仅为 DynamoDB 流授予读取访问权限的 IAM 策略(不为表) - Amazon DynamoDB
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

仅为 DynamoDB 流授予读取访问权限的 IAM 策略(不为表)

当您对表启用 DynamoDB 流 时,将捕获有关对表中项目进行的每项修改的信息。有关更多信息,请参阅流的更改数据捕获DynamoDB

在某些情况下,您可能希望阻止应用程序从 DynamoDB 表中读取数据,但仍然允许访问该表的流。例如,您可以将 AWS Lambda 配置为轮询流,并在检测到项目更新时调用 Lambda 函数,然后执行其他处理。

以下操作可用于控制对 DynamoDB 流的访问:

  • dynamodb:DescribeStream

  • dynamodb:GetRecords

  • dynamodb:GetShardIterator

  • dynamodb:ListStreams

以下示例策略向用户授予对名为 GameScores 的表的流的访问权限。 ARN 中的通配符 (*) 与与该表关联的任何流匹配。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessGameScoresStreamOnly", "Effect": "Allow", "Action": [ "dynamodb:DescribeStream", "dynamodb:GetRecords", "dynamodb:GetShardIterator", "dynamodb:ListStreams" ], "Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/GameScores/stream/*" } ] }

请注意,此策略授予对 GameScores 表的流的访问权限,但不授予对表本身的访问权限。