Blocco dell'accesso pubblico con policy basate sulle risorse in DynamoDB - Amazon DynamoDB

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Blocco dell'accesso pubblico con policy basate sulle risorse in DynamoDB

Block Public Access (BPA) è una funzionalità che identifica e impedisce l'associazione di policy basate su risorse che garantiscono l'accesso pubblico alle tabelle, agli indici o agli stream DynamoDB tra i tuoi account Amazon Web Services ().AWS ConBPA, puoi impedire l'accesso pubblico alle tue risorse DynamoDB. BPAesegue controlli durante la creazione o la modifica di una policy basata sulle risorse e aiuta a migliorare il livello di sicurezza con DynamoDB.

BPAutilizza il ragionamento automatico per analizzare l'accesso concesso dalla politica basata sulle risorse e avvisa l'utente se tali autorizzazioni vengono rilevate al momento dell'amministrazione di una politica basata sulle risorse. L'analisi verifica l'accesso a tutte le dichiarazioni politiche basate sulle risorse, alle azioni e al set di chiavi di condizione utilizzate nelle politiche.

Importante

BPAaiuta a proteggere le tue risorse impedendo che l'accesso pubblico venga concesso attraverso le policy basate sulle risorse che sono direttamente collegate alle tue risorse DynamoDB, come tabelle, indici e stream. Oltre all'utilizzoBPA, ispeziona attentamente le seguenti politiche per verificare che non garantiscano l'accesso pubblico:

  • Politiche basate sull'identità allegate ai AWS principali associati (ad esempio, ruoli) IAM

  • Politiche basate sulle risorse allegate alle AWS risorse associate (ad esempio, () chiavi) AWS Key Management Service KMS

È necessario assicurarsi che il principale non includa una * voce o che una delle chiavi di condizione specificate limiti l'accesso dei principali alla risorsa. Se la policy basata sulle risorse concede l'accesso pubblico alla tabella, agli indici o allo stream, Account AWS DynamoDB ti impedirà di creare o modificare la policy finché la specifica all'interno della policy non sarà corretta e considerata non pubblica.

È possibile rendere una policy non pubblica specificando uno o più principi all'interno del blocco. Principal Il seguente esempio di policy basata sulle risorse blocca l'accesso pubblico specificando due principi.

{ "Effect": "Allow", "Principal": { "AWS": [ "123456789012", "111122223333" ] }, "Action": "dynamodb:*", "Resource": "*" }

Inoltre, le politiche che limitano l'accesso specificando determinate chiavi di condizione non sono considerate pubbliche. Oltre alla valutazione del principio specificato nella politica basata sulle risorse, le seguenti chiavi di condizione affidabili vengono utilizzate per completare la valutazione di una politica basata sulle risorse per l'accesso non pubblico:

  • aws:PrincipalAccount

  • aws:PrincipalArn

  • aws:PrincipalOrgID

  • aws:PrincipalOrgPaths

  • aws:SourceAccount

  • aws:SourceArn

  • aws:SourceVpc

  • aws:SourceVpce

  • aws:UserId

  • aws:PrincipalServiceName

  • aws:PrincipalServiceNamesList

  • aws:PrincipalIsAWSService

  • aws:Ec2InstanceSourceVpc

  • aws:SourceOrgID

  • aws:SourceOrgPaths

Inoltre, affinché una policy basata sulle risorse non sia pubblica, i valori per Amazon Resource Name (ARN) e le chiavi stringa non devono contenere caratteri jolly o variabili. Se la tua policy basata sulle risorse utilizza la aws:PrincipalIsAWSService chiave, devi assicurarti di aver impostato il valore della chiave su true.

La seguente politica limita l'accesso all'utente John nell'account specificato. La condizione rende il Principal vincolo e non lo considera pubblico.

{ "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "dynamodb:*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:user/John" } } }

L'esempio seguente di una politica non basata su risorse pubbliche limita l'utilizzo dell'operatore. sourceVPC StringEquals

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "dynamodb:*", "Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection", "Condition": { "StringEquals": { "aws:SourceVpc": [ "vpc-91237329" ] } } } ] }