Kontenübergreifenden Zugriff auf Amazon DynamoDB konfigurieren - AWS Prescriptive Guidance

Übersicht Voraussetzungen und Einschränkungen Architektur Tools Bewährte Methoden Epen Fehlerbehebung Zugehörige Ressourcen Zusätzliche Informationen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Kontenübergreifenden Zugriff auf Amazon DynamoDB konfigurieren

Erstellt von Shashi Dalmia (AWS), Esteban Serna Parra (AWS) und Imhoertha Ojior (AWS)

Übersicht

Dieses Muster erklärt die Schritte zur Konfiguration des kontoübergreifenden Zugriffs auf Amazon DynamoDB mithilfe ressourcenbasierter Richtlinien. Für Workloads, die DynamoDB verwenden, wird es immer üblicher, Strategien zur Workload-Isolierung zu verwenden, um Sicherheitsbedrohungen zu minimieren und Compliance-Anforderungen zu erfüllen. Die Implementierung von Strategien zur Workload-Isolierung erfordert häufig konto- und regionsübergreifenden Zugriff auf DynamoDB-Ressourcen mithilfe identitätsbasierter AWS Identity and Access Management (IAM-) Richtlinien. Dazu gehören das Festlegen von IAM-Berechtigungen und das Herstellen einer Vertrauensbeziehung zwischen den. AWS-Konten

Ressourcenbasierte Richtlinien für DynamoDB vereinfachen die Sicherheitslage für kontenübergreifende Workloads erheblich. Dieses Muster enthält Schritte und Beispielcode, um zu demonstrieren, wie Sie AWS Lambda Funktionen in einem konfigurieren können AWS-Konto , um Daten in eine DynamoDB-Datenbanktabelle in einem anderen Konto zu schreiben.

Voraussetzungen und Einschränkungen

Voraussetzungen

Zwei aktiv. AWS-Konten Dieses Muster bezeichnet diese Konten als Konto A und Konto B.
AWS Command Line Interface (AWS CLI) für den Zugriff auf Konto A installiert und konfiguriert, um die DynamoDB-Tabelle zu erstellen. Die anderen Schritte in diesem Muster enthalten Anweisungen zur Verwendung der IAM-, DynamoDB- und Lambda-Konsolen. Wenn Sie es AWS CLI stattdessen verwenden möchten, konfigurieren Sie es so, dass es auf beide Konten zugreift.

Einschränkungen

Einige AWS-Services sind nicht in allen verfügbar AWS-Regionen. Informationen zur Verfügbarkeit in den einzelnen Regionen finden Sie AWS-Services unter Nach Regionen. Informationen zu bestimmten Endpunkten finden Sie auf der Seite Dienstendpunkte und Kontingente. Wählen Sie dort den Link für den Dienst aus.

Architektur

Das folgende Diagramm zeigt eine Architektur mit einem einzigen Konto. AWS Lambda, Amazon Elastic Compute Cloud (Amazon EC2) und DynamoDB befinden sich alle in demselben Konto. In diesem Szenario können Lambda-Funktionen und EC2 Amazon-Instances auf DynamoDB zugreifen. Um Zugriff auf die DynamoDB-Tabelle zu gewähren, können Sie eine identitätsbasierte Richtlinie in IAM oder eine ressourcenbasierte Richtlinie in DynamoDB erstellen.

Verwenden von IAM-Berechtigungen für den Zugriff auf eine DynamoDB-Tabelle im selben Konto.

Das folgende Diagramm zeigt eine Architektur mit mehreren Konten. Wenn Ressourcen in einem AWS-Konto Konto Zugriff auf eine DynamoDB-Tabelle in einem anderen Konto benötigen, müssen Sie in DynamoDB eine ressourcenbasierte Richtlinie einrichten, um den erforderlichen Zugriff zu gewähren. Im folgenden Diagramm wird beispielsweise einer Lambda-Funktion in Konto B mithilfe einer ressourcenbasierten Richtlinie Zugriff auf die DynamoDB-Tabelle in Konto A gewährt.

Verwenden einer ressourcenbasierten Richtlinie für den Zugriff auf eine DynamoDB-Tabelle in einem anderen Konto.

Dieses Muster beschreibt den kontenübergreifenden Zugriff zwischen Lambda und DynamoDB. Sie können ähnliche Schritte für andere Konten verwenden, AWS-Services wenn die entsprechenden Berechtigungen für beide Konten konfiguriert sind. Wenn Sie beispielsweise einer Lambda-Funktion Zugriff auf einen Amazon Simple Storage Service (Amazon S3) -Bucket in Konto A gewähren möchten, können Sie eine ressourcenbasierte Richtlinie in Amazon S3 erstellen und die Berechtigungen zur Lambda-Ausführungsrolle in Konto B hinzufügen.

