Accès entre comptes avec des politiques basées sur les ressources dans DynamoDB - Amazon DynamoDB

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accès entre comptes avec des politiques basées sur les ressources dans DynamoDB

À l'aide d'une politique basée sur les ressources, vous pouvez fournir un accès entre comptes aux ressources disponibles sous différentes formes. Comptes AWS Tous les accès entre comptes autorisés par les politiques basées sur les ressources seront signalés par le biais des résultats IAM d'accès externes d'Access Analyzer si vous disposez d'un analyseur identique à la ressource. Région AWS IAMAccess Analyzer effectue des vérifications de politique pour valider votre politique par rapport à la grammaire des IAM politiques et aux meilleures pratiques. Ces vérifications génèrent des résultats et fournissent des recommandations exploitables pour vous aider à créer des stratégies fonctionnelles et conformes aux bonnes pratiques en matière de sécurité. Vous pouvez consulter les résultats actifs d'IAMAccess Analyzer dans l'onglet Autorisations de la console DynamoDB.

Pour plus d'informations sur la validation des politiques IAM à l'aide d'Access Analyzer, consultez la section Validation des politiques IAM Access Analyzer dans le guide de l'IAMutilisateur. Pour consulter la liste des avertissements, des erreurs et des suggestions renvoyés par IAM Access Analyzer, consultez la référence de vérification des politiques IAM d'Access Analyzer.

Pour GetItemautoriser un utilisateur A du compte A à accéder à une table B du compte B, effectuez les opérations suivantes :

  1. Joignez à la table B une politique basée sur les ressources qui autorise l'utilisateur A à effectuer l'GetItemaction.

  2. Attachez une politique basée sur l'identité à l'utilisateur A qui lui accorde l'autorisation d'effectuer l'GetItemaction sur la table B.

À l'aide de l'option Aperçu de l'accès externe disponible dans la console DynamoDB, vous pouvez prévisualiser l'impact de votre nouvelle politique sur l'accès public et entre comptes à votre ressource. Avant d'enregistrer votre politique, vous pouvez vérifier si elle introduit de nouvelles conclusions IAM d'Access Analyzer ou si elle résout des conclusions existantes. Si aucun analyseur n'est actif, choisissez Accéder à Access Analyzer pour créer un analyseur de compte dans IAM Access Analyzer. Pour plus d'informations, consultez la section Accès à l'aperçu.

Le paramètre de nom de table dans le plan de données DynamoDB et le plan de contrôle APIs accepte le nom de ressource Amazon complet ARN () de la table afin de prendre en charge les opérations entre comptes. Si vous fournissez uniquement le paramètre de nom de table au lieu d'un paramètre completARN, l'APIopération sera effectuée sur la table du compte auquel appartient le demandeur. Pour un exemple de politique qui utilise l'accès entre comptes, voirPolitique basée sur les ressources pour l'accès entre comptes.

Le compte du propriétaire de la ressource sera débité même lorsqu'un mandant d'un autre compte lit ou écrit dans la table DynamoDB du compte du propriétaire. Si la table a provisionné le débit, la somme de toutes les demandes provenant des comptes propriétaires et des demandeurs des autres comptes déterminera si la demande sera limitée (si le dimensionnement automatique est désactivé) ou redimensionné à la hausse ou à la baisse si le dimensionnement automatique est activé.

Les demandes seront enregistrées dans les CloudTrail journaux des comptes propriétaire et demandeur afin que chacun des deux comptes puisse savoir quel compte a accédé à quelles données.

Note

L'accès entre comptes du plan de contrôle APIs a une limite de transactions par seconde (TPS) inférieure à 500 demandes.