使用 DynamoDB 的基于资源的策略
DynamoDB 支持针对表、索引和流的基于资源的策略。基于资源的策略允许您指定谁有权访问每个资源,以及允许他们对每个资源执行哪些操作,以此来定义访问权限。
您可以将基于资源的策略附加到 DynamoDB 资源,例如表或流。在此策略中,您可以为身份和访问管理(IAM)主体指定权限,这些主体可以对这些 DynamoDB 资源执行特定操作。例如,附加到表的策略将包含访问该表及其索引的权限。因此,基于资源的策略可以通过在资源级别定义权限,来协助您简化对 DynamoDB 表、索引和流的访问控制。您可以附加到 DynamoDB 资源的策略大小为最大 20 KB。
使用基于资源的策略的一个显著好处是,可以简化跨账户访问控制,从而为不同 AWS 账户中的 IAM 主体提供跨账户访问权限。有关更多信息,请参阅 用于跨账户访问的基于资源的策略。
基于资源的策略还支持与 IAM Access Analyzer 外部访问分析器和阻止公有访问(BPA)功能集成。IAM Access Analyzer 报告对基于资源的策略中指定的外部实体的跨账户访问。它还提供了可见性,有助于您完善权限并遵守最低权限原则。BPA 有助于防止针对您 DynamoDB 表、索引和流的公有访问,并且会在基于资源的策略创建和修改工作流程中自动启用。