Tools

AWS-Services

Amazon DynamoDB ist ein vollständig verwalteter NoSQL-Datenbank-Service, der schnelle und planbare Leistung mit nahtloser Skalierbarkeit bereitstellt.
AWS Identity and Access Management (IAM) hilft Ihnen dabei, den Zugriff auf Ihre AWS-Ressourcen sicher zu verwalten, indem kontrolliert wird, wer authentifiziert und autorisiert ist, sie zu verwenden.
AWS Lambda ist ein Datenverarbeitungsservice, mit dem Sie Code ausführen können, ohne dass Sie Server bereitstellen oder verwalten müssen. Es führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen.

Code

Dieses Muster enthält Beispielcode im Abschnitt Zusätzliche Informationen, der zeigt, wie Sie eine Lambda-Funktion in Konto B so konfigurieren können, dass sie in die DynamoDB-Tabelle in Konto A schreibt. Der Code wird nur zur Veranschaulichung und zu Testzwecken bereitgestellt. Wenn Sie dieses Muster in einer Produktionsumgebung implementieren, verwenden Sie den Code als Referenz und passen Sie ihn an Ihre eigene Umgebung an.

Bewährte Methoden

Folgen Sie den Best Practices für ressourcenbasierte Richtlinien in der DynamoDB-Dokumentation.
Folgen Sie dem Prinzip der geringsten Rechte und gewähren Sie die für die Ausführung einer Aufgabe erforderlichen Mindestberechtigungen. Weitere Informationen finden Sie in der IAM-Dokumentation unter Gewährung der geringsten Rechte und bewährte Methoden zur Sicherheit.

Epen

Aufgabe Beschreibung Erforderliche Fähigkeiten

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Erstellen Sie eine Richtlinie in Konto B.	Diese IAM-Richtlinie ermöglicht die PutItemAktion für eine DynamoDB-Tabelle in Konto A. Melden Sie sich bei Konto B im an. AWS Management Console Öffnen Sie die IAM-Konsole. Wählen Sie im Navigationsbereich Richtlinien und dann Richtlinie erstellen. Wählen Sie auf der Seite „Berechtigungen angeben“ für den Richtlinien-Editor die Option JSON aus. Geben Sie die folgende Richtlinie ein: `{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": "dynamodb:PutItem", "Resource": "arn:aws:dynamodb:<Region>:<Account-A-ID>:table/Table-Account-A" } ] }` Ersetzen Sie `<Region>` und `<Account-A-ID>` durch Ihre Werte und wählen Sie dann Weiter aus. Geben Sie unter Richtlinienname einen eindeutigen Namen für Ihre Richtlinie ein, z. `DynamoDB-PutItem-Policy` B. (Optional) Fügen Sie eine Richtlinienbeschreibung hinzu. Wählen Sie Create Policy (Richtlinie erstellen) aus.	Allgemeines AWS
Erstellen Sie eine Rolle in Konto B.	Die Lambda-Funktion in Konto B verwendet diese IAM-Rolle, um auf die DynamoDB-Tabelle in Konto A zuzugreifen. Öffnen Sie die IAM-Konsole. Wählen Sie im Navigationsbereich Roles (Rollen) und dann Create role (Rolle erstellen). Wählen Sie für Select trusted entity (Vertrauenswürdige Entität auswählen) die Option AWS-Service aus. Wählen Sie im Abschnitt Anwendungsfall die Option Lambda aus. Wählen Sie Weiter: Berechtigungen aus. Geben Sie im Feld Filterrichtlinien DynamoDB ein. Wählen Sie in der Liste der DynamoDB-Richtlinien die Option. `DynamoDB-PutItem-Policy` Löschen Sie das Feld Filterrichtlinien, und geben Sie dann Lambda ein. Wählen Sie in der Liste der Lambda-Richtlinien die Option AWSLambdaAusführen aus. Wählen Sie Weiter: Benennen, überprüfen und erstellen. Geben Sie unter Role name (Rollenname) einen eindeutigen Namen für die Rolle ein, z. B. `DynamoDB-PutItemAccess`. (Optional) Fügen Sie eine Rollenbeschreibung hinzu. (Optional) Fügen Sie der Rolle Metadaten hinzu, indem Sie Tags als Schlüssel-Wert-Paare anfügen. Wählen Sie Rolle erstellen. Weitere Informationen zum Erstellen von Rollen finden Sie in der IAM-Dokumentation.	Allgemeines AWS
Beachten Sie die Rollen-ARN.	Öffnen Sie die IAM-Konsole. Wählen Sie im Navigationsbereich Roles aus. Geben Sie `DynamoDB-PutItemAccess` im Suchfeld die Rolle ein und wählen Sie sie aus. Kopieren Sie auf der Übersichtsseite für die Rolle den Amazon-Ressourcennamen (ARN). Sie verwenden den ARN, wenn Sie die Lambda-Funktion einrichten.	Allgemeines AWS

