允许 Amazon Lambda 函数访问 DynamoDB 流记录的 IAM policy - Amazon DynamoDB
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

允许 Amazon Lambda 函数访问 DynamoDB 流记录的 IAM policy

如果您希望基于 DynamoDB 流中的新事件执行特定操作,则可以编写一个由这些事件触发的 Amazon Lambda 函数。诸如此类的 Lambda 函数需要拥有从 DynamoDB 流中读取数据的权限。有关将 Lambda 与 DynamoDB Streams 结合使用的更多信息,请参阅DynamoDB 直播和触发器 Amazon Lambda

要向 Lambda 授予权限,请使用与 Lambda 函数的 IAM 角色关联的权限策略(也称为执行角色)。在创建 Lambda 函数时指定此策略。

例如,您可以将以下权限策略与该执行角色相关联,从而向 Lambda 授予执行所列 DynamoDB Streams 操作的权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "APIAccessForDynamoDBStreams",
            "Effect": "Allow",
            "Action": [
                "dynamodb:GetRecords",
                "dynamodb:GetShardIterator",
                "dynamodb:DescribeStream",
                "dynamodb:ListStreams"
            ],
            "Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/GameScores/stream/*"
        }
    ]
}

有关授予权限的更多信息,请参阅 Amazon Lambda 开发人员指南Amazon Lambda 权限