使用基于 IAM 身份的策略和基于 DynamoDB 资源的策略进行授权 - Amazon DynamoDB

使用基于 IAM 身份的策略和基于 DynamoDB 资源的策略进行授权

基于身份的策略会附加到 IAM 用户、用户组和角色等身份。这些是 IAM 策略文档,控制身份可在何种条件下对哪些资源执行哪些操作。基于身份的策略可以是托管策略或内联策略。

基于资源的策略是附加到资源(例如 DynamoDB 表)的 IAM 策略文档。这些策略授予指定的主体对该资源执行特定操作的权限,并定义这在哪些条件下适用。例如,DynamoDB 表的基于资源的策略还包括与该表关联的索引。基于资源的策略是内联策略。没有基于托管资源的策略。

有关这些策略的更多信息,请参见《IAM 用户指南》中的基于身份的策略和基于资源的策略

如果 IAM 主体与资源所有者来自同一个账户,则基于资源的策略足以指定对资源的访问权限。您仍然可以选择拥有基于 IAM 身份的策略以及基于资源的策略。对于跨账户访问,您必须明确允许访问身份和资源策略,如在 DynamoDB 中使用基于资源的策略进行跨账户访问中所指定。当您同时使用这两种类型的策略时,将按照确定账户中是允许还是拒绝请求中的说明评估策略。