使用基于 IAM 身份的策略和基于 DynamoDB 资源的策略进行授权 - Amazon DynamoDB
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用基于 IAM 身份的策略和基于 DynamoDB 资源的策略进行授权

基于身份的策略会附加到 IAM 用户、用户组和角色等身份。这些是 IAM 策略文档,控制身份可在何种条件下对哪些资源执行哪些操作。基于身份的策略可以是托管策略或内联策略。

基于资源的策略是附加到资源(例如 DynamoDB 表)的 IAM 策略文档。这些策略授予指定的主体对该资源执行特定操作的权限,并定义这在哪些条件下适用。例如,DynamoDB 表的基于资源的策略还包括与该表关联的索引。基于资源的策略是内联策略。没有基于托管资源的策略。

有关这些策略的更多信息,请参见《IAM 用户指南》中的基于身份的策略和基于资源的策略

如果 IAM 主体与资源所有者来自同一个账户,则基于资源的策略足以指定对资源的访问权限。您仍然可以选择拥有基于 IAM 身份的策略以及基于资源的策略。对于跨账户访问,您必须明确允许访问身份和资源策略,如使用基于资源的策略授予跨账户访问权限中所指定。当您同时使用这两种类型的策略时,将按照确定账户中是允许还是拒绝请求中的说明评估策略。