Accès entre comptes avec des politiques basées sur les ressources - Amazon DynamoDB

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accès entre comptes avec des politiques basées sur les ressources

À l'aide d'une politique basée sur les ressources, vous pouvez fournir un accès entre comptes aux ressources disponibles sous différentes formes. Comptes AWS Tous les accès entre comptes autorisés par les politiques basées sur les ressources seront signalés par le biais des résultats d'accès externes d'IAM Access Analyzer si vous disposez d'un analyseur identique à la ressource. Région AWS IAM Access Analyzer exécute des vérifications de politiques pour valider votre politique par rapport à la grammaire de politique et aux bonnes pratiques IAM. Ces vérifications génèrent des résultats et fournissent des recommandations exploitables pour vous aider à créer des stratégies fonctionnelles et conformes aux bonnes pratiques en matière de sécurité. Vous pouvez consulter les résultats actifs d'IAM Access Analyzer dans l'onglet Autorisations de la console DynamoDB.

Pour plus d'informations sur la validation des politiques à l'aide d'IAM Access Analyzer, consultez la section Validation des politiques IAM Access Analyzer dans le guide de l'utilisateur d'IAM. Pour afficher la liste des avertissements, erreurs et suggestions renvoyés par IAM Access Analyzer, consultez la Référence de vérification de stratégie IAM Access Analyzer.

Pour GetItemautoriser un utilisateur A du compte A à accéder à une table B du compte B, effectuez les opérations suivantes :

  1. Joignez à la table B une politique basée sur les ressources qui autorise l'utilisateur A à effectuer l'GetItemaction.

  2. Attachez une politique basée sur l'identité à l'utilisateur A qui lui accorde l'autorisation d'effectuer l'GetItemaction sur la table B.

À l'aide de l'option Aperçu de l'accès externe disponible dans la console DynamoDB, vous pouvez prévisualiser l'impact de votre nouvelle politique sur l'accès public et entre comptes à votre ressource. Avant d'enregistrer votre stratégie, vous pouvez vérifier si elle introduit de nouveaux résultats IAM Access Analyzer ou si elle résout les résultats existants. Si vous ne voyez pas d'analyseur actif, choisissez Go to Access Analyzer (Accédez à l'analyseur d'accès) pour créer un analyseur de compte dans l'analyseur d'accès IAM. Pour plus d'informations, consultez la section Accès à l'aperçu.

Le paramètre de nom de table dans les API du plan de données DynamoDB et du plan de contrôle accepte le nom de ressource Amazon (ARN) complet de la table afin de prendre en charge les opérations entre comptes. Si vous fournissez uniquement le paramètre de nom de table au lieu d'un ARN complet, l'opération d'API sera exécutée sur la table du compte auquel appartient le demandeur. Pour un exemple de politique qui utilise l'accès entre comptes, voirPolitique basée sur les ressources pour l'accès entre comptes.

Le compte du propriétaire de la ressource sera débité même lorsqu'un mandant d'un autre compte lit ou écrit dans la table DynamoDB du compte du propriétaire. Si la table dispose d'un débit provisionné, la somme de toutes les demandes provenant des comptes propriétaires et des demandeurs des autres comptes déterminera si la demande sera limitée (si le dimensionnement automatique est désactivé) ou redimensionné à la hausse ou à la baisse si le dimensionnement automatique est activé.

Les demandes seront enregistrées dans les CloudTrail journaux des comptes propriétaire et demandeur afin que chacun des deux comptes puisse savoir quel compte a accédé à quelles données.

Note

L'accès entre comptes aux API du plan de contrôle est soumis à une limite de transactions par seconde (TPS) inférieure à 500 demandes.