Поскольку ресурсы уже существуют, вы можете жестко закодировать ARN для таблиц, в которых вы обычно ссылаетесь на таблицы по их логическим именам CloudFormation (если они были созданы CloudFormation).
Например,если вы даете разрешение на сканирование таблицы с именем Example, вы можете создать параметр:
Parameters:
ExampleTableArn:
Description: Example DynamoDB table ARN
Type: String
Default: arn:aws:dynamodb:us-west-2:xxxxxxxxxxxx:table/Example
А затем в своей политике Lambda:
Policies:
Version: '2012-10-17'
Statement:
- Effect: Allow
Action:
- 'dynamodb:Scan'
Resource: {Ref: ExampleTableArn}