本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 IAM 身分型政策與 DynamoDB 資源型政策進行授權
<a name="rbac-auth-iam-id-based-policies-DDB"></a>

**身分型政策**會附加至 IAM 身分 (IAM 使用者、群組或角色)。這些 IAM 政策文件可控制身分能在何種條件下，對哪些資源執行哪些操作。身分型政策可分為[受管](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)政策或[內嵌](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#inline-policies)政策。

**資源型政策**是附加至資源 (例如 DynamoDB 資料表) 的 IAM 政策文件。這些政策會授予指定的主體許可，允許在該資源上執行特定的動作，並且定義資源所適用的條件。例如，DynamoDB 資料表的資源型政策同時包含與該資料表關聯的索引。資源型政策是內嵌政策。不存在受管的資源型政策。

如需更多資訊，請參閱《*IAM 使用者指南*》中的[身分型政策與資源型政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)。

若 IAM 主體與資源擁有者屬於同一帳戶，資源型政策即可充分定義資源的存取權限。您仍可同時使用 IAM 身分型政策與資源型政策。對於跨帳戶存取權，您必須在身分政策和資源政策中明確允許存取，如 [DynamoDB 中使用資源型政策的跨帳戶存取權](rbac-cross-account-access.md) 中所指定。當您同時使用這兩種類型的政策時，系統會依據[判斷帳戶內是否允許或拒絕請求](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html#policy-eval-denyallow)中的說明來進行評估。

**重要**  
如果身分型政策授予 DynamoDB 資料表的無條件存取權 （例如，`dynamodb:GetItem`沒有條件），則允許具有 條件的存取權的資源型政策`dynamodb:Attributes`不會限制該存取權。身分型政策的無條件允許優先，且資源型政策的條件不會套用為限制。若要限制對特定屬性的存取，請使用明確`Deny`陳述式，而不是僅依賴資源型政策中的條件式`Allow`陳述式。