本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

DynamoDB 資源型政策最佳實務

本主題說明定義 DynamoDB 資源存取許可的最佳實務，以及這些資源上允許的動作。

簡化 DynamoDB 資源的存取控制

如果需要存取 DynamoDB 資源的 AWS Identity and Access Management 委託人與 AWS 帳戶 資源擁有者是相同的部分，則每個委託人不需要身分IAM型政策。連接到指定資源的資源型政策就已足夠。這種類型的組態可簡化存取控制。

使用資源型政策保護您的 DynamoDB 資源

對於所有 DynamoDB 資料表和串流，請建立以資源為基礎的政策，以強制執行這些資源的存取控制。以資源為基礎的政策可讓您集中管理資源層級的許可、簡化 DynamoDB 資料表、索引和串流的存取控制，並減少管理開銷。如果未為資料表或串流指定資源型政策，除非與IAM委託人相關聯的身分型政策允許存取，否則將隱含拒絕存取資料表或串流。

套用最低權限許可

當您使用以資源為基礎的 DynamoDB 資源政策設定許可時， 只會授予執行動作所需的許可。為實現此目的，您可以定義在特定條件下可以對特定資源採取的動作，這也稱為最低權限許可。探索工作負載或使用案例所需的許可時，您可能會從廣泛許可開始。隨著使用案例的成熟，您可以設法減少授予的許可，以便朝向最低權限的目標邁進。

分析跨帳戶存取活動以產生最低權限政策

IAM Access Analyzer 會報告對資源型政策中指定外部實體的跨帳戶存取，並提供可見性，以協助您精簡許可並符合最低權限。如需政策產生的詳細資訊，請參閱 IAM Access Analyzer 政策產生。

使用 IAM Access Analyzer 產生最低權限政策

若要僅授予執行任務所需的許可，您可以根據已登入的存取活動產生政策 AWS CloudTrail。 IAMAccess Analyzer 會分析政策使用的服務和動作。