# 适用于 Amazon DynamoDB 的 AWS 托管策略
DynamoDB 使用 AWS 托管策略来定义服务执行特定操作所需的一组权限。DynamoDB 维护和更新其 AWS 托管策略。您无法更改 AWS 托管式策略中的权限。有关 AWS 托管策略的更多信息,请参阅《IAM 用户指南》中的 [AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
DynamoDB 可能偶尔向 AWS 托管策略添加额外权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当推出新功能或新操作变为可用时,最有可能会更新 AWS 托管策略。DynamoDB 将不会从 AWS 托管策略中删除权限,因此策略更新不会破坏您的现有权限。有关 AWS 托管式策略的完全列表,请参阅 [AWS managed policies](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/policy-list.html)。
## AWS 托管策略:DynamoDBReplicationServiceRolePolicy
您不能将 `DynamoDBReplicationServiceRolePolicy` 策略附加到您的 IAM 实体。附加到服务相关角色的这一策略允许 DynamoDB 代表您执行操作。有关更多信息,请参阅[将 IAM 与全局表结合使用](globaltables-security.md)。
此策略授予权限,以允许服务相关角色在全局表副本之间执行数据复制。它还授予代表您管理全局表副本的管理权限。
**权限详细信息**
此策略授予执行以下操作的权限:
+ `dynamodb` – 执行数据复制和管理表副本。
+ `application-autoscaling` – 检索和管理表自动扩缩设置。
+ `account` – 检索区域状态以评估副本的可访问性。
+ `iam` – 在服务相关角色尚不存在的情况下,为应用程序自动扩缩创建服务相关角色。
此托管策略的定义可在[此处](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/DynamoDBReplicationServiceRolePolicy.html)找到。
## AWS 托管式策略:AmazonDynamoDBFullAccess\$1v2
范围缩小的 `AmazonDynamoDBFullAccess_v2` 策略向用户授予特定访问权限。您可以将 `AmazonDynamoDBFullAccess_v2` 策略附加到 IAM 身份。此策略授予对 Amazon DynamoDB 资源的管理访问权限,并向 IAM 身份(如用户、组或角色)授予访问 AWS 服务的权限,DynamoDB 与这些服务集成以使用 DynamoDB 的所有功能。使用此策略可以访问 AWS 管理控制台中提供的所有 DynamoDB 功能。
**权限详细信息**
该策略包含以下权限:
+ `Amazon DynamoDB`
+ `DynamoDB Accelerator`
+ `AWS KMS`
+ `AWS Resource Groups Tagging`
+ `Lambda`
+ `Application Auto Scaling`
+ `CloudWatch`
+ `Amazon Kinesis`
+ `Amazon EC2`
+ `IAM`
要查看 `JSON` 格式的策略,请参阅 [AmazonDynamoDBFullAccess\$1v2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDynamoDBFullAccess_v2.html)。
## AWS托管策略:AmazonDynamoDBReadOnlyAccess
您可以将 `AmazonDynamoDBReadOnlyAccess` 策略附加到 IAM 身份。
此策略授予对 Amazon DynamoDB 的只读权限。
**权限详细信息**
该策略包含以下权限:
+ `Amazon DynamoDB` – 提供对 Amazon DynamoDB 的只读访问权限。
+ `Amazon DynamoDB Accelerator (DAX)` – 提供对 Amazon DynamoDB Accelerator(DAX)的只读访问权限。
+ `Application Auto Scaling`:允许主体从 Application Auto Scaling 查看配置。这是必需权限,以便用户可以查看附加到表的自动扩展策略。
+ `CloudWatch`:允许主体查看在 CloudWatch 中配置的指标数据和警报。这是必需权限,以便用户可以查看可计费表大小以及已为表配置的 CloudWatch 警报。
+ `AWS Data Pipeline` – 允许主体查看 AWS Data Pipeline 和关联对象。
+ `Amazon EC2` – 允许主体查看 Amazon EC2 VPC、子网和安全组。
+ `IAM` – 允许主体查看 IAM 角色。
+ `AWS KMS`:允许主体查看 AWS KMS 中配置的密钥。这是必需权限,以便用户可以查看他们在其账户中创建和管理的 AWS KMS keys。
+ `Amazon SNS` - 允许主体列出 Amazon SNS 主题及其订阅情况。
+ `AWS Resource Groups` – 允许主体查看资源组及其查询。
+ `AWS Resource Groups Tagging` – 允许主体列出一个区域中所有已标记或先前标记的资源。
+ `Kinesis` – 允许主体查看 Kinesis Data Streams 描述。
+ `Amazon CloudWatch Contributor Insights` – 允许主体查看 Contributor Insights 规则收集的时间序列数据。
要查看 `JSON` 格式的策略,请参阅 [AmazonDynamoDBReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonDynamoDBReadOnlyAccess.html)。
## 对 AWS 托管策略的 DynamoDB 更新
此表显示了对适用于 DynamoDB 的 AWS 访问管理策略的更新。
****
| 更改 | 说明 | 更改日期 |
| --- | --- | --- |
| AmazonDynamoDBFullAccess:已弃用 | 此策略已被名为 `AmazonDynamoDBFullAccess_v2` 的范围缩小的策略所取代。 **2025 年 4 月**之后,您无法将 `AmazonDynamoDBFullAccess` 策略附加到任何新的用户、组或角色。有关更多信息,请参阅 [AWS 托管式策略:AmazonDynamoDBFullAccess\$1v2](#ddb-security-iam.awsmanpol.fullaccesspolicy-v2)。 | 2025 年 4 月 28 日 |
| AmazonDynamoDBReadOnlyAccess 对现有策略的更新 | AmazonDynamoDBReadOnlyAccess 添加了权限:dynamodb:GetAbacStatus 和 dynamodb:UpdateAbacStatus。这些权限支持您查看 ABAC 状态和在当前区域中为您的 AWS 账户启用 ABAC。 | 2024 年 11 月 18 日 |
| AmazonDynamoDBReadOnlyAccess 对现有策略的更新 | AmazonDynamoDBReadOnlyAccess 添加了权限 dynamodb:GetResourcePolicy。此权限允许读取附加到 DynamoDB 资源的基于资源的策略。 | 2024 年 3 月 20 日 |
| DynamoDBReplicationServiceRolePolicy 对现有策略的更新 | DynamoDBReplicationServiceRolePolicy 添加了权限 dynamodb:GetResourcePolicy。此权限允许服务相关角色读取附加到 DynamoDB 资源的基于资源的策略。 | 2023 年 12 月 15 日 |
| DynamoDBReplicationServiceRolePolicy 对现有策略的更新 | DynamoDBReplicationServiceRolePolicy 添加了权限 account:ListRegions。此权限允许服务相关角色评估副本可访问性 | 2023 年 5 月 10 日 |
| DynamoDBReplicationServiceRolePolicy 添加到托管策略列表中 | 添加了有关托管策略 DynamoDBReplicationServiceRolePolicy 的信息,该策略由 DynamoDB 全局表服务相关角色使用。 | 2023 年 5 月 10 日 |
| DynamoDB 全局表开始了更改跟踪 | DynamoDB 全局表对其 AWS 托管策略开始了更改跟踪。 | 2023 年 5 月 10 日 |