Überlegungen zu ressourcenbasierten DynamoDB-Richtlinien - Amazon-DynamoDB

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überlegungen zu ressourcenbasierten DynamoDB-Richtlinien

Wenn Sie ressourcenbasierte Richtlinien für Ihre DynamoDB-Ressourcen definieren, gelten die folgenden Überlegungen:

Allgemeine Überlegungen

  • Die maximale Größe, die für ein ressourcenbasiertes Richtliniendokument unterstützt wird, beträgt 20 KB. DynamoDB zählt Leerzeichen, wenn die Größe einer Richtlinie anhand dieses Grenzwerts berechnet wird.

  • Nachfolgende Aktualisierungen einer Richtlinie für eine bestimmte Ressource werden nach einer erfolgreichen Aktualisierung der Richtlinie für dieselbe Ressource für 15 Sekunden blockiert.

  • Derzeit können Sie nur eine ressourcenbasierte Richtlinie an bestehende Streams anhängen. Sie können einem Stream bei der Erstellung keine Richtlinie zuordnen.

Überlegungen zu globalen Tabellen

  • Ressourcenbasierte Richtlinien werden für Replikate der globalen Tabellenversion 2017.11.29 (Legacy) nicht unterstützt.

  • Wenn innerhalb einer ressourcenbasierten Richtlinie die Aktion für eine dienstverknüpfte DynamoDB-Rolle (SLR) zum Replizieren von Daten für eine globale Tabelle verweigert wird, schlägt das Hinzufügen oder Löschen eines Replikats mit einem Fehler fehl.

  • Die AWS: :DynamoDB:: GlobalTable -Ressource unterstützt nicht das Erstellen eines Replikats und das Hinzufügen einer ressourcenbasierten Richtlinie zu diesem Replikat in demselben Stack-Update in anderen Regionen als der Region, in der Sie das Stack-Update bereitstellen.

Kontenübergreifende Überlegungen

  • Der kontenübergreifende Zugriff mithilfe ressourcenbasierter Richtlinien unterstützt keine verschlüsselten Tabellen mit AWS verwalteten Schlüsseln, da Sie keinen kontenübergreifenden Zugriff auf die verwaltete Richtlinie gewähren können. AWS KMS

AWS CloudFormation Überlegungen

  • Ressourcenbasierte Richtlinien unterstützen die Erkennung von Abweichungen nicht. Wenn Sie eine ressourcenbasierte Richtlinie außerhalb der AWS CloudFormation Stack-Vorlage aktualisieren, müssen Sie den CloudFormation Stack mit den Änderungen aktualisieren.

  • Ressourcenbasierte Richtlinien unterstützen keine Out-of-Band-Änderungen. Wenn Sie eine Richtlinie außerhalb der CloudFormation Vorlage hinzufügen, aktualisieren oder löschen, wird die Änderung nicht überschrieben, sofern in der Vorlage keine Änderungen an der Richtlinie vorgenommen werden.

    Nehmen wir beispielsweise an, dass Ihre Vorlage eine ressourcenbasierte Richtlinie enthält, die Sie später außerhalb der Vorlage aktualisieren. Wenn Sie keine Änderungen an der Richtlinie in der Vorlage vornehmen, wird die aktualisierte Richtlinie in DynamoDB nicht mit der Richtlinie in der Vorlage synchronisiert.

    Nehmen wir umgekehrt an, dass Ihre Vorlage keine ressourcenbasierte Richtlinie enthält, aber Sie fügen eine Richtlinie außerhalb der Vorlage hinzu. Diese Richtlinie wird nicht aus DynamoDB entfernt, solange Sie sie nicht zur Vorlage hinzufügen. Wenn Sie der Vorlage eine Richtlinie hinzufügen und den Stack aktualisieren, wird die bestehende Richtlinie in DynamoDB aktualisiert, sodass sie mit der in der Vorlage definierten Richtlinie übereinstimmt.