Autorisierung mit identitätsbasierten IAM-Richtlinien und ressourcenbasierten DynamoDB-Richtlinien

Identitätsbasierte Richtlinien, z. B. IAM-Benutzer, Benutzergruppen und Rollen, sind an eine Identität angehängt. Dabei handelt es sich um IAM-Richtliniendokumente, die steuern, welche Aktionen eine Identität auf welchen Ressourcen und unter welchen Bedingungen ausführen kann. Identitätsbasierte Richtlinien können verwaltet oder als Inline-Richtlinien festgelegt werden.

Ressourcenbasierte Richtlinien sind IAM-Richtliniendokumente, die Sie an eine Ressource anhängen, z. B. eine DynamoDB-Tabelle. Diese Richtlinien erteilen dem angegebenen Auftraggeber die Berechtigung zum Ausführen bestimmter Aktionen für diese Ressource und definiert, unter welchen Bedingungen dies gilt. Beispielsweise umfasst die ressourcenbasierte Richtlinie für eine DynamoDB-Tabelle auch den Index, der der Tabelle zugeordnet ist. Ressourcenbasierte Richtlinien sind Inline-Richtlinien. Es gibt keine verwalteten ressourcenbasierten Richtlinien.

Weitere Informationen zu diesen Richtlinien finden Sie unter Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien im IAM-Benutzerhandbuch.

Wenn der IAM-Prinzipal aus demselben Konto stammt wie der Ressourcenbesitzer, reicht eine ressourcenbasierte Richtlinie aus, um Zugriffsberechtigungen für die Ressource festzulegen. Sie können sich weiterhin für eine identitätsbasierte IAM-Richtlinie und eine ressourcenbasierte Richtlinie entscheiden. Für kontoübergreifenden Zugriff müssen Sie den Zugriff sowohl in den Identitäts- als auch in den Ressourcenrichtlinien explizit zulassen, wie unter beschrieben. Kontoübergreifender Zugriff mit ressourcenbasierten Richtlinien Wenn Sie beide Richtlinientypen verwenden, wird eine Richtlinie wie unter Ermitteln, ob eine Anfrage innerhalb eines Kontos zulässig oder verweigert wird, beschrieben bewertet.