本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# DynamoDB 資源型政策最佳實務
<a name="rbac-best-practices"></a>

本主題說明定義 DynamoDB 資源存取權限及允許動作的最佳實務。

## 簡化 DynamoDB 資源的存取控制
<a name="rbac-simplify-access-control"></a>

如果需要存取 DynamoDB 資源的 AWS Identity and Access Management 主體與 AWS 帳戶 資源擁有者屬於相同部分，則每個主體不需要 IAM 身分型政策。附加至指定資源的資源型政策即可。此設定方式可簡化存取控制。

## 使用資源型政策保護您的 DynamoDB 資源
<a name="rbac-protect"></a>

 對所有 DynamoDB 資料表與串流建立資源型政策，以強制執行這些資源的存取控制。資源型政策可讓您在資源層級集中管理權限，簡化對 DynamoDB 資料表、索引及串流的存取控制，並降低管理負擔。若未為資料表或串流指定資源型政策，則除非與 IAM 主體關聯的身分型政策允許存取，否則系統會隱含拒絕存取該資料表或串流。

## 套用最低權限許可
<a name="rbac-least-privilege"></a>

當您使用 DynamoDB 資源的資源型政策設定權限時，僅授與執行動作所需的權限。為實現此目的，您可以定義在特定條件下可以對特定資源採取的動作，這也稱為最低權限許可。探索工作負載或使用案例所需的許可時，您可能會從廣泛許可開始。隨著使用案例的成熟，您可以設法減少授予的許可，以便朝向最低權限的目標邁進。

## 分析跨帳戶存取活動以產生最低權限政策
<a name="rbac-analyze-cross-account-access"></a>

IAM 存取分析器會報告資源型政策中指定之外部實體的跨帳戶存取，並提供可視化資訊，協助您最佳化權限設定並符合最低權限政策。如需政策產生的詳細資訊，請參閱 [IAM Access Analyzer 政策產生](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html)。

## 使用 IAM 存取分析器根據存取活動產生最低權限政策
<a name="rbac-iam-access-analyzer"></a>

若只授予執行任務所需的許可，您可以根據在 AWS CloudTrail中記錄的存取活動產生政策。IAM 存取分析器會分析您的政策中所使用的服務與動作。