基于资源的策略最佳实践

本主题介绍关于定义您 DynamoDB 资源的访问权限的最佳实践以及允许对这些资源执行的操作。

简化对 DynamoDB 资源的访问控制

如果需要访问 DynamoDB 资源的 AWS Identity and Access Management 主体与资源所有者属于相同的 AWS 账户，则不需要为每个主体指定基于 IAM 身份的策略。附加到给定资源的基于资源的策略就足够了。这种配置简化了访问控制。

使用基于资源的策略保护您的 DynamoDB 资源

对于所有 DynamoDB 表和流，创建基于资源的策略以强制对这些资源进行访问控制。基于资源的策略使您能够在资源级别集中管理权限，简化对 DynamoDB 表、索引和流的访问控制，并减少管理开销。如果没有为表或流指定基于资源的策略，则除非与 IAM 主体关联的基于身份的策略允许访问，否则将隐式拒绝对表或流的访问。

应用最低权限许可

在使用基于资源的策略设置 DynamoDB 资源的权限时，请仅授予执行操作所需的权限。为此，您可以定义在特定条件下可以对特定资源执行的操作，也称为最低权限许可。在探索工作负载或使用场景所需的权限时，您可以从较广泛的权限开始。随着使用场景逐渐成熟，您可以努力减少授予许可，直至达到最低权限的标准。

分析跨账户访问活动以生成最低权限策略

IAM Access Analyzer 报告对基于资源的策略中指定的外部实体的跨账户访问权限，并提供可见性来帮您完善权限并遵守最低权限原则。有关策略生成的更多信息，请参阅 IAM Access Analyzer 策略生成。

使用 IAM Access Analyzer 生成最低权限策略

如果仅授予执行任务所需的许可，您可以根据记录在 AWS CloudTrail 中的访问活动生成策略。IAM Access Analyzer 分析您的策略使用的服务和操作。