适用于 Amazon DynamoDB 的 Amazon 托管策略
DynamoDB 使用 Amazon 托管策略来定义服务执行特定操作所需的一组权限。DynamoDB 维护和更新其 Amazon 托管策略。您无法更改 Amazon 管理型策略中的权限。有关 Amazon 托管策略的更多信息,请参阅《IAM 用户指南》中的 Amazon 托管策略。
DynamoDB 可能偶尔向 Amazon 托管策略添加额外权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当推出新功能或新操作变为可用时,最有可能会更新 Amazon 托管策略。DynamoDB 将不会从 Amazon 托管策略中删除权限,因此策略更新不会破坏您的现有权限。
Amazon 托管策略:DynamoDBReplicationServiceRolePolicy
您不能将 DynamoDBReplicationServiceRolePolicy
策略附加到您的 IAM 实体。附加到服务相关角色的这一策略允许 DynamoDB 代表您执行操作。有关更多信息,请参阅将 IAM 与全局表结合使用。
此策略授予权限,以允许服务相关角色在全局表副本之间执行数据复制。它还授予代表您管理全局表副本的管理权限。
权限详细信息
此策略授予执行以下操作的权限:
dynamodb
– 执行数据复制和管理表副本。application-autoscaling
– 检索和管理表自动扩缩设置。account
– 检索区域状态以评估副本的可访问性。iam
– 在服务相关角色尚不存在的情况下,为应用程序自动扩缩创建服务相关角色。
此托管策略的定义可在此处找到。
Amazon托管策略:AmazonDynamoDBReadOnlyAccess
您可以将 AmazonDynamoDBReadOnlyAccess
策略附加到 IAM 身份。
此策略授予对 Amazon DynamoDB 的只读权限。
权限详细信息
该策略包含以下权限:
-
Amazon DynamoDB
– 提供对 Amazon DynamoDB 的只读访问权限。 -
Amazon DynamoDB Accelerator (DAX)
– 提供对 Amazon DynamoDB Accelerator(DAX)的只读访问权限。 -
Application Auto Scaling
:允许主体从 Application Auto Scaling 查看配置。这是必需权限,以便用户可以查看附加到表的自动扩展策略。 -
CloudWatch
:允许主体查看在 CloudWatch 中配置的指标数据和警报。这是必需权限,以便用户可以查看可计费表大小以及已为表配置的 CloudWatch 警报。 -
Amazon Data Pipeline
– 允许主体查看 Amazon Data Pipeline 和关联对象。 -
Amazon EC2
– 允许主体查看 Amazon EC2 VPC、子网和安全组。 -
IAM
– 允许主体查看 IAM 角色。 -
Amazon KMS
:允许主体查看 Amazon KMS 中配置的密钥。这是必需权限,以便用户可以查看他们在其账户中创建和管理的 Amazon KMS keys。 -
Amazon SNS
- 允许主体列出 Amazon SNS 主题及其订阅情况。 -
Amazon Resource Groups
– 允许主体查看资源组及其查询。 -
Amazon Resource Groups Tagging
– 允许主体列出一个区域中所有已标记或先前标记的资源。 -
Kinesis
– 允许主体查看 Kinesis Data Streams 描述。 -
Amazon CloudWatch Contributor Insights
– 允许主体查看 Contributor Insights 规则收集的时间序列数据。
要查看 JSON
格式的策略,请参阅 AmazonDynamoDBReadOnlyAccess。
对 Amazon 托管策略的 DynamoDB 更新
此表显示了对适用于 DynamoDB 的 Amazon 访问管理策略的更新。
更改 | 描述 | 更改日期 |
---|---|---|
AmazonDynamoDBReadOnlyAccess 对现有策略的更新 |
AmazonDynamoDBReadOnlyAccess 添加了权限 dynamodb:GetResourcePolicy 。此权限允许读取附加到 DynamoDB 资源的基于资源的策略。 |
2024 年 3 月 20 日 |
DynamoDBReplicationServiceRolePolicy 对现有策略的更新 |
DynamoDBReplicationServiceRolePolicy 添加了权限 dynamodb:GetResourcePolicy 。此权限允许服务相关角色读取附加到 DynamoDB 资源的基于资源的策略。 |
2023 年 12 月 15 日 |
DynamoDBReplicationServiceRolePolicy 对现有策略的更新 |
DynamoDBReplicationServiceRolePolicy 添加了权限 account:ListRegions 。此权限允许服务相关角色评估副本可访问性 |
2023 年 5 月 10 日 |
DynamoDBReplicationServiceRolePolicy 添加到托管策略列表中 |
添加了有关托管策略 DynamoDBReplicationServiceRolePolicy 的信息,该策略由 DynamoDB 全局表服务相关角色使用。 |
2023 年 5 月 10 日 |
DynamoDB 全局表开始了更改跟踪 | DynamoDB 全局表对其 Amazon 托管策略开始了更改跟踪。 | 2023 年 5 月 10 日 |