Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Blocage de l'accès public à l'aide de politiques basées sur les ressources dans DynamoDB
Bloquer l'accès public (BPA) est une fonctionnalité qui identifie et empêche l'attachement de politiques basées sur les ressources qui accordent un accès public à vos tables, index ou flux DynamoDB sur vos comptes Amazon Web Services ().AWS
BPAutilise un raisonnement automatique
Important
BPAcontribue à protéger vos ressources en empêchant l'accès public par le biais des politiques basées sur les ressources directement associées à vos ressources DynamoDB, telles que les tables, les index et les flux. Outre l'utilisationBPA, examinez attentivement les politiques suivantes pour vous assurer qu'elles n'accordent pas d'accès public :
-
Politiques basées sur l'identité associées aux AWS principaux associés (par exemple, les rôles) IAM
-
Politiques basées sur les ressources associées aux AWS ressources associées (par exemple, AWS Key Management Service (KMS) clés)
Vous devez vous assurer que le principal n'inclut aucune * entrée ou que l'une des clés de condition spécifiées limite l'accès des principaux à la ressource. Si la politique basée sur les ressources accorde un accès public à votre table, à vos index ou à votre flux, Comptes AWS DynamoDB vous empêchera de créer ou de modifier la politique jusqu'à ce que la spécification contenue dans la stratégie soit corrigée et considérée comme non publique.
Vous pouvez rendre une politique non publique en spécifiant un ou plusieurs principes à l'intérieur du Principal bloc. L'exemple de politique basée sur les ressources suivant bloque l'accès public en spécifiant deux principes.
{ "Effect": "Allow", "Principal": { "AWS": [ "123456789012", "111122223333" ] }, "Action": "dynamodb:*", "Resource": "*" }
Les politiques qui restreignent l'accès en spécifiant certaines clés de condition ne sont pas non plus considérées comme publiques. Parallèlement à l'évaluation du principal spécifié dans la stratégie basée sur les ressources, les clés de condition fiables suivantes sont utilisées pour terminer l'évaluation d'une politique basée sur les ressources pour un accès non public :
-
aws:PrincipalAccount -
aws:PrincipalArn -
aws:PrincipalOrgID -
aws:PrincipalOrgPaths -
aws:SourceAccount -
aws:SourceArn -
aws:SourceVpc -
aws:SourceVpce -
aws:UserId -
aws:PrincipalServiceName -
aws:PrincipalServiceNamesList -
aws:PrincipalIsAWSService -
aws:Ec2InstanceSourceVpc -
aws:SourceOrgID -
aws:SourceOrgPaths
En outre, pour qu'une politique basée sur les ressources ne soit pas publique, les valeurs d'Amazon Resource Name (ARN) et les clés de chaîne ne doivent pas contenir de caractères génériques ou de variables. Si votre politique basée sur les ressources utilise la aws:PrincipalIsAWSService clé, vous devez vous assurer que vous avez défini la valeur de la clé sur true.
La politique suivante limite l'accès à l'utilisateur John dans le compte spécifié. La condition impose une Principal contrainte et ne doit pas être considérée comme publique.
{ "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "dynamodb:*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:user/John" } } }
L'exemple suivant d'une politique basée sur des ressources non publiques limite l'utilisation de l'opérateur. sourceVPC StringEquals
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "dynamodb:*", "Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection", "Condition": { "StringEquals": { "aws:SourceVpc": [ "vpc-91237329" ] } } } ] }
