本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

DynamoDB 資源型政策最佳實務

本主題說明定義 DynamoDB 資源存取權限及允許動作的最佳實務。

簡化 DynamoDB 資源的存取控制

如果需要存取 DynamoDB 資源的 AWS Identity and Access Management 主體與 AWS 帳戶 資源擁有者屬於相同部分，則每個主體不需要 IAM 身分型政策。附加至指定資源的資源型政策即可。此設定方式可簡化存取控制。

使用資源型政策保護您的 DynamoDB 資源

對所有 DynamoDB 資料表與串流建立資源型政策，以強制執行這些資源的存取控制。資源型政策可讓您在資源層級集中管理權限，簡化對 DynamoDB 資料表、索引及串流的存取控制，並降低管理負擔。若未為資料表或串流指定資源型政策，則除非與 IAM 主體關聯的身分型政策允許存取，否則系統會隱含拒絕存取該資料表或串流。

套用最低權限許可

當您使用 DynamoDB 資源的資源型政策設定權限時，僅授與執行動作所需的權限。為實現此目的，您可以定義在特定條件下可以對特定資源採取的動作，這也稱為最低權限許可。探索工作負載或使用案例所需的許可時，您可能會從廣泛許可開始。隨著使用案例的成熟，您可以設法減少授予的許可，以便朝向最低權限的目標邁進。

分析跨帳戶存取活動以產生最低權限政策

IAM 存取分析器會報告資源型政策中指定之外部實體的跨帳戶存取，並提供可視化資訊，協助您最佳化權限設定並符合最低權限政策。如需政策產生的詳細資訊，請參閱 IAM Access Analyzer 政策產生。

使用 IAM 存取分析器根據存取活動產生最低權限政策

若只授予執行任務所需的許可，您可以根據在 AWS CloudTrail中記錄的存取活動產生政策。IAM 存取分析器會分析您的政策中所使用的服務與動作。