Autorizzazione con policy basate sull’identità IAM e policy basate su risorse DynamoDB

Identity-based le politiche sono allegate a un'identità, ad esempio utenti IAM, gruppi di utenti e ruoli. Si tratta di documenti relativi alle policy IAM che controllano quali azioni può eseguire un'identità, su quali risorse e in quali condizioni. Identity-basedle politiche possono essere gestite o integrate.

Resource-based le policy sono documenti di policy IAM allegati a una risorsa, come una tabella DynamoDB. Queste policy concedono al principale specificato l’autorizzazione per eseguire operazioni specifiche sulla risorsa e definiscono le condizioni in cui ciò si applica. Ad esempio, la policy basata sulle risorse per una tabella DynamoDB include anche l'indice associato alla tabella. Resource-based le politiche sono politiche in linea. Non esistono policy basate su risorse gestite.

Per ulteriori informazioni su queste politiche, consulta le policy e Identity-based le policy basate sulle risorse nella IAM User Guide.

Se il principale IAM proviene dallo stesso account del proprietario della risorsa, una policy basate su risorse è sufficiente per specificare le autorizzazioni di accesso alla risorsa. È comunque possibile scegliere di disporre di una policy basata sull’identità IAM insieme a una policy basata su risorse. Per l’accesso multi-account, è necessario consentire esplicitamente l’accesso sia nelle policy basate sull’identità che in quelle basate su risorse, come specificato in Cross-account accesso con policy basate sulle risorse in DynamoDB. Quando si utilizzano entrambi i tipi di policy, una policy viene valutata come descritto in Determinazione se una richiesta è consentita o rifiutata in un account.