本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
資源型政策考量事項
當您為 DynamoDB 資源定義以資源為基礎的政策時,需要考量下列事項:
一般考量
-
以資源為基礎的政策文件所支援的大小上限為 20 KB。根據此限制計算原則大小時,DynamoDB 會計算空格。
-
在成功更新相同資源的策略之後,會封鎖指定資源的後續政策更新 15 秒。
-
目前,您只能將以資源為基礎的政策附加至現有串流。您無法在建立串流時將原則附加至串流。
全域資料表考量
-
全域表格版本 2017.11.29 (舊版) 複本不支援以資源為基礎的政策。
-
在以資源為基礎的政策中,如果針對 DynamoDB 服務連結角色 (SLR) 複寫全域表資料的動作遭到拒絕,則新增或刪除複本將失敗並顯示錯誤。
-
:AWS: DynamoDB:: GlobalTable 資源不支援建立複本,並在部署堆疊更新的區域以外的區域中,將以資源為基礎的原則新增至相同堆疊更新中的該複本。
跨帳戶考量
-
使用資源型政策的跨帳戶存取不支援含 AWS 受管金鑰的加密資料表,因為您無法授與受管理 KMS 原則的跨帳戶存取 AWS 權。
AWS CloudFormation 考量
-
以資源為基礎的政策不支援漂移偵測。如果您在 AWS CloudFormation 堆疊範本之外更新以資源為基礎的政策,則需要使用變更來更新 CloudFormation 堆疊。
-
以資源為基礎的政策不支援頻外變更。如果您在範本之外新增、更新或刪除原則,則 CloudFormation 範本中沒有變更原則時,將不會覆寫變更。
例如,假設您的範本包含以資源為基礎的政策,您稍後會在範本外部進行更新。如果您未對範本中的原則進行任何變更,DynamoDB 中更新的原則將不會與範本中的原則同步。
相反地,假設您的範本不包含以資源為基礎的政策,但您可以在範本之外新增政策。只要您未將此原則新增至範本,就不會從 DynamoDB 中移除。當您將原則新增至範本並更新堆疊時,DynamoDB 中的現有政策將會更新,以符合範本中定義的原則。
