本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 授予对特定 Amazon DynamoDB 属性的访问权限
<a name="grant-access-dynamodb-attributes"></a>

**调查**  
我们很乐意听取您的意见。请通过[简短的调查](https://amazonmr.au1.qualtrics.com/jfe/form/SV_cMxJ0MG3jU91Fk2)提供 AWS 有关 PRA 的反馈。

当您的组织讨论在物理和逻辑上分离个人数据的策略时，请考虑哪些 AWS 存储服务支持 AWS Identity and Access Management (IAM) 中的细粒度访问控制策略。以下基于身份的策略仅允许从名为 `Users` 的 Amazon DynamoDB 表中检索 `UserID`、`SignUpTime` 和 `LastLoggedIn` 属性。例如，您可以将此策略附加到客户支持角色，而不是授予该角色完整个人数据集的访问权限。有关本策略如何帮助保护组织中的隐私和个人数据的更多信息，请参阅本指南中的 [AWS 服务 以及有助于细分数据的功能](personal-data-account.md#segment-data)。

```
{
   "Version": "2012-10-17",		 	 	 		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "dynamodb:GetItem",
            "dynamodb:BatchGetItem",
            "dynamodb:Query",
            "dynamodb:Scan"
         ],
         "Resource":[
            "arn:aws:dynamodb:us-west-2:123456789012:dynamodb:table/Users"
         ],
         "Condition":{
            "ForAllValues:StringEquals":{
               "dynamodb:Attributes":[
                  "UserID",
                  "SignUpTime",
                  "LastLoggedIn"
               ]
            },
            "StringEquals":{
               "dynamodb:Select":[
                  "SPECIFIC_ATTRIBUTES"
               ]
            }  
         }
      }
   ]
}
```