Autorisation avec des politiques basées sur l’identité IAM et des politiques basées sur les ressources DynamoDB

Identity-based les politiques sont associées à une identité, telle que les utilisateurs IAM, les groupes d'utilisateurs et les rôles. Il s'agit de documents de politique IAM qui contrôlent les actions qu'une identité peut effectuer, sur quelles ressources et dans quelles conditions. Identity-basedles politiques peuvent être gérées ou intégrées.

Resource-based les politiques sont des documents de stratégie IAM que vous attachez à une ressource, telle qu'une table DynamoDB. Ces politiques accordent au principal spécifié l’autorisation d’effectuer des actions spécifiques sur cette ressource et définit sous quelles conditions cela s’applique. Par exemple, la politique basée sur les ressources pour une table DynamoDB inclut également l'index associé à la table. Resource-based les politiques sont des politiques intégrées. Il ne s’agit pas de politiques gérées basées sur les ressources.

Pour plus d'informations sur ces politiques, consultez les politiques et Identity-based les politiques basées sur les ressources dans le guide de l'utilisateur IAM.

Si le principal IAM provient du même compte que le propriétaire de la ressource, une politique basée sur les ressources est suffisante pour spécifier les autorisations d’accès à la ressource. Vous pouvez toujours choisir d’avoir une politique basée sur l’identité IAM avec une politique basée sur les ressources. Pour l’accès intercompte, vous devez autoriser explicitement l’accès dans les politiques d’identité et de ressources, comme spécifié dans Cross-account accès avec des politiques basées sur les ressources dans DynamoDB. Lorsque vous utilisez les deux types de politiques, une politique est évaluée comme décrit dans Déterminer si une demande est autorisée ou rejetée dans un compte.