

# Políticas gerenciadas pela AWS para o Amazon DynamoDB
<a name="ddb-security-iam.awsmanpol"></a>

O DynamoDB usa políticas gerenciadas pela AWS para definir um conjunto de permissões que o serviço precisa para realizar ações específicas. O DynamoDB mantém e atualiza as políticas gerenciadas pela AWS. Não é possível alterar as permissões em políticas gerenciadas pela AWS. Para obter mais informações sobre as políticas gerenciadas pela AWS, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no Guia do usuário do IAM.

Ocasionalmente, o DynamoDB pode acrescentar permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que uma política gerenciada pela AWS seja atualizada quando um novo recurso é iniciado ou quando novas operações são disponibilizadas. O DynamoDB não remove permissões de uma política gerenciada pela AWS, portanto as atualizações de políticas não suspendem suas permissões existentes. Para ter uma lista das políticas gerenciadas da AWS, consulte [AWS managed policies](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/policy-list.html).

## Política gerenciada pela AWS: DynamoDBReplicationServiceRolePolicy
<a name="ddb-security-iam.awsmanpol.policy"></a>

Não é possível anexar a política `DynamoDBReplicationServiceRolePolicy` às suas entidades do IAM. Essa política é anexada a um perfil vinculado ao serviço que permite que o DynamoDB realize ações em seu nome. Para obter mais informações, consulte [Usar o IAM com tabelas globais](globaltables-security.md).

Essa política concede permissões que possibilitam que o perfil vinculado ao serviço execute a replicação de dados entre réplicas de tabelas globais. Ela também concede permissões administrativas para gerenciar réplicas de tabelas globais em seu nome.

**Detalhes relacionados às permissões**

Essa política concede permissões para fazer o seguinte:
+ `dynamodb`: executar replicação de dados e gerenciar réplicas de tabelas.
+ `application-autoscaling`: recuperar e gerenciar as configurações de ajuste de escala automático da tabela.
+ `account`: recuperar o status da região para avaliar a acessibilidade a réplicas.
+ `iam`: para criar a função vinculada ao serviço para ajuste de escala automático da aplicação, caso essa função ainda não exista.

A definição dessa política gerenciada pode ser encontrada [aqui](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/DynamoDBReplicationServiceRolePolicy.html).

## Política gerenciada pela AWS: AmazonDynamoDBFullAccess\_v2
<a name="ddb-security-iam.awsmanpol.fullaccesspolicy-v2"></a>

A política de escopo reduzido `AmazonDynamoDBFullAccess_v2` concede privilégios de acesso específicos aos usuários. É possível anexar a política `AmazonDynamoDBFullAccess_v2` às suas identidades do IAM. Essa política concede acesso administrativo a recursos do Amazon DynamoDB e concede a uma identidade do IAM (como usuário, grupo ou perfil) acesso aos Serviços da AWS aos quais o DynamoDB está integrado para usar todos os recursos do DynamoDB. O uso dessa política permite o acesso a todos os recursos do DynamoDB que estão disponíveis no Console de gerenciamento da AWS.

**Detalhes de permissões**

Esta política inclui as seguintes permissões:
+ `Amazon DynamoDB`
+ `DynamoDB Accelerator`
+ `AWS KMS`
+ `AWS Resource Groups Tagging`
+ `Lambda`
+ `Application Auto Scaling`
+ `CloudWatch`
+ `Amazon Kinesis`
+ `Amazon EC2`
+ `IAM`

Para analisar a política no formato `JSON`, consulte [AmazonDynamoDBFullAccess\_v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDynamoDBFullAccess_v2.html).

## Política gerenciada da AWS: AmazonDynamoDBReadOnlyAccess
<a name="ddb-security-iam.awsmanpol.readonlypolicy"></a>

É possível anexar a política `AmazonDynamoDBReadOnlyAccess` às suas identidades do IAM.

Essa política concede acesso somente leitura ao Amazon DynamoDB.