Erstellen Sie eine Richtlinie in Konto B.

Diese IAM-Richtlinie ermöglicht die PutItemAktion für eine DynamoDB-Tabelle in Konto A.

Melden Sie sich bei Konto B im an. AWS Management Console
Öffnen Sie die IAM-Konsole.
Wählen Sie im Navigationsbereich Richtlinien und dann Richtlinie erstellen.
Wählen Sie auf der Seite „Berechtigungen angeben“ für den Richtlinien-Editor die Option JSON aus.

Geben Sie die folgende Richtlinie ein:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1",
      "Effect": "Allow",
      "Action": "dynamodb:PutItem",
      "Resource": "arn:aws:dynamodb:<Region>:<Account-A-ID>:table/Table-Account-A"
    }
  ]
}

Ersetzen Sie <Region> und <Account-A-ID> durch Ihre Werte und wählen Sie dann Weiter aus.
Geben Sie unter Richtlinienname einen eindeutigen Namen für Ihre Richtlinie ein, z. DynamoDB-PutItem-Policy B.
(Optional) Fügen Sie eine Richtlinienbeschreibung hinzu.
Wählen Sie Create Policy (Richtlinie erstellen) aus.

Allgemeines AWS

Erstellen Sie eine Rolle in Konto B.

Die Lambda-Funktion in Konto B verwendet diese IAM-Rolle, um auf die DynamoDB-Tabelle in Konto A zuzugreifen.

Öffnen Sie die IAM-Konsole.
Wählen Sie im Navigationsbereich Roles (Rollen) und dann Create role (Rolle erstellen).
Wählen Sie für Select trusted entity (Vertrauenswürdige Entität auswählen) die Option AWS-Service aus.
Wählen Sie im Abschnitt Anwendungsfall die Option Lambda aus.
Wählen Sie Weiter: Berechtigungen aus.
Geben Sie im Feld Filterrichtlinien DynamoDB ein.
Wählen Sie in der Liste der DynamoDB-Richtlinien die Option. DynamoDB-PutItem-Policy
Löschen Sie das Feld Filterrichtlinien, und geben Sie dann Lambda ein.
Wählen Sie in der Liste der Lambda-Richtlinien die Option AWSLambdaAusführen aus.
Wählen Sie Weiter: Benennen, überprüfen und erstellen.
Geben Sie unter Role name (Rollenname) einen eindeutigen Namen für die Rolle ein, z. B. DynamoDB-PutItemAccess.
(Optional) Fügen Sie eine Rollenbeschreibung hinzu.
(Optional) Fügen Sie der Rolle Metadaten hinzu, indem Sie Tags als Schlüssel-Wert-Paare anfügen.
Wählen Sie Rolle erstellen.

Weitere Informationen zum Erstellen von Rollen finden Sie in der IAM-Dokumentation.

Allgemeines AWS

Beachten Sie die Rollen-ARN.

Öffnen Sie die IAM-Konsole.
Wählen Sie im Navigationsbereich Roles aus.
Geben Sie DynamoDB-PutItemAccess im Suchfeld die Rolle ein und wählen Sie sie aus.
Kopieren Sie auf der Übersichtsseite für die Rolle den Amazon-Ressourcennamen (ARN). Sie verwenden den ARN, wenn Sie die Lambda-Funktion einrichten.

