As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurar o acesso entre contas ao Amazon DynamoDB
Criado por Shashi Dalmia (AWS), Esteban Serna Parra () e Imhoertha AWS Ojior () AWS
Ambiente: produção | Tecnologias: bancos de dados; segurança, identidade, conformidade | AWSserviços: Amazon DynamoDBAWS; Identity and Access Management; Lambda AWS |
Resumo
Esse padrão explica as etapas para configurar o acesso entre contas ao Amazon DynamoDB usando políticas baseadas em recursos. Para cargas de trabalho que usam o DynamoDB, está se tornando mais comum usar estratégias de isolamento de carga de trabalho
As políticas baseadas em recursos para o DynamoDB simplificam muito a postura de segurança para cargas de trabalho entre contas. Esse padrão fornece etapas e exemplos de código para demonstrar como você pode configurar AWS Lambda funções em uma Conta da AWS para gravar dados em uma tabela de banco de dados do DynamoDB em uma conta diferente.
Pré-requisitos e limitações
Pré-requisitos
Dois ativos Contas da AWS. Esse padrão se refere a essas contas como Conta A e Conta B.
AWS Command Line Interface (AWS CLI) instalado e configurado para acessar a Conta A, para criar a tabela do DynamoDB. As outras etapas desse padrão fornecem instruções para usar os consolesIAM, DynamoDB e Lambda. Se você planeja usar AWS CLI em vez disso, configure-o para acessar as duas contas.
Limitações
Alguns Serviços da AWS não estão disponíveis em todos Regiões da AWS. Para ver a disponibilidade da região, consulte Serviços da AWS por região
. Para endpoints específicos, consulte a página de endpoints e cotas do serviço e escolha o link para o serviço.
Arquitetura
O diagrama a seguir mostra uma arquitetura de conta única. AWS Lambda, Amazon Elastic Compute Cloud (AmazonEC2) e DynamoDB estão todos na mesma conta. Nesse cenário, as funções Lambda e as EC2 instâncias da Amazon podem acessar o DynamoDB. Para conceder acesso à tabela do DynamoDB, você pode criar uma política baseada em identidade ou criar uma política baseada IAM em recursos no DynamoDB.
O diagrama a seguir mostra uma arquitetura de várias contas. Se os recursos em um Conta da AWS precisarem acessar uma tabela do DynamoDB em uma conta diferente, você precisará configurar uma política baseada em recursos no DynamoDB para conceder o acesso necessário. Por exemplo, no diagrama a seguir, o acesso à tabela do DynamoDB na Conta A é concedido a uma função Lambda na Conta B usando uma política baseada em recursos.
Esse padrão descreve o acesso entre contas entre o Lambda e o DynamoDB. Você pode usar etapas semelhantes para outras, Serviços da AWS se as permissões apropriadas estiverem configuradas em ambas as contas. Por exemplo, se você quiser fornecer acesso à função Lambda a um bucket do Amazon Simple Storage Service (Amazon S3) na Conta A, você pode criar uma política baseada em recursos no Amazon S3 e adicionar as permissões à função de execução do Lambda na Conta B.
Ferramentas
Serviços da AWS
O Amazon DynamoDB é um serviço SQL sem banco de dados totalmente gerenciado que fornece desempenho rápido, previsível e escalável.
AWS Identity and Access Management (IAM) ajuda você a gerenciar com segurança o acesso aos seus AWS recursos controlando quem está autenticado e autorizado a usá-los.
O AWS Lambda é um serviço de computação que ajuda a executar código sem exigir provisionamento ou gerenciamento de servidores. Ele executa o código somente quando necessário e dimensiona automaticamente, assim, você paga apenas pelo tempo de computação usado.
Código
Esse padrão inclui código de amostra na seção Informações adicionais para mostrar como você pode configurar uma função Lambda na Conta B para gravar na tabela do DynamoDB na Conta A. O código é fornecido somente para fins de ilustração e teste. Se você estiver implementando esse padrão em um ambiente de produção, use o código como referência e personalize-o para seu próprio ambiente.
Práticas recomendadas
Siga as melhores práticas para políticas baseadas em recursos na documentação do DynamoDB.
Siga o princípio do privilégio mínimo e conceda as permissões mínimas necessárias para realizar uma tarefa. Para obter mais informações, consulte Conceder privilégios mínimos e melhores práticas de segurança na IAM documentação.
Épicos
Tarefa | Descrição | Habilidades necessárias |
---|---|---|
Crie uma política na Conta B. | Essa IAM política permite a PutItemação de uma tabela do DynamoDB na Conta A.
| Geral AWS |
Crie uma função na Conta B. | A função Lambda na Conta B usa essa IAM função para acessar a tabela do DynamoDB na Conta A.
Para obter mais informações sobre a criação de funções, consulte a IAMdocumentação. | Geral AWS |
Observe a funçãoARN. |
| Geral AWS |
Tarefa | Descrição | Habilidades necessárias |
---|---|---|
Crie uma tabela do DynamoDB. | Use o AWS CLI comando a seguir para criar uma tabela do DynamoDB.
Substitua o seguinte neste exemplo de código:
Nota: Você especifica a configuração da política baseada em recursos na Para obter mais informações sobre criar tabelas, consulte a documentação do DynamoDB. | Geral AWS |
Tarefa | Descrição | Habilidades necessárias |
---|---|---|
Crie uma função do Lambda para gravar dados no DynamoDB. |
Para obter mais informações sobre como criar funções do Lambda, consulte a documentação do Lambda. | Geral AWS |
Tarefa | Descrição | Habilidades necessárias |
---|---|---|
Excluir recursos. | Para evitar incorrer em custos associados aos recursos criados nesse padrão, faça o seguinte para excluir esses recursos:
| Geral AWS |
Solução de problemas
Problema | Solução |
---|---|
Ao criar a função Lambda, você recebe um | Confirme se você inseriu corretamente a ID Região da AWS e a ID da Conta A. Elas fazem parte da tabela do ARN DynamoDB. |
Recursos relacionados
Introdução ao DynamoDB (Documentação do DynamoDB)
Usando políticas baseadas em recursos para o DynamoDB (documentação do DynamoDB)
Criação de IAM políticas (IAMdocumentação)
Lógica de avaliação de políticas entre contas (IAMdocumentação)
IAMJSONreferência de elementos de política (IAMdocumentação)
Mais informações
Código de exemplo
import boto3 from datetime import datetime dynamodb_client = boto3.client('dynamodb') def lambda_handler(event, context): now = datetime.now().isoformat() data = dynamodb_client.put_item(TableName='arn:aws:dynamodb:<Region>:<Account-A-ID>:table/Table-Account-A', Item={"category": {"S": "Fruit"},"item": {"S": "Apple"},"time": {"S": now}}) return data
Observação: quando o cliente do DynamoDB é instanciado, a tabela ARN do DynamoDB é fornecida em vez do nome da tabela. Isso é necessário para que a função Lambda se conecte à tabela correta do DynamoDB quando executada.