Autorisierung mit identitätsbasierten IAM-Richtlinien und ressourcenbasierten DynamoDB-Richtlinien

Identitätsbasierte Richtlinien sind an eine Identität wie IAM-Benutzer, -Benutzergruppen und -Rollen angehängt. Diese IAM-Richtliniendokumente steuern, welche Aktionen eine Identität für welche Ressourcen und unter welchen Bedingungen ausführen kann. Identitätsbasierte Richtlinien können verwaltet oder Inline sein.

Ressourcenbasierte Richtlinien sind IAM-Richtliniendokumente, die Sie an eine Ressource wie eine DynamoDB-Tabelle anhängen. Diese Richtlinien erteilen dem angegebenen Auftraggeber die Berechtigung zum Ausführen bestimmter Aktionen für diese Ressource und definiert, unter welchen Bedingungen dies gilt. Beispielsweise umfasst die ressourcenbasierte Richtlinie für eine DynamoDB-Tabelle auch den Index, der der Tabelle zugeordnet ist. Ressourcenbasierte Richtlinien sind Inline-Richtlinien. Es gibt keine verwalteten ressourcenbasierten Richtlinien.

Weitere Informationen zu diesen Richtlinien finden Sie unter Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien im IAM-Benutzerhandbuch.

Wenn der IAM-Prinzipal aus demselben Konto stammt wie der Ressourceneigentümer, reicht eine ressourcenbasierte Richtlinie aus, um Zugriffsberechtigungen für die Ressource festzulegen. Sie können sich weiterhin für eine identitätsbasierte IAM-Richtlinie und eine ressourcenbasierte Richtlinie entscheiden. Für den kontoübergreifenden Zugriff müssen Sie den Zugriff sowohl in den Identitäts- als auch den Ressourcenrichtlinien explizit zulassen, wie unter Kontoübergreifender Zugriff mit ressourcenbasierten Richtlinien in DynamoDB beschrieben. Wenn Sie beide Arten von Richtlinien verwenden, wird eine Richtlinie wie unter Ermitteln, ob eine Anforderung innerhalb eines Kontos zugelassen oder verweigert wird beschrieben ausgewertet.