Allgemeines AWS

Erstellen Sie eine IAM-Richtlinie und -Rolle für die Lambda-Funktion in Konto B

Aufgabe Beschreibung Erforderliche Fähigkeiten

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Erstellen Sie eine Richtlinie in Konto B.	Diese IAM-Richtlinie ermöglicht die PutItemAktion für eine DynamoDB-Tabelle in Konto A. Melden Sie sich bei Konto B im an. AWS Management Console Öffnen Sie die IAM-Konsole. Wählen Sie im Navigationsbereich Richtlinien und dann Richtlinie erstellen. Wählen Sie auf der Seite „Berechtigungen angeben“ für den Richtlinien-Editor die Option JSON aus. Geben Sie die folgende Richtlinie ein: `{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": "dynamodb:PutItem", "Resource": "arn:aws:dynamodb:<Region>:<Account-A-ID>:table/Table-Account-A" } ] }` Ersetzen Sie `<Region>` und `<Account-A-ID>` durch Ihre Werte und wählen Sie dann Weiter aus. Geben Sie unter Richtlinienname einen eindeutigen Namen für Ihre Richtlinie ein, z. `DynamoDB-PutItem-Policy` B. (Optional) Fügen Sie eine Richtlinienbeschreibung hinzu. Wählen Sie Create Policy (Richtlinie erstellen) aus.	Allgemeines AWS
Erstellen Sie eine Rolle in Konto B.	Die Lambda-Funktion in Konto B verwendet diese IAM-Rolle, um auf die DynamoDB-Tabelle in Konto A zuzugreifen. Öffnen Sie die IAM-Konsole. Wählen Sie im Navigationsbereich Roles (Rollen) und dann Create role (Rolle erstellen). Wählen Sie für Select trusted entity (Vertrauenswürdige Entität auswählen) die Option AWS-Service aus. Wählen Sie im Abschnitt Anwendungsfall die Option Lambda aus. Wählen Sie Weiter: Berechtigungen aus. Geben Sie im Feld Filterrichtlinien DynamoDB ein. Wählen Sie in der Liste der DynamoDB-Richtlinien die Option. `DynamoDB-PutItem-Policy` Löschen Sie das Feld Filterrichtlinien, und geben Sie dann Lambda ein. Wählen Sie in der Liste der Lambda-Richtlinien die Option AWSLambdaAusführen aus. Wählen Sie Weiter: Benennen, überprüfen und erstellen. Geben Sie unter Role name (Rollenname) einen eindeutigen Namen für die Rolle ein, z. B. `DynamoDB-PutItemAccess`. (Optional) Fügen Sie eine Rollenbeschreibung hinzu. (Optional) Fügen Sie der Rolle Metadaten hinzu, indem Sie Tags als Schlüssel-Wert-Paare anfügen. Wählen Sie Rolle erstellen. Weitere Informationen zum Erstellen von Rollen finden Sie in der IAM-Dokumentation.	Allgemeines AWS
Beachten Sie die Rollen-ARN.	Öffnen Sie die IAM-Konsole. Wählen Sie im Navigationsbereich Roles aus. Geben Sie `DynamoDB-PutItemAccess` im Suchfeld die Rolle ein und wählen Sie sie aus. Kopieren Sie auf der Übersichtsseite für die Rolle den Amazon-Ressourcennamen (ARN). Sie verwenden den ARN, wenn Sie die Lambda-Funktion einrichten.	Allgemeines AWS

Erstellen Sie eine Richtlinie in Konto B.

Diese IAM-Richtlinie ermöglicht die PutItemAktion für eine DynamoDB-Tabelle in Konto A.

Melden Sie sich bei Konto B im an. AWS Management Console
Öffnen Sie die IAM-Konsole.
Wählen Sie im Navigationsbereich Richtlinien und dann Richtlinie erstellen.
Wählen Sie auf der Seite „Berechtigungen angeben“ für den Richtlinien-Editor die Option JSON aus.

Geben Sie die folgende Richtlinie ein:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1",
      "Effect": "Allow",
      "Action": "dynamodb:PutItem",
      "Resource": "arn:aws:dynamodb:<Region>:<Account-A-ID>:table/Table-Account-A"
    }
  ]
}

Ersetzen Sie <Region> und <Account-A-ID> durch Ihre Werte und wählen Sie dann Weiter aus.
Geben Sie unter Richtlinienname einen eindeutigen Namen für Ihre Richtlinie ein, z. DynamoDB-PutItem-Policy B.
(Optional) Fügen Sie eine Richtlinienbeschreibung hinzu.
Wählen Sie Create Policy (Richtlinie erstellen) aus.

Allgemeines AWS

Erstellen Sie eine Rolle in Konto B.

Die Lambda-Funktion in Konto B verwendet diese IAM-Rolle, um auf die DynamoDB-Tabelle in Konto A zuzugreifen.

