基于资源的策略最佳实践
本主题介绍关于定义您 DynamoDB 资源的访问权限的最佳实践以及允许对这些资源执行的操作。
简化对 DynamoDB 资源的访问控制
如果需要访问 DynamoDB 资源的 Amazon Identity and Access Management 主体与资源所有者属于相同的 Amazon Web Services 账户,则不需要为每个主体指定基于 IAM 身份的策略。附加到给定资源的基于资源的策略就足够了。这种配置简化了访问控制。
使用基于资源的策略保护您的 DynamoDB 资源
对于所有 DynamoDB 表和流,创建基于资源的策略以强制对这些资源进行访问控制。基于资源的策略使您能够在资源级别集中管理权限,简化对 DynamoDB 表、索引和流的访问控制,并减少管理开销。如果没有为表或流指定基于资源的策略,则除非与 IAM 主体关联的基于身份的策略允许访问,否则将隐式拒绝对表或流的访问。
应用最低权限许可
在使用基于资源的策略设置 DynamoDB 资源的权限时,请仅授予执行操作所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为最低权限许可。在探索工作负载或使用场景所需的权限时,您可以从较广泛的权限开始。随着使用场景逐渐成熟,您可以努力减少授予许可,直至达到最低权限的标准。
分析跨账户访问活动以生成最低权限策略
IAM Access Analyzer 报告对基于资源的策略中指定的外部实体的跨账户访问权限,并提供可见性来帮您完善权限并遵守最低权限原则。有关策略生成的更多信息,请参阅 IAM Access Analyzer 策略生成。
使用 IAM Access Analyzer 生成最低权限策略
如果仅授予执行任务所需的许可,您可以根据记录在 Amazon CloudTrail 中的访问活动生成策略。IAM Access Analyzer 分析您的策略使用的服务和操作。