Autorisation avec des politiques basées sur l’identité IAM et des politiques basées sur les ressources DynamoDB

Les politiques basées sur l’identité sont attachées à une identité, comme des utilisateurs, des groupes d’utilisateurs et des rôles IAM. Ces documents de politique IAM contrôlent les actions que peut exécuter une identité, sur quelles ressources et dans quelles conditions. Les politiques basées sur une identité peuvent être gérées ou en ligne.

Les politiques basées sur les ressources sont des documents de politique IAM que vous attachez à une ressource, telle qu’une table DynamoDB. Ces politiques accordent au principal spécifié l’autorisation d’effectuer des actions spécifiques sur cette ressource et définit sous quelles conditions cela s’applique. Par exemple, la politique basée sur les ressources pour une table DynamoDB inclut également l’index associé à la table. Les politiques basées sur les ressources sont des politiques en ligne. Il ne s’agit pas de politiques gérées basées sur les ressources.

Pour plus d’informations sur ces politiques, consultez Politiques basées sur l’identité et Politiques basées sur une ressource dans le Guide de l’utilisateur IAM.

Si le principal IAM provient du même compte que le propriétaire de la ressource, une politique basée sur les ressources est suffisante pour spécifier les autorisations d’accès à la ressource. Vous pouvez toujours choisir d’avoir une politique basée sur l’identité IAM avec une politique basée sur les ressources. Pour l’accès intercompte, vous devez autoriser explicitement l’accès dans les politiques d’identité et de ressources, comme spécifié dans Accès intercompte avec des politiques basées sur les ressources dans DynamoDB. Lorsque vous utilisez les deux types de politiques, une politique est évaluée comme décrit dans Déterminer si une demande est autorisée ou rejetée dans un compte.