Öffnen Sie die IAM-Konsole.
Wählen Sie im Navigationsbereich Roles (Rollen) und dann Create role (Rolle erstellen).
Wählen Sie für Select trusted entity (Vertrauenswürdige Entität auswählen) die Option AWS-Service aus.
Wählen Sie im Abschnitt Anwendungsfall die Option Lambda aus.
Wählen Sie Weiter: Berechtigungen aus.
Geben Sie im Feld Filterrichtlinien DynamoDB ein.
Wählen Sie in der Liste der DynamoDB-Richtlinien die Option. DynamoDB-PutItem-Policy
Löschen Sie das Feld Filterrichtlinien, und geben Sie dann Lambda ein.
Wählen Sie in der Liste der Lambda-Richtlinien die Option AWSLambdaAusführen aus.
Wählen Sie Weiter: Benennen, überprüfen und erstellen.
Geben Sie unter Role name (Rollenname) einen eindeutigen Namen für die Rolle ein, z. B. DynamoDB-PutItemAccess.
(Optional) Fügen Sie eine Rollenbeschreibung hinzu.
(Optional) Fügen Sie der Rolle Metadaten hinzu, indem Sie Tags als Schlüssel-Wert-Paare anfügen.
Wählen Sie Rolle erstellen.

Weitere Informationen zum Erstellen von Rollen finden Sie in der IAM-Dokumentation.

Allgemeines AWS

Beachten Sie die Rollen-ARN.

Öffnen Sie die IAM-Konsole.
Wählen Sie im Navigationsbereich Roles aus.
Geben Sie DynamoDB-PutItemAccess im Suchfeld die Rolle ein und wählen Sie sie aus.
Kopieren Sie auf der Übersichtsseite für die Rolle den Amazon-Ressourcennamen (ARN). Sie verwenden den ARN, wenn Sie die Lambda-Funktion einrichten.

Allgemeines AWS

Aufgabe Beschreibung Erforderliche Fähigkeiten

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Erstellen Sie eine DynamoDB-Tabelle.	Verwenden Sie den folgenden AWS CLI Befehl, um eine DynamoDB-Tabelle zu erstellen. aws dynamodb create-table \ --table-name Table-Account-A \ --attribute-definitions \ AttributeName=category,AttributeType=S \ AttributeName=item,AttributeType=S \ --key-schema \ AttributeName=category,KeyType=HASH \ AttributeName=item,KeyType=RANGE \ --provisioned-throughput \ ReadCapacityUnits=5,WriteCapacityUnits=5 \ --resource-policy \ '{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<Account-B-ID>:role/<Role-Name>" }, "Action": "dynamodb:PutItem", "Resource": "arn:aws:dynamodb:<Region>:<Account-A-ID>:table/Table-Account-A" } ] }' Ersetzen Sie in diesem Codebeispiel Folgendes: `<Account-B-ID>`ist die ID von Konto B. `<Role-Name>`ist der Name der IAM-Rolle, die Sie erstellt haben, z. B. `DynamoDB-PutItemAccess` `<Region>`ist der AWS-Region Ort, an dem Sie die DynamoDB-Tabelle erstellen. `<Account-A-ID>`ist die ID von Konto A. Anmerkung Sie geben die ressourcenbasierte Richtlinienkonfiguration in der `create-table` Anweisung mithilfe des `--resource-policy` Flags an. Diese Richtlinie bezieht sich auf den ARN für die DynamoDB-Tabelle in Konto A. Weitere Informationen zum Erstellen von Tabellen finden Sie in der DynamoDB-Dokumentation.	Allgemeines AWS

Erstellen Sie eine DynamoDB-Tabelle.

Verwenden Sie den folgenden AWS CLI Befehl, um eine DynamoDB-Tabelle zu erstellen.


 aws dynamodb create-table \
    --table-name Table-Account-A \
    --attribute-definitions \
      AttributeName=category,AttributeType=S \
      AttributeName=item,AttributeType=S \
    --key-schema \
      AttributeName=category,KeyType=HASH \
      AttributeName=item,KeyType=RANGE \
    --provisioned-throughput \
      ReadCapacityUnits=5,WriteCapacityUnits=5 \
    --resource-policy \
      '{         
          "Version": "2012-10-17",
          "Statement": [
            {                    
               "Sid": "Statement1",
               "Effect": "Allow",
               "Principal": {
                  "AWS": "arn:aws:iam::<Account-B-ID>:role/<Role-Name>"
               },
               "Action": "dynamodb:PutItem",
               "Resource": "arn:aws:dynamodb:<Region>:<Account-A-ID>:table/Table-Account-A"
            }            
         ]
      }'

Ersetzen Sie in diesem Codebeispiel Folgendes:

<Account-B-ID>ist die ID von Konto B.
<Role-Name>ist der Name der IAM-Rolle, die Sie erstellt haben, z. B. DynamoDB-PutItemAccess
<Region>ist der AWS-Region Ort, an dem Sie die DynamoDB-Tabelle erstellen.
<Account-A-ID>ist die ID von Konto A.

