管理权限。

权限详细信息

此策略授予执行以下操作的权限:

  • dynamodb – 执行数据复制和管理表副本。

  • application-autoscaling – 检索和管理表自动扩缩设置。

  • account – 检索区域状态以评估副本的可访问性。

  • iam – 在服务相关角色尚不存在的情况下,为应用程序自动扩缩创建服务相关角色。

此托管式策略的定义可在此处找到。

Amazon托管策略:AmazonDynamoDBReadOnlyAccess

您可以将 AmazonDynamoDBReadOnlyAccess 策略附加到 IAM 身份。

此策略授予对 Amazon DynamoDB 的只读权限。

权限详细信息

该策略包含以下权限:

  • Amazon DynamoDB – 提供对 Amazon DynamoDB 的只读访问权限。

  • Amazon DynamoDB Accelerator (DAX) – 提供对 Amazon DynamoDB Accelerator(DAX)的只读访问权限。

  • Application Auto Scaling:允许主体从 Application Auto Scaling 查看配置。这是必需权限,以便用户可以查看附加到表的自动扩展策略。

  • CloudWatch:允许主体查看在 CloudWatch 中配置的指标数据和警报。这是必需权限,以便用户可以查看可计费表大小以及已为表配置的 CloudWatch 警报。

  • Amazon Data Pipeline – 允许主体查看 Amazon Data Pipeline 和关联对象。

  • Amazon EC2 – 允许主体查看 Amazon EC2 VPC、子网和安全组。

  • IAM – 允许主体查看 IAM 角色。

  • Amazon KMS:允许主体查看 Amazon KMS 中配置的密钥。这是必需权限,以便用户可以查看他们在其账户中创建和管理的 Amazon KMS keys。

  • Amazon SNS - 允许主体列出 Amazon SNS 主题及订阅情况。

  • Amazon Resource Groups – 允许主体查看资源组及其查询。

  • Amazon Resource Groups Tagging – 允许主体列出一个区域中所有已标记或先前标记的资源。

  • Kinesis – 允许主体查看 Kinesis Data Streams 描述。

  • Amazon CloudWatch Contributor Insights – 允许主体查看 Contributor Insights 规则收集的时间序列数据。

要查看 JSON 格式的策略,请参阅 AmazonDynamoDBReadOnlyAccess

对 Amazon 托管式策略的 DynamoDB 更新

此表显示了对适用于 DynamoDB 的 Amazon 访问管理策略的更新。

更改 描述 更改日期
AmazonDynamoDBReadOnlyAccess 对现有策略的更新 AmazonDynamoDBReadOnlyAccess 添加了权限 dynamodb:GetResourcePolicy。此权限允许读取附加到 DynamoDB 资源的基于资源的策略。 2024 年 3 月 20 日
DynamoDBReplicationServiceRolePolicy 对现有策略的更新 DynamoDBReplicationServiceRolePolicy 添加了权限 dynamodb:GetResourcePolicy。此权限允许服务相关角色读取附加到 DynamoDB 资源的基于资源的策略。 2023 年 12 月 15 日
DynamoDBReplicationServiceRolePolicy 对现有策略的更新 DynamoDBReplicationServiceRolePolicy 添加了权限 account:ListRegions。此权限允许服务相关角色评估副本可访问性 2023 年 5 月 10 日
DynamoDBReplicationServiceRolePolicy 添加到托管式策略列表中 添加了有关托管式策略 DynamoDBReplicationServiceRolePolicy 的信息,该策略由 DynamoDB 全局表服务相关角色使用。 2023 年 5 月 10 日
DynamoDB 全局表开始了更改跟踪 DynamoDB 全局表对其 Amazon 托管式策略开始了更改跟踪。 2023 年 5 月 10 日