Simplificación del control de acceso Protección de los recursos de DynamoDB Aplicación de permisos de privilegios mínimos Análisis de la actividad de acceso entre cuentas Uso de IAM Access Analyzer

Prácticas recomendadas con las políticas basadas en recursos

En este tema se describen las prácticas recomendadas para definir los permisos de acceso para los recursos de DynamoDB y las acciones permitidas en dichos recursos.

Simplificación del control de acceso a los recursos de DynamoDB

Si las entidades principales de AWS Identity and Access Management que necesitan acceder a un recurso de DynamoDB forman parte de la misma Cuenta de AWS que el propietario del recurso, no se requiere ninguna política de IAM basada en identidad para cada entidad principal. Bastará con asociar una política basada en recursos a los recursos pertinentes. Este tipo de configuración simplifica el control de acceso.

Protección de los recursos de DynamoDB con políticas basadas en recursos

Para todas las tablas y secuencias de DynamoDB, cree políticas basadas en recursos para aplicar el control de acceso a esos recursos. Las políticas basadas en recursos le permiten centralizar los permisos en el nivel de recursos, simplificar el control de acceso a las tablas, índices y secuencias de DynamoDB y reducir los gastos de administración. Si no se especifica ninguna política basada en recursos para una tabla o secuencia, se denegará implícitamente el acceso a la tabla o secuencia, a menos que las políticas basadas en identidad asociadas a las entidades principales de IAM permitan el acceso.

Aplicación de permisos de privilegios mínimos

Cuando establezca permisos con políticas basadas en recursos para los recursos de DynamoDB, conceda solo los permisos necesarios para llevar a cabo una acción. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como permisos de privilegios mínimos. Puede empezar con permisos amplios mientras va conociendo los permisos que se necesitan para su carga de trabajo o caso de uso. A medida que su caso de uso vaya madurando, puede ir reduciendo los permisos que concede para alcanzar el objetivo de privilegio mínimo.

Análisis de la actividad de acceso entre cuentas para generar políticas de privilegios mínimos

IAM Access Analyzer informa del acceso entre cuentas a entidades externas específicas en las políticas basadas en recursos y proporciona visibilidad a la hora de refinar los permisos y cumplir con la política de privilegios mínimos. Para obtener más información acerca de la generación de políticas, consulte Generación de políticas de IAM Access Analyzer.

Uso de IAM Access Analyzer para generar políticas de privilegios mínimos

Para conceder solo los permisos necesarios para llevar a cabo una tarea, puede generar políticas que se basen en la actividad de acceso que haya iniciado sesión en AWS CloudTrail. IAM Access Analyzer analiza los servicios y acciones que utilizan sus políticas.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Consideraciones

Protección de datos