Anmerkung

Sie geben die ressourcenbasierte Richtlinienkonfiguration in der create-table Anweisung mithilfe des --resource-policy Flags an. Diese Richtlinie bezieht sich auf den ARN für die DynamoDB-Tabelle in Konto A.

Weitere Informationen zum Erstellen von Tabellen finden Sie in der DynamoDB-Dokumentation.

Allgemeines AWS

Erstellen Sie eine DynamoDB-Tabelle in Konto A

Aufgabe Beschreibung Erforderliche Fähigkeiten

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Erstellen Sie eine DynamoDB-Tabelle.	Verwenden Sie den folgenden AWS CLI Befehl, um eine DynamoDB-Tabelle zu erstellen. aws dynamodb create-table \ --table-name Table-Account-A \ --attribute-definitions \ AttributeName=category,AttributeType=S \ AttributeName=item,AttributeType=S \ --key-schema \ AttributeName=category,KeyType=HASH \ AttributeName=item,KeyType=RANGE \ --provisioned-throughput \ ReadCapacityUnits=5,WriteCapacityUnits=5 \ --resource-policy \ '{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<Account-B-ID>:role/<Role-Name>" }, "Action": "dynamodb:PutItem", "Resource": "arn:aws:dynamodb:<Region>:<Account-A-ID>:table/Table-Account-A" } ] }' Ersetzen Sie in diesem Codebeispiel Folgendes: `<Account-B-ID>`ist die ID von Konto B. `<Role-Name>`ist der Name der IAM-Rolle, die Sie erstellt haben, z. B. `DynamoDB-PutItemAccess` `<Region>`ist der AWS-Region Ort, an dem Sie die DynamoDB-Tabelle erstellen. `<Account-A-ID>`ist die ID von Konto A. Anmerkung Sie geben die ressourcenbasierte Richtlinienkonfiguration in der `create-table` Anweisung mithilfe des `--resource-policy` Flags an. Diese Richtlinie bezieht sich auf den ARN für die DynamoDB-Tabelle in Konto A. Weitere Informationen zum Erstellen von Tabellen finden Sie in der DynamoDB-Dokumentation.	Allgemeines AWS

Erstellen Sie eine DynamoDB-Tabelle.

Verwenden Sie den folgenden AWS CLI Befehl, um eine DynamoDB-Tabelle zu erstellen.


 aws dynamodb create-table \
    --table-name Table-Account-A \
    --attribute-definitions \
      AttributeName=category,AttributeType=S \
      AttributeName=item,AttributeType=S \
    --key-schema \
      AttributeName=category,KeyType=HASH \
      AttributeName=item,KeyType=RANGE \
    --provisioned-throughput \
      ReadCapacityUnits=5,WriteCapacityUnits=5 \
    --resource-policy \
      '{         
          "Version": "2012-10-17",
          "Statement": [
            {                    
               "Sid": "Statement1",
               "Effect": "Allow",
               "Principal": {
                  "AWS": "arn:aws:iam::<Account-B-ID>:role/<Role-Name>"
               },
               "Action": "dynamodb:PutItem",
               "Resource": "arn:aws:dynamodb:<Region>:<Account-A-ID>:table/Table-Account-A"
            }            
         ]
      }'

Ersetzen Sie in diesem Codebeispiel Folgendes:

<Account-B-ID>ist die ID von Konto B.
<Role-Name>ist der Name der IAM-Rolle, die Sie erstellt haben, z. B. DynamoDB-PutItemAccess
<Region>ist der AWS-Region Ort, an dem Sie die DynamoDB-Tabelle erstellen.
<Account-A-ID>ist die ID von Konto A.

Anmerkung

Weitere Informationen zum Erstellen von Tabellen finden Sie in der DynamoDB-Dokumentation.

