DynamoDB 資源型政策考量事項 - Amazon DynamoDB

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

DynamoDB 資源型政策考量事項

當您為 DynamoDB 資源定義資源型政策時,下列考量會適用:

一般考量

  • 資源型政策文件支援的大小上限為 20 KB。DynamoDB 在根據此限制計算政策大小時計算空格。

  • 成功更新相同資源的政策後,會封鎖特定資源的政策後續更新 15 秒。

  • 目前,您只能將資源型政策連接至現有的串流。您無法在建立時將政策連接至串流。

全域資料表考量

  • 全域資料表版本 2017.11.29 (舊版) 複本不支援資源型政策。

  • 在資源型政策中,如果 DynamoDB 服務連結角色 (SLR) 複寫全域資料表資料的動作遭到拒絕,則新增或刪除複本將會失敗並發生錯誤。

  • AWS::DynamoDB ::GlobalTable 資源不支援在您部署堆疊更新的 區域以外的 區域中,在相同的堆疊更新中建立複本和將資源型政策新增至該複本。

跨帳戶考量

  • 使用資源型政策的跨帳戶存取不支援具有 AWS 受管金鑰的加密資料表,因為您無法授予 AWS 受管KMS政策的跨帳戶存取。

AWS CloudFormation 考量事項

  • 資源型政策不支援偏離偵測 。如果您在 AWS CloudFormation 堆疊範本之外更新資源型政策,則需要使用變更來更新 CloudFormation 堆疊。

  • 資源型政策不支援頻外變更。如果您在 CloudFormation 範本之外新增、更新或刪除政策,如果範本中的政策沒有變更,則不會覆寫變更。

    例如,假設您的範本包含資源型政策,您稍後會在範本之外更新該政策。如果您未對範本中的政策進行任何變更,則 DynamoDB 中的更新政策將不會與範本中的政策同步。

    相反地,假設您的範本不包含資源型政策,但您在範本之外新增政策。只要您不將其新增至範本,此政策就不會從 DynamoDB 中移除。當您將政策新增至範本並更新堆疊時,DynamoDB 中的現有政策將會更新,以符合範本中定義的政策。