使用基于 IAM 身份的策略和基于 DynamoDB 资源的策略进行授权

基于身份的策略会附加到 IAM 用户、用户组和角色等身份。这些是 IAM 策略文档，控制身份可在何种条件下对哪些资源执行哪些操作。基于身份的策略可以是托管策略或内联策略。

基于资源的策略是附加到资源（例如 DynamoDB 表）的 IAM 策略文档。这些策略授予指定的主体对该资源执行特定操作的权限，并定义这在哪些条件下适用。例如，DynamoDB 表的基于资源的策略还包括与该表关联的索引。基于资源的策略是内联策略。没有基于托管资源的策略。

有关这些策略的更多信息，请参见《IAM 用户指南》中的基于身份的策略和基于资源的策略。

如果 IAM 主体与资源所有者来自同一个账户，则基于资源的策略足以指定对资源的访问权限。您仍然可以选择拥有基于 IAM 身份的策略以及基于资源的策略。对于跨账户访问，您必须明确允许访问身份和资源策略，如使用基于资源的策略授予跨账户访问权限中所指定。当您同时使用这两种类型的策略时，将按照确定账户中是允许还是拒绝请求中的说明评估策略。