Allgemeines AWS

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Erstellen Sie eine Lambda-Funktion, um Daten in DynamoDB zu schreiben.	Melden Sie sich bei Konto B in der an. AWS Management Console Öffnen Sie die Lambda-Konsole. Wählen Sie im Navigationsbereich Funktionen und dann Funktion erstellen aus. Geben Sie unter Name `lambda_write_function` ein. Wählen Sie für Runtime Python 3.8 oder höher. Wählen Sie unter Standardausführungsrolle ändern die Option Bestehende Rolle verwenden aus. Wählen Sie für Existierende Rolle die IAM-Rolle aus, die Sie erstellt haben, z. B. `DynamoDB-PutItemAccess` Wählen Sie Funktion erstellen aus. Fügen Sie auf der Registerkarte Code den Beispielcode ein, der im Abschnitt Zusätzliche Informationen dieses Musters bereitgestellt wird. Ersetzen Sie in diesem Codebeispiel Folgendes: `<Account-A-ID>`ist die ID von Konto A. `<Region>`ist der AWS-Region Ort, an dem Sie die DynamoDB-Tabelle erstellt haben. Wählen Sie Bereitstellen. Wählen Sie Test aus. Sie werden aufgefordert, ein Testereignis zu konfigurieren. Erstellen Sie ein neues Ereignis mit Ihrem bevorzugten Namen, z. B.`MyTestEventForWrite`, und speichern Sie dann die Konfiguration. Wählen Sie erneut Test (Testen) aus. Dadurch wird die Lambda-Funktion mit dem von Ihnen angegebenen Ereignisnamen ausgeführt. Überprüfen Sie die Ausgabe der Funktion. Es sollte angeben, dass die Funktion auf die DynamoDB-Tabelle in Konto A zugegriffen hat und Daten in diese Tabelle schreiben konnte. Weitere Informationen zum Erstellen von Lambda-Funktionen finden Sie in der Lambda-Dokumentation.	Allgemeines AWS

Erstellen Sie eine Lambda-Funktion in Konto B

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Erstellen Sie eine Lambda-Funktion, um Daten in DynamoDB zu schreiben.	Melden Sie sich bei Konto B in der an. AWS Management Console Öffnen Sie die Lambda-Konsole. Wählen Sie im Navigationsbereich Funktionen und dann Funktion erstellen aus. Geben Sie unter Name `lambda_write_function` ein. Wählen Sie für Runtime Python 3.8 oder höher. Wählen Sie unter Standardausführungsrolle ändern die Option Bestehende Rolle verwenden aus. Wählen Sie für Existierende Rolle die IAM-Rolle aus, die Sie erstellt haben, z. B. `DynamoDB-PutItemAccess` Wählen Sie Funktion erstellen aus. Fügen Sie auf der Registerkarte Code den Beispielcode ein, der im Abschnitt Zusätzliche Informationen dieses Musters bereitgestellt wird. Ersetzen Sie in diesem Codebeispiel Folgendes: `<Account-A-ID>`ist die ID von Konto A. `<Region>`ist der AWS-Region Ort, an dem Sie die DynamoDB-Tabelle erstellt haben. Wählen Sie Bereitstellen. Wählen Sie Test aus. Sie werden aufgefordert, ein Testereignis zu konfigurieren. Erstellen Sie ein neues Ereignis mit Ihrem bevorzugten Namen, z. B.`MyTestEventForWrite`, und speichern Sie dann die Konfiguration. Wählen Sie erneut Test (Testen) aus. Dadurch wird die Lambda-Funktion mit dem von Ihnen angegebenen Ereignisnamen ausgeführt. Überprüfen Sie die Ausgabe der Funktion. Es sollte angeben, dass die Funktion auf die DynamoDB-Tabelle in Konto A zugegriffen hat und Daten in diese Tabelle schreiben konnte. Weitere Informationen zum Erstellen von Lambda-Funktionen finden Sie in der Lambda-Dokumentation.	Allgemeines AWS

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Ressourcen löschen.	Um zu vermeiden, dass Kosten im Zusammenhang mit den nach diesem Muster erstellten Ressourcen anfallen, gehen Sie wie folgt vor, um diese Ressourcen zu löschen: Löschen Sie in Konto B die Lambda-Funktion, die Sie für die Verbindung mit DynamoDB erstellt haben. Anweisungen finden Sie in der Lambda-Dokumentation. Löschen Sie in Konto A die DynamoDB-Tabelle, die Sie erstellt haben. Anweisungen finden Sie in der DynamoDB-Dokumentation. Bewährte Sicherheitsmethoden finden Sie, wenn Sie die IAM-Richtlinie (`DynamoDB-PutItem-Policy`) löschen, wenn sie nicht mehr benötigt wird. Weitere Informationen finden Sie in der IAM-Dokumentation. Aus Sicherheitsgründen empfiehlt es sich, die IAM-Rolle (`DynamoDB-PutItemAccess`) zu löschen, wenn sie nicht mehr benötigt wird. Weitere Informationen finden Sie in der IAM-Dokumentation.	Allgemeines AWS

