Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Blocco dell'accesso pubblico con politiche basate sulle risorse
Block Public Access (BPA) è una funzionalità che identifica e impedisce l'associazione di policy basate su risorse che garantiscono l'accesso pubblico alle tabelle, agli indici o agli stream DynamoDB tra i tuoi account Amazon Web Services ().AWS
BPAutilizza il ragionamento automatico
Importante
BPAaiuta a proteggere le tue risorse impedendo che l'accesso pubblico venga concesso attraverso le policy basate sulle risorse che sono direttamente collegate alle tue risorse DynamoDB, come tabelle, indici e stream. Oltre all'utilizzoBPA, ispeziona attentamente le seguenti politiche per verificare che non garantiscano l'accesso pubblico:
-
Politiche basate sull'identità allegate ai AWS principali associati (ad esempio, ruoli) IAM
-
Politiche basate sulle risorse allegate alle AWS risorse associate (ad esempio, () chiavi) AWS Key Management Service KMS
È necessario assicurarsi che il principale non includa una * voce o che una delle chiavi di condizione specificate limiti l'accesso dei principali alla risorsa. Se la policy basata sulle risorse concede l'accesso pubblico alla tabella, agli indici o allo stream, Account AWS DynamoDB ti impedirà di creare o modificare la policy fino a quando la specifica all'interno della policy non sarà corretta e considerata non pubblica.
È possibile rendere una policy non pubblica specificando uno o più principi all'interno del blocco. Principal Il seguente esempio di policy basata sulle risorse blocca l'accesso pubblico specificando due principi.
{ "Effect": "Allow", "Principal": { "AWS": [ "123456789012", "111122223333" ] }, "Action": "dynamodb:*", "Resource": "*" }
Inoltre, le politiche che limitano l'accesso specificando determinate chiavi di condizione non sono considerate pubbliche. Oltre alla valutazione del principio specificato nella politica basata sulle risorse, le seguenti chiavi di condizione affidabili vengono utilizzate per completare la valutazione di una politica basata sulle risorse per l'accesso non pubblico:
-
aws:PrincipalAccount -
aws:PrincipalArn -
aws:PrincipalOrgID -
aws:PrincipalOrgPaths -
aws:SourceAccount -
aws:SourceArn -
aws:SourceVpc -
aws:SourceVpce -
aws:UserId -
aws:PrincipalServiceName -
aws:PrincipalServiceNamesList -
aws:PrincipalIsAWSService -
aws:Ec2InstanceSourceVpc -
aws:SourceOrgID -
aws:SourceOrgPaths
Inoltre, affinché una policy basata sulle risorse non sia pubblica, i valori per Amazon Resource Name (ARN) e le chiavi stringa non devono contenere caratteri jolly o variabili. Se la tua policy basata sulle risorse utilizza la aws:PrincipalIsAWSService chiave, devi assicurarti di aver impostato il valore della chiave su true.
La seguente politica limita l'accesso all'utente John nell'account specificato. La condizione rende il Principal vincolo e non lo considera pubblico.
{ "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "dynamodb:*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:user/John" } } }
L'esempio seguente di una politica non basata su risorse pubbliche limita l'utilizzo dell'operatore. sourceVPC StringEquals
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "dynamodb:*", "Resource": "arn:aws:dynamodb:us-west-2:123456789012:table/MusicCollection", "Condition": { "StringEquals": { "aws:SourceVpc": [ "vpc-91237329" ] } } } ] }
