Considérations relatives aux politiques basées sur les ressources - Amazon DynamoDB

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Considérations relatives aux politiques basées sur les ressources

Lorsque vous définissez des politiques basées sur les ressources pour vos ressources DynamoDB, les considérations suivantes s'appliquent :

Considérations générales

  • La taille maximale prise en charge pour un document de politique basé sur les ressources est de 20 Ko. DynamoDB compte les espaces blancs lors du calcul de la taille d'une politique par rapport à cette limite.

  • Les mises à jour ultérieures d'une politique pour une ressource donnée sont bloquées pendant 15 secondes après une mise à jour réussie de la politique pour la même ressource.

  • Actuellement, vous ne pouvez associer une politique basée sur les ressources qu'aux flux existants. Vous ne pouvez pas associer de politique à un flux lors de sa création.

Considérations relatives aux tables globales

  • Les politiques basées sur les ressources ne sont pas prises en charge pour les répliques de la table globale version 2017.11.29 (Legacy).

  • Dans le cadre d'une politique basée sur les ressources, si l'action permettant à un rôle lié à un service DynamoDB (SLR) de répliquer les données d'une table globale est refusée, l'ajout ou la suppression d'une réplique échouera avec une erreur.

  • La AWS GlobalTable ressource ::DynamoDB : : ne prend pas en charge la création d'une réplique et l'ajout d'une politique basée sur les ressources à cette réplique dans la même mise à jour de pile dans des régions autres que la région où vous déployez la mise à jour de pile.

Considérations relatives aux comptes multiples

  • L'accès entre comptes à l'aide de politiques basées sur les ressources ne prend pas en charge les tables chiffrées avec des clés AWS gérées, car vous ne pouvez pas accorder d'accès entre comptes à la politique gérée. AWS KMS

AWS CloudFormation considérations

  • Les politiques basées sur les ressources ne prennent pas en charge la détection des dérives. Si vous mettez à jour une politique basée sur les ressources en dehors du modèle de AWS CloudFormation pile, vous devrez mettre à jour la CloudFormation pile avec les modifications.

  • Les politiques basées sur les ressources ne prennent pas en charge les modifications hors bande. Si vous ajoutez, mettez à jour ou supprimez une politique en dehors du CloudFormation modèle, la modification ne sera pas remplacée si aucune modification n'est apportée à la politique dans le modèle.

    Supposons, par exemple, que votre modèle contienne une politique basée sur les ressources que vous mettez à jour ultérieurement en dehors du modèle. Si vous n'apportez aucune modification à la politique du modèle, la stratégie mise à jour dans DynamoDB ne sera pas synchronisée avec la stratégie du modèle.

    Inversement, supposons que votre modèle ne contienne pas de stratégie basée sur les ressources, mais que vous ajoutiez une politique en dehors du modèle. Cette politique ne sera pas supprimée de DynamoDB tant que vous ne l'ajoutez pas au modèle. Lorsque vous ajoutez une politique au modèle et que vous mettez à jour la pile, la politique existante dans DynamoDB est mise à jour pour correspondre à celle définie dans le modèle.