Bereinigen

Aufgabe	Beschreibung	Erforderliche Fähigkeiten
Ressourcen löschen.	Um zu vermeiden, dass Kosten im Zusammenhang mit den nach diesem Muster erstellten Ressourcen anfallen, gehen Sie wie folgt vor, um diese Ressourcen zu löschen: Löschen Sie in Konto B die Lambda-Funktion, die Sie für die Verbindung mit DynamoDB erstellt haben. Anweisungen finden Sie in der Lambda-Dokumentation. Löschen Sie in Konto A die DynamoDB-Tabelle, die Sie erstellt haben. Anweisungen finden Sie in der DynamoDB-Dokumentation. Bewährte Sicherheitsmethoden finden Sie, wenn Sie die IAM-Richtlinie (`DynamoDB-PutItem-Policy`) löschen, wenn sie nicht mehr benötigt wird. Weitere Informationen finden Sie in der IAM-Dokumentation. Aus Sicherheitsgründen empfiehlt es sich, die IAM-Rolle (`DynamoDB-PutItemAccess`) zu löschen, wenn sie nicht mehr benötigt wird. Weitere Informationen finden Sie in der IAM-Dokumentation.	Allgemeines AWS

Fehlerbehebung

Problem	Lösung
Beim Erstellen der Lambda-Funktion erhalten Sie eine `ResourceNotFoundException` Fehlermeldung.	Vergewissern Sie sich, dass Sie die ID AWS-Region und die ID von Konto A korrekt eingegeben haben. Diese sind Teil des ARN für die DynamoDB-Tabelle.

Zugehörige Ressourcen

Erste Schritte mit DynamoDB (DynamoDB-Dokumentation)
Erste Schritte mit Lambda (Lambda-Dokumentation)
Verwenden ressourcenbasierter Richtlinien für DynamoDB (DynamoDB-Dokumentation)
IAM-Richtlinien erstellen (IAM-Dokumentation)
Logik zur kontenübergreifenden Bewertung von Richtlinien (IAM-Dokumentation)
Referenz zu den IAM-JSON-Richtlinienelementen (IAM-Dokumentation)

Zusätzliche Informationen

Beispielcode


import boto3
from datetime import datetime

dynamodb_client = boto3.client('dynamodb')

def lambda_handler(event, context):
     now = datetime.now().isoformat()
     data = dynamodb_client.put_item(TableName='arn:aws:dynamodb:<Region>:<Account-A-ID>:table/Table-Account-A', Item={"category": {"S": "Fruit"},"item": {"S": "Apple"},"time": {"S": now}})
     return data

Anmerkung

Wenn der DynamoDB-Client instanziiert wird, wird der ARN der DynamoDB-Tabelle anstelle des Tabellennamens bereitgestellt. Dies ist erforderlich, damit die Lambda-Funktion bei ihrer Ausführung eine Verbindung zur richtigen DynamoDB-Tabelle herstellt.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Sperren Sie den öffentlichen Zugriff auf Amazon RDS

Konfigurieren Sie schreibgeschütztes Routing in einer Always-On-Verfügbarkeitsgruppe

Wählen Sie Ihre Cookie-Einstellungen aus

Cookie-Einstellungen anpassen

Essenziell

Leistung

Funktional

Werbung

Cookie-Einstellungen konnten nicht gespeichert werden

Kontenübergreifenden Zugriff auf Amazon DynamoDB konfigurieren

Übersicht

Voraussetzungen und Einschränkungen

Architektur

Tools

Bewährte Methoden

Epen

Erstellen Sie eine IAM-Richtlinie und -Rolle für die Lambda-Funktion in Konto B

Anmerkung

Erstellen Sie eine DynamoDB-Tabelle in Konto A

Anmerkung

Erstellen Sie eine Lambda-Funktion in Konto B

Bereinigen

Fehlerbehebung

Zugehörige Ressourcen

Zusätzliche Informationen

Anmerkung

Hat Ihnen diese Seite geholfen?

Nächstes Thema:

Vorheriges Thema:

Brauchen Sie Hilfe?

Verwenden von IAM-Berechtigungen für den Zugriff auf eine DynamoDB-Tabelle im selben Konto.

Verwenden einer ressourcenbasierten Richtlinie für den Zugriff auf eine DynamoDB-Tabelle in einem anderen Konto.