Acesso entre contas com políticas baseadas em recurso no DynamoDB
Usando uma política baseada em recursos, é possível fornecer acesso entre contas a recursos disponíveis em diferentes Contas da AWS. Todo o acesso entre contas permitido pelas políticas baseadas em recursos será relatado por meio das descobertas de acesso externo do IAM Access Analyzer, se você tiver um analisador na mesma Região da AWS que o recurso. O IAM Access Analyzer executa verificações de política para validar sua política em relação à gramática das políticas e às práticas recomendadas do IAM. Essas verificações geram descobertas e fornecem recomendações práticas que ajudam a criar políticas que sejam funcionais e estejam em conformidade com as práticas recomendadas de segurança. É possível ver as descobertas ativas do IAM Access Analyzer na guia Permissões do console do DynamoDB
Para ter informações sobre a validação de políticas usando o IAM Access Analyzer, consulte Validação de política do IAM Access Analyzer no Guia do usuário do IAM. Para visualizar uma lista de avisos, erros e sugestões retornados pelo IAM Access Analyzer, consulte Referência de verificação de políticas do IAM Access Analyzer.
Para conceder permissão GetItem a um usuário A na conta A para acessar uma tabela B na conta B, realize as seguintes etapas:
-
Associe uma política baseada em recursos à tabela B que conceda permissão ao usuário A para realizar a ação
GetItem
. -
Associe uma política baseada em recursos ao usuário A que conceda permissão para realizar a ação
GetItem
na tabela B.
Usando a opção Visualizar acesso externo disponível no console do DynamoDB
O parâmetro do nome da tabela nas APIs do plano de dados e do ambiente de gerenciamento do DynamoDB aceita o nome do recurso da Amazon (ARN) completo da tabela para comportar operações entre contas. Se você fornecer apenas o parâmetro do nome da tabela em vez de um ARN completo, a operação da API será realizada na tabela da conta à qual o solicitante pertence. Para ter um exemplo de política de use acesso entre contas, consulte Política baseada em recursos para acesso entre contas.
A conta do proprietário do recurso será cobrada mesmo quando uma entidade principal de outra conta estiver lendo ou gravando na tabela do DynamoDB na conta do proprietário. Se a tabela tiver um throughput provisionado, a soma de todas as solicitações das contas do proprietário e dos solicitantes em outras contas determinará se a solicitação terá controle de utilização (se o ajuste de escala automático estiver desabilitado) ou se a escala será reduzida ou aumentada verticalmente se o ajuste de escala automático não estiver habilitado.
As solicitações serão registradas nos logs do CloudTrail das contas do proprietário e do solicitante para que as duas contas possam rastrear qual conta acessou quais dados.
nota
O acesso entre contas das APIs do ambiente de gerenciamento tem um limite menor de transações por segundo (TPS) de quinhentas solicitações.