Accesso su più account con policy basate sulle risorse in DynamoDB - Amazon DynamoDB

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accesso su più account con policy basate sulle risorse in DynamoDB

Utilizzando una policy basata sulle risorse, è possibile fornire l'accesso a più account a risorse disponibili in diversi paesi. Account AWS Tutti gli accessi tra account consentiti dalle politiche basate sulle risorse verranno segnalati tramite i risultati degli accessi esterni di IAM Access Analyzer se si dispone di un analizzatore nella stessa risorsa. Regione AWS IAM Access Analyzer esegue controlli sulle policy per convalidare la policy rispetto alla grammatica e alle best practice delle IAM policy. Questi controlli generano risultati e forniscono suggerimenti utili per aiutarti a creare policy funzionali e conformi alle best practice per la sicurezza. È possibile visualizzare i risultati attivi di IAM Access Analyzer nella scheda Autorizzazioni della console DynamoDB.

Per informazioni sulla convalida delle policy utilizzando IAM Access Analyzer, consulta la sezione Convalida delle policy di IAMAccess Analyzer nella Guida per l'utente. IAM Per visualizzare un elenco degli avvisi, degli errori e dei suggerimenti restituiti da IAM Access Analyzer, vedere IAM il riferimento per il controllo delle politiche di Access Analyzer.

Per concedere l'GetItemautorizzazione a un utente A nell'account A per l'accesso a una tabella B nell'account B, procedi nel seguente modo:

  1. Allega alla tabella B una politica basata sulle risorse che conceda l'autorizzazione all'utente A per eseguire l'azione. GetItem

  2. Allega una politica basata sull'identità all'utente A che gli conceda l'autorizzazione a eseguire l'azione sulla tabella B. GetItem

Utilizzando l'opzione Anteprima dell'accesso esterno disponibile nella console DynamoDB, puoi vedere in anteprima come la nuova policy influisce sull'accesso pubblico e tra account alla tua risorsa. Prima di salvare la policy, puoi verificare se introduce nuovi risultati di IAM Access Analyzer o risolve i risultati esistenti. Se non vedi un analizzatore attivo, scegli Vai a Access Analyzer per creare un analizzatore di account in Access Analyzer. IAM Per ulteriori informazioni, consulta Accesso in anteprima.

Il parametro table name nel piano dati e nel piano di controllo di DynamoDB APIs accetta Amazon Resource Name ARN () completo della tabella per supportare le operazioni tra account. Se fornisci solo il parametro table name anziché un parametro completoARN, l'APIoperazione verrà eseguita sulla tabella dell'account a cui appartiene il richiedente. Per un esempio di politica che utilizza l'accesso tra account diversi, vedi. Politica basata sulle risorse per l'accesso tra più account

L'account del proprietario della risorsa verrà addebitato anche quando un responsabile di un altro account sta leggendo o scrivendo sulla tabella DynamoDB dell'account del proprietario. Se la tabella prevede la velocità effettiva, la somma di tutte le richieste provenienti dagli account del proprietario e dai richiedenti degli altri account determinerà se la richiesta verrà limitata (se la scalabilità automatica è disabilitata) o aumentata o ridotta se la scalabilità automatica è abilitata.

Le richieste verranno registrate nei CloudTrail registri degli account proprietario e richiedente in modo che ciascuno dei due account possa tenere traccia dell'account a cui ha avuto accesso a quali dati.

Nota

L'accesso a più account al piano di controllo APIs prevede un limite inferiore di transazioni al secondo (TPS) di 500 richieste.