Я хочу создать роль, которая может только читать и записывать данные в / из DynamoDb на основе ключа или атрибута.
В AWS есть отличная документация здесь , особенно в разделе Предоставлять разрешения, ограничивающие доступ к элементам с определенным значением ключа раздела раздел.
Несколько вопросов здесь:
Кажется, довольно ясно, если ваш ключ раздела точно соответствует фильтру. Но что, если я хочу, чтобы это был ключ диапазона?
Можете ли вы создать политику, которая ограничивает доступ на основе атрибута верхнего уровня (например, OrgId) вместо ключа / диапазона? Если нет, то что, если я сделал это вторичным индексом?
Создает ли эта конструкция политики, что вы можете только записывать элементы строк с этим конкретным атрибутом? (или прочитано о применении политики)