**Detalhes de permissões**

Esta política inclui as seguintes permissões:
+ `Amazon DynamoDB`: concede acesso somente leitura ao Amazon DynamoDB.
+ `Amazon DynamoDB Accelerator (DAX)`: fornece acesso somente leitura ao Amazon DynamoDB Accelerator (DAX).
+ `Application Auto Scaling`: isso permite que as entidades principais visualizem configurações do Aplicativo de ajuste de escala automático. Isso é necessário para que os usuários possam visualizar as políticas de escalabilidade automática anexadas a uma tabela.
+ `CloudWatch`: permite que as entidades principais visualizem dados métricos e alarmes configurados no CloudWatch. Isso é necessário para que os usuários possam visualizar o tamanho da tabela faturável e os alarmes do CloudWatch que foram configurados para uma tabela.
+ `AWS Data Pipeline`: possibilita que as entidades principais visualizem o AWS Data Pipeline e objetos associados.
+ `Amazon EC2`: possibilita que as entidades principais visualizem VPCs, sub-redes e grupos de segurança do Amazon EC2.
+ `IAM`: possibilita que as entidades principais visualizem os perfis do IAM.
+ `AWS KMS`: permite que as entidades principais visualizem as chaves configuradas no AWS KMS. Isso é necessário para que os usuários possam visualizar as AWS KMS keys que eles criam e gerenciam na conta.
+ `Amazon SNS`: possibilita que as entidades principais listem tópicos do Amazon SNS e assinaturas por tópico.
+ `AWS Resource Groups`: possibilita que as entidades principais visualizem grupos e suas consultas.
+ `AWS Resource Groups Tagging`: possibilita que as entidades principais listem todos os recursos marcados ou que foram marcados anteriormente em uma região.
+ `Kinesis`: possibilita que as entidades principais visualizem as descrições dos fluxos de dados do Kinesis.
+ `Amazon CloudWatch Contributor Insights`: possibilita que as entidades principais visualizem dados de séries temporais coletados pelas regras do Contributor Insights.

Para examinar a política no formato `JSON`, consulte [AmazonDynamoDBReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDynamoDBReadOnlyAccess.html).

## Atualizações do DynamoDB para políticas gerenciadas pela AWS
<a name="ddb-security-iam.awsmanpol.updates"></a>

Esta tabela mostra as atualizações das políticas de gerenciamento de acesso da AWS para o DynamoDB.


****  

| Alteração | Descrição | Alterado em | 
| --- | --- | --- | 
| AmazonDynamoDBFullAccess: descontinuada | Esta política foi substituída por uma política com escopo reduzido chamada `AmazonDynamoDBFullAccess_v2`. Após **abril de 2025**, a política `AmazonDynamoDBFullAccess` não poderá ser anexada a nenhum novo usuário, grupo ou perfil. Para obter mais informações, consulte [Política gerenciada pela AWS: AmazonDynamoDBFullAccess\_v2](#ddb-security-iam.awsmanpol.fullaccesspolicy-v2).  | 28 de abril de 2025 | 
| AmazonDynamoDBReadOnlyAccessAtualização de  para uma política existente | O AmazonDynamoDBReadOnlyAccess adicionou as permissões dynamodb:GetAbacStatus e dynamodb:UpdateAbacStatus. Essas permissões autorizam que você visualize o status do ABAC e habilite o ABAC para a Conta da AWS na região atual. | 18 de novembro de 2024 | 
| AmazonDynamoDBReadOnlyAccessAtualização de  para uma política existente | AmazonDynamoDBReadOnlyAccess adicionou a permissão dynamodb:GetResourcePolicy. Essa permissão concede acesso para ler políticas baseadas em recursos vinculadas aos recursos do DynamoDB. | 20 de março de 2024 | 
| Atualização de DynamoDBReplicationServiceRolePolicy para uma política existente | DynamoDBReplicationServiceRolePolicy adicionou a permissão dynamodb:GetResourcePolicy. Essa permissão possibilita que o perfil vinculado ao serviço leia as políticas baseadas em recursos vinculadas aos recursos do DynamoDB. | 15 de dezembro de 2023 | 
| Atualização de DynamoDBReplicationServiceRolePolicy para uma política existente | DynamoDBReplicationServiceRolePolicy adicionou a permissão account:ListRegions. Essa permissão possibilita que o perfil vinculado ao serviço avalie a acessibilidade a réplicas. | 10 de maio de 2023 | 
| Adição de DynamoDBReplicationServiceRolePolicy à lista de políticas gerenciadas | Adição de informações sobre a política gerenciada DynamoDBReplicationServiceRolePolicy, que é usada pelo perfil vinculado ao serviço de tabelas globais do DynamoDB. | 10 de maio de 2023 | 
| As tabelas globais do DynamoDB começaram a monitorar alterações | As tabelas globais do DynamoDB começaram a monitorar alterações para suas políticas gerenciadas pela AWS. | 10 de maio de 2023 |