ポリシー DynamoDB側はExportTableToPointInTimeだけでよく、S3はAbortMultipartUploadとPutObjectとPutObjectAclが必要。 なおS3で必要な権限を知らなくて単にPutObjectとGetObjectとListBucketだけを設定しておいてDynamoDBエクスポートをマネコンから試しにやってみたらS3でAccessDeniedなんだけどCloudTrailにログが出てなくて困惑した
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowDynamoDBExportAction", "Effect": "Allow", "Action": "dynamodb:ExportTableToPointInTime", "Resource": "arn:aws:dynamodb:us-east-1:111122223333:table/my-table" }, { "Sid": "AllowWriteToDestinationBucket", "Effect": "Allow", "Action": [ "s3:AbortMultipartUpload", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::your-bucket/*" } ] }