如何授予对 DynamoDB 表的访问权限？

Question

在 IAM 中，我尝试为用户创建以下策略（arn 中的帐户 ID 已混淆）：

{
 "Version": "2012-10-17",
 "Statement": [
    {
        "Sid": "VisualEditor0",
        "Effect": "Allow",
        "Action": "dynamodb:*",
        "Resource": "arn:aws:dynamodb:us-west-2:999999999999:table/busUsers"
    }
 ]
}

但是，结果是：

此策略定义了一些不提供权限的操作、资源或条件。要授予访问权限，策略必须具有具有适用资源或条件的操作。详情请选择显示剩余Learn more

Show remaining 显示：

一个或多个操作没有适用的资源。

我查看了Learn more 链接，它说用* 替换Resource 元素中的arn。我现在很困惑。 * 是什么意思？我想授予对我的特定 DynamoDB 表的访问权限。如何指定？

---

编辑：我删除了所有 DyanamoDB 操作，只选择了一个 GetItem，它是：

当我取消选择 GetItem 时，两条错误消息都会消失。 当我选择 table Any 时，第一条错误消息消失。 当我选择 Resource Any 时，第二条错误消息消失。

Answer 1

这是因为您将所有 dynamodb 操作授予表资源的权限，但并非所有这些操作实际上都适用于表。

例如 dynamodb:DescribeStream 不适用于表，仅适用于流，但您无论如何都授予此资源的权限。

您可以放心地忽略此警告。

编辑：您可能没有意识到只需单击“保存策略”即可正常工作。

编辑：感谢您发布您的屏幕截图。这里没有错误，只有警告，在这种情况下，最好将其称为提示。

当您手动输入资源的 ARN 时，AWS 似乎无法识别它是什么类型的资源（即表格）。如果您通过表 ARN 生成器添加资源，则不会出现任何警告。无论哪种情况，您最终都会得到相同的政策。

Answer 2

您可能遇到了 IAM 策略可视化编辑器本身的错误 [由亚马逊员工 rob@AWS 讨论]（因此没有遇到任何实际问题）： https://forums.aws.amazon.com/thread.jspa?threadID=282453

当我缓解了我的个人问题（这让我首先看到了这个问题）时，我的类似警告仍然存在（即使我的问题被其他东西解决了）——这让我相信我的类似经历可视化编辑器可能确实是那个错误（根本没有导致/涉及我之前的问题）。