Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques relatives aux politiques DynamoDB basées sur les ressources
Cette rubrique décrit les meilleures pratiques pour définir les autorisations d'accès pour vos ressources DynamoDB et les actions autorisées sur ces ressources.
Simplifiez le contrôle d'accès aux ressources DynamoDB
Si AWS Identity and Access Management les principaux qui ont besoin d'accéder à une ressource DynamoDB font partie de la Compte AWS même entité que le propriétaire de la ressource, aucune politique basée sur l'identité n'IAMest requise pour chaque principal. Une politique basée sur les ressources associée aux ressources données suffira. Ce type de configuration simplifie le contrôle d'accès.
Protégez vos ressources DynamoDB à l'aide de politiques basées sur les ressources
Pour toutes les tables et tous les flux DynamoDB, créez des politiques basées sur les ressources afin d'appliquer le contrôle d'accès à ces ressources. Les politiques basées sur les ressources vous permettent de centraliser les autorisations au niveau des ressources, de simplifier le contrôle d'accès aux tables, aux index et aux flux DynamoDB et de réduire les frais d'administration. Si aucune politique basée sur les ressources n'est spécifiée pour une table ou un flux, l'accès à la table ou au flux sera implicitement refusé, sauf si les politiques basées sur l'identité associées aux principaux autorisent l'accès. IAM
Accorder les autorisations de moindre privilège
Lorsque vous définissez des autorisations avec des politiques basées sur les ressources pour les ressources DynamoDB, accordez uniquement les autorisations requises pour effectuer une action. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées autorisations de moindre privilège. Vous pouvez commencer par des autorisations étendues tout en explorant les autorisations requises pour votre charge de travail ou votre cas d'utilisation. Au fur et à mesure que votre cas d'utilisation évolue, vous pouvez réduire les autorisations que vous accordez pour obtenir le moindre privilège.
Analyser l'activité d'accès entre comptes pour générer des politiques de moindre privilège
IAMAccess Analyzer signale l'accès entre comptes aux entités externes spécifiées dans les politiques basées sur les ressources et fournit une visibilité qui vous aide à affiner les autorisations et à vous conformer au moindre privilège. Pour plus d'informations sur la génération de politiques, consultez la section Génération de politiques IAM Access Analyzer.
Utiliser IAM Access Analyzer pour générer des politiques de moindre privilège
Pour accorder uniquement les autorisations nécessaires à l'exécution d'une seule tâche, vous pouvez générer des politiques en fonction de votre activité d'accès connectée AWS CloudTrail. IAMAccess Analyzer analyse les services et les actions utilisés par vos politiques.