Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Praktik terbaik kebijakan berbasis sumber daya
Topik ini menjelaskan praktik terbaik untuk menentukan izin akses untuk sumber daya DynamoDB Anda dan tindakan yang diizinkan pada sumber daya ini.
Sederhanakan kontrol akses ke sumber daya DynamoDB
Jika AWS Identity and Access Management prinsipal yang memerlukan akses ke sumber daya DynamoDB adalah bagian yang Akun AWS sama dengan pemilik sumber daya, kebijakan berbasis identitas IAM tidak diperlukan untuk setiap prinsipal. Kebijakan berbasis sumber daya yang melekat pada sumber daya yang diberikan sudah cukup. Jenis konfigurasi ini menyederhanakan kontrol akses.
Lindungi sumber daya DynamoDB Anda dengan kebijakan berbasis sumber daya
Untuk semua tabel dan aliran DynamoDB, buat kebijakan berbasis sumber daya untuk menerapkan kontrol akses untuk sumber daya ini. Kebijakan berbasis sumber daya memungkinkan Anda memusatkan izin di tingkat sumber daya, menyederhanakan kontrol akses ke tabel DynamoDB, indeks, dan aliran, serta mengurangi overhead administrasi. Jika tidak ada kebijakan berbasis sumber daya yang ditentukan untuk tabel atau aliran, akses ke tabel atau aliran akan ditolak secara implisit, kecuali kebijakan berbasis identitas yang terkait dengan prinsip IAM mengizinkan akses.
Terapkan izin hak istimewa paling sedikit
Saat Anda menetapkan izin dengan kebijakan berbasis sumber daya untuk sumber daya DynamoDB, berikan hanya izin yang diperlukan untuk melakukan tindakan. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai izin dengan hak akses paling rendah. Anda dapat memulai dengan izin luas saat menjelajahi izin yang diperlukan untuk beban kerja atau kasus penggunaan Anda. Saat kasus penggunaan Anda matang, Anda dapat bekerja untuk mengurangi izin yang Anda berikan untuk bekerja menuju hak istimewa yang paling sedikit.
Menganalisis aktivitas akses lintas akun untuk menghasilkan kebijakan hak istimewa paling sedikit
IAM Access Analyzer melaporkan akses lintas akun ke entitas eksternal yang ditentukan dalam kebijakan berbasis sumber daya, dan memberikan visibilitas untuk membantu Anda menyempurnakan izin dan menyesuaikan diri dengan hak istimewa yang paling sedikit. Untuk informasi selengkapnya tentang pembuatan kebijakan, lihat pembuatan kebijakan IAM Access Analyzer.
Gunakan IAM Access Analyzer untuk menghasilkan kebijakan hak istimewa paling sedikit
Untuk hanya memberikan izin yang diperlukan untuk melakukan tugas, Anda dapat membuat kebijakan berdasarkan aktivitas akses yang masuk AWS CloudTrail. IAM Access Analyzer menganalisis layanan dan tindakan yang digunakan kebijakan Anda.
