Überlegungen zu ressourcenbasierten DynamoDB-Richtlinien - Amazon DynamoDB

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überlegungen zu ressourcenbasierten DynamoDB-Richtlinien

Wenn Sie ressourcenbasierte Richtlinien für Ihre DynamoDB-Ressourcen definieren, berücksichtigen Sie die folgenden Überlegungen:

Allgemeine Überlegungen

  • Ein ressourcenbasiertes Richtliniendokument kann maximal 20 KB groß sein. Leerzeichen werden in DynamoDB beim Berechnen der Richtliniengröße in Bezug auf diesen Limit nicht mitgezählt.

  • Nachfolgende Aktualisierungen einer Richtlinie für eine bestimmte Ressource werden nach einer erfolgreichen Aktualisierung der Richtlinie für dieselbe Ressource 15 Sekunden lang blockiert.

  • Derzeit können Sie nur eine ressourcenbasierte Richtlinie an vorhandene Streams anhängen. Sie können einem Stream während der Erstellung keine Richtlinie zuordnen.

Überlegungen zu globalen Tabellen

  • Ressourcenbasierte Richtlinien werden für Replikate der Version 2017.11.29 (veraltet) für eine globale Tabelle nicht unterstützt.

  • Wenn innerhalb einer ressourcenbasierten Richtlinie die Aktion für eine serviceverknüpfte DynamoDB-Rolle (SLR) zum Replizieren von Daten für eine globale Tabelle verweigert wird, schlägt das Hinzufügen oder Löschen eines Replikats mit einem Fehler fehl.

  • Die AWS: :DynamoDB:: GlobalTable -Ressource unterstützt nicht das Erstellen eines Replikats und das Hinzufügen einer ressourcenbasierten Richtlinie zu diesem Replikat in demselben Stack-Update in anderen Regionen als der Region, in der Sie das Stack-Update bereitstellen.

Kontoübergreifende Überlegungen

  • Der kontenübergreifende Zugriff mithilfe ressourcenbasierter Richtlinien unterstützt keine verschlüsselten Tabellen mit AWS verwalteten Schlüsseln, da Sie keinen kontoübergreifenden Zugriff auf die verwaltete KMS-Richtlinie gewähren können. AWS

CloudFormation Überlegungen

  • Ressourcenbasierte Richtlinien bieten keine Unterstützung für die Erkennung von Abweichungen. Wenn Sie eine ressourcenbasierte Richtlinie außerhalb der AWS CloudFormation Stack-Vorlage aktualisieren, müssen Sie den CloudFormation Stack mit den Änderungen aktualisieren.

  • Ressourcenbasierte Richtlinien unterstützen keine Out-of-Band-Änderungen. Wenn Sie eine Richtlinie außerhalb der CloudFormation Vorlage hinzufügen, aktualisieren oder löschen, wird die Änderung nicht überschrieben, sofern in der Vorlage keine Änderungen an der Richtlinie vorgenommen wurden.

    Nehmen wir beispielsweise an, dass Ihre Vorlage eine ressourcenbasierte Richtlinie enthält, die Sie später außerhalb der Vorlage aktualisieren. Wenn Sie keine Änderungen an der Richtlinie in der Vorlage vornehmen, wird die aktualisierte Richtlinie in DynamoDB nicht mit der Richtlinie in der Vorlage synchronisiert.

    Nehmen wir umgekehrt an, dass Ihre Vorlage keine ressourcenbasierte Richtlinie enthält, Sie aber eine Richtlinie außerhalb der Vorlage hinzufügen. Diese Richtlinie wird nicht aus DynamoDB entfernt, solange Sie sie nicht zur Vorlage hinzufügen. Wenn Sie der Vorlage eine Richtlinie hinzufügen und den Stack aktualisieren, wird die vorhandene Richtlinie in DynamoDB aktualisiert, sodass sie mit der in der Vorlage definierten Richtlinie übereinstimmt.