針對 DynamoDB 使用以資源為基礎的政策

DynamoDB 針對資料表、索引和串流支援以資源為基礎的政策。以資源為基礎的策略可讓您定義存取權限，方法是指定每個資源的存取權限，以及允許這些資源對每個資源執行的動作。

您可以將以資源為基礎的政策附加至 DynamoDB 資源，例如資料表或串流。在此政策中，您可以為 Identity and Access Management (IAM) 主體指定許可，這些主體可以對這些 DynamoDB 資源執行特定動作。例如，附加至資料表的原則將包含資料表及其索引的存取權限。因此，以資源為基礎的政策可以透過在資源層級定義權限，協助您簡化 DynamoDB 表、索引和串流的存取控制。您可以附加至 DynamoDB 資源的原則大小上限為 20 KB。

使用以資源為基礎的政策的一大好處是簡化跨帳戶存取控制，以便為不同的 IAM 主體提供跨帳戶存取權。 AWS 帳戶如需詳細資訊，請參閱 跨帳戶存取的資源型政策。

以資源為基礎的政策也支援與 IAM 存取分析器外部存取分析器和封鎖公用存取 (BPA) 功能的整合。IAM 存取分析器報告對以資源為基礎的政策中指定的外部實體的跨帳戶存取。它還提供了可見性，以幫助您調整權限並符合最低權限原則。BPA 可協助您防止公開存取 DynamoDB 表、索引和串流，並且會在以資源為基礎的原則建立和修改工作流程中自動啟用。

主題

• 使用以資源為基礎的策略建立資料表
• 將策略附加到現有表格
• 將資源型政策附加至串流
• 從表格中移除以資源為基礎的政策
• 跨帳戶存取以資源為基礎的政策
• 使用資源型原則封鎖公用存取
• 資源型政策支援的 API 作業
• 使用 IAM 身分型政策和以 DynamoDB 資源為基礎的政策進行授權
• 資源型政策範例
• 資源型政策考量事項
• 資源型政策最佳做法