Akses lintas akun dengan kebijakan berbasis sumber daya di DynamoDB

Dengan menggunakan kebijakan berbasis sumber daya, Anda dapat memberikan akses lintas akun ke sumber daya yang tersedia di berbagai sumber daya. Akun AWS Semua akses lintas akun yang diizinkan oleh kebijakan berbasis sumber daya akan dilaporkan melalui temuan akses eksternal IAM Access Analyzer jika Anda memiliki penganalisis yang sama dengan sumber daya. Wilayah AWS IAM Access Analyzer menjalankan pemeriksaan kebijakan untuk memvalidasi kebijakan Anda terhadap tata bahasa IAM kebijakan dan praktik terbaik. Pemeriksaan ini menghasilkan temuan dan memberikan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang fungsional dan sesuai dengan praktik terbaik keamanan. Anda dapat melihat temuan aktif dari IAM Access Analyzer di tab Permissions konsol DynamoDB.

Untuk informasi tentang memvalidasi kebijakan menggunakan IAM Access Analyzer, lihat Validasi kebijakan IAM Access Analyzer di Panduan Pengguna. IAM Untuk melihat daftar peringatan, kesalahan, dan saran yang ditampilkan oleh IAM Access Analyzer, lihat referensi pemeriksaan kebijakan IAM Access Analyzer.

Untuk memberikan GetItemizin kepada pengguna A di akun A untuk mengakses tabel B di akun B, lakukan langkah-langkah berikut:

Menggunakan opsi Pratinjau akses eksternal yang tersedia di konsol DynamoDB, Anda dapat melihat pratinjau bagaimana kebijakan baru memengaruhi akses publik dan lintas akun ke sumber daya Anda. Sebelum menyimpan kebijakan, Anda dapat memeriksa apakah kebijakan tersebut memperkenalkan temuan IAM Access Analyzer baru atau menyelesaikan temuan yang ada. Jika Anda tidak melihat penganalisis aktif, pilih Buka Penganalisis Akses untuk membuat penganalisis akun di IAM Access Analyzer. Untuk informasi selengkapnya, lihat Pratinjau akses.

Parameter nama tabel di bidang data DynamoDB dan bidang kontrol APIs menerima Amazon Resource Name ARN () lengkap dari tabel untuk mendukung operasi lintas akun. Jika Anda hanya memberikan parameter nama tabel alih-alih lengkapARN, API operasi akan dilakukan pada tabel di akun tempat pemohon berada. Untuk contoh kebijakan yang menggunakan akses lintas akun, lihatKebijakan berbasis sumber daya untuk akses lintas akun.

Akun pemilik sumber daya akan dikenakan biaya bahkan ketika kepala sekolah dari akun lain membaca dari atau menulis ke tabel DynamoDB di akun pemilik. Jika tabel telah menyediakan throughput, jumlah semua permintaan dari akun pemilik dan pemohon di akun lain akan menentukan apakah permintaan akan dibatasi (jika penskalaan otomatis dinonaktifkan) atau diperkecil jika penskalaan otomatis diaktifkan.

Permintaan akan dicatat di CloudTrail log pemilik dan akun pemohon sehingga masing-masing dari dua akun dapat melacak akun mana yang mengakses data apa.