Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bewährte Methoden für ressourcenbasierte Richtlinien
In diesem Thema werden die bewährten Methoden für die Definition von Zugriffsberechtigungen für Ihre DynamoDB-Ressourcen und die für diese Ressourcen zulässigen Aktionen beschrieben.
Vereinfachen Sie die Zugriffskontrolle auf DynamoDB-Ressourcen
Wenn die AWS Identity and Access Management Prinzipale, die Zugriff auf eine DynamoDB-Ressource benötigen, zu demselben gehören AWS-Konto wie der Ressourcenbesitzer, ist keine identitätsbasierte IAM-Richtlinie für jeden Prinzipal erforderlich. Eine ressourcenbasierte Richtlinie, die an die angegebenen Ressourcen angehängt ist, reicht aus. Diese Art der Konfiguration vereinfacht die Zugriffskontrolle.
Schützen Sie Ihre DynamoDB-Ressourcen mit ressourcenbasierten Richtlinien
Erstellen Sie für alle DynamoDB-Tabellen und -Streams ressourcenbasierte Richtlinien, um die Zugriffskontrolle für diese Ressourcen durchzusetzen. Mit ressourcenbasierten Richtlinien können Sie Berechtigungen auf Ressourcenebene zentralisieren, die Zugriffskontrolle für DynamoDB-Tabellen, -Indizes und -Streams vereinfachen und den Verwaltungsaufwand reduzieren. Wenn keine ressourcenbasierte Richtlinie für eine Tabelle oder einen Stream angegeben ist, wird der Zugriff auf die Tabelle oder den Stream implizit verweigert, es sei denn, identitätsbasierte Richtlinien, die den IAM-Prinzipalen zugeordnet sind, ermöglichen den Zugriff.
Gewähren Sie die geringsten Berechtigungen
Wenn Sie Berechtigungen mit ressourcenbasierten Richtlinien für DynamoDB-Ressourcen festlegen, gewähren Sie nur die Berechtigungen, die zum Ausführen einer Aktion erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als die geringsten Berechtigungen. Sie können mit umfassenden Berechtigungen beginnen, während Sie die für Ihren Workload oder Anwendungsfall erforderlichen Berechtigungen untersuchen. Mit zunehmender Reife Ihres Anwendungsfalls können Sie daran arbeiten, die Berechtigungen zu reduzieren, die Sie gewähren, um auf die geringsten Berechtigungen hinzuarbeiten.
Analysieren Sie kontenübergreifende Zugriffsaktivitäten, um Richtlinien mit den geringsten Rechten zu generieren
IAM Access Analyzer meldet den kontenübergreifenden Zugriff auf externe Entitäten, die in ressourcenbasierten Richtlinien spezifiziert sind, und bietet Transparenz, damit Sie Ihre Berechtigungen verfeinern und sich an die Mindestberechtigungen anpassen können. Weitere Informationen zur Richtlinienerstellung finden Sie unter IAM Access Analyzer Richtlinienerstellung.
Verwenden Sie IAM Access Analyzer, um Richtlinien mit den geringsten Rechten zu generieren
Um nur die zum Ausführen einer Aufgabe erforderlichen Berechtigungen zu erteilen, können Sie Richtlinien auf der Grundlage Ihrer in AWS CloudTrail protokollierten Zugriffsaktivitäten erstellen. IAM Access Analyzer analysiert die Dienste und Aktionen, die in Ihren Richtlinien verwendet werden.
