Accesso tra account con politiche basate sulle risorse - Amazon DynamoDB

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Accesso tra account con politiche basate sulle risorse

Utilizzando una politica basata sulle risorse, puoi fornire l'accesso a più account a risorse disponibili in diversi paesi. Account AWS Tutti gli accessi tra account consentiti dalle politiche basate sulle risorse verranno segnalati tramite i risultati degli accessi esterni di IAM Access Analyzer se disponi di un analizzatore nella stessa risorsa. Regione AWS IAM Access Analyzer esegue controlli della policy per convalidarla in rapporto alla sintassi della policy e alle best practice di IAM. Questi controlli generano risultati e forniscono suggerimenti utili per aiutarti a creare policy funzionali e conformi alle best practice per la sicurezza. È possibile visualizzare i risultati attivi di IAM Access Analyzer nella scheda Autorizzazioni della console DynamoDB.

Per informazioni sulla convalida delle policy utilizzando IAM Access Analyzer, consulta la convalida delle policy di IAM Access Analyzer nella IAM User Guide. Per visualizzare un elenco di avvisi, errori e suggerimenti di IAM Access Analyzer, consulta Riferimento ai controlli delle policy IAM Access Analyzer.

Per concedere l'GetItemautorizzazione a un utente A nell'account A per accedere a una tabella B nell'account B, procedi nel seguente modo:

  1. Allega alla tabella B una politica basata sulle risorse che conceda l'autorizzazione all'utente A per eseguire l'azione. GetItem

  2. Allega una politica basata sull'identità all'utente A che gli conceda l'autorizzazione a eseguire l'azione sulla tabella B. GetItem

Utilizzando l'opzione Anteprima dell'accesso esterno disponibile nella console DynamoDB, puoi vedere in anteprima come la nuova policy influisce sull'accesso pubblico e tra account alla tua risorsa. Prima di salvare la policy, puoi verificare se introduce nuovi risultati di IAM Access Analyzer o risolve i risultati esistenti. Se non è presente uno strumento di analisi attivo, scegli Go to Access Analyzer (Passa a strumento analisi accessi) per creare uno strumento di analisi degli account in IAM Access Analyzer. Per ulteriori informazioni, consulta Accesso in anteprima.

Il parametro table name nelle API del piano dati e del piano di controllo di DynamoDB accetta l'Amazon Resource Name (ARN) completo della tabella per supportare le operazioni tra account. Se si fornisce solo il parametro table name anziché un ARN completo, l'operazione API verrà eseguita sulla tabella dell'account a cui appartiene il richiedente. Per un esempio di policy che utilizza l'accesso tra account diversi, consulta. Politica basata sulle risorse per l'accesso tra più account

L'account del proprietario della risorsa verrà addebitato anche quando un responsabile di un altro account sta leggendo o scrivendo sulla tabella DynamoDB dell'account del proprietario. Se la tabella prevede la velocità effettiva, la somma di tutte le richieste provenienti dagli account del proprietario e dai richiedenti degli altri account determinerà se la richiesta verrà limitata (se la scalabilità automatica è disabilitata) o aumentata o ridotta se la scalabilità automatica è abilitata.

Le richieste verranno registrate nei CloudTrail registri degli account proprietario e richiedente in modo che ciascuno dei due account possa tenere traccia dell'account a cui ha avuto accesso a quali dati.

Nota

L'accesso tra account alle API del piano di controllo prevede un limite inferiore di transazioni al secondo (TPS) di 500 richieste.