本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
跨帳戶存取以資源為基礎的政策
使用以資源為基礎的策略,您可以提供對不同資源的跨帳戶存取。 AWS 帳戶如果您有與 AWS 區域 資源相同的分析器,則資源型政策允許的所有跨帳戶存取將透過 IAM Access Analyzer 外部存取發現項目報告。IAM Access Analyzer 會比對 IAM 政策文法和最佳實務來執行政策檢查,以驗證您的政策。這些檢查會產生問題清單並提供可行的建議,協助您撰寫具有功能性且符合安全最佳實務的政策。您可以在 DynamoDB
如需使用 IAM 存取分析器驗證政策的相關資訊,請參閱 IAM 使用者指南中的 IAM 存取分析器政策驗證。若要檢視 IAM Access Analyzer 傳回的警告、錯誤和建議清單,請參閱 IAM Access Analyzer 政策檢查參考。
若要將存取帳戶 B 中表格 B 的GetItem權限授與帳戶 A 中的使用者 A,請執行下列步驟:
-
將以資源為基礎的政策附加至表格 B,以授與使用者 A 執行
GetItem
動作的權限。 -
將以身分識別為基礎的原則附加至使用者 A,授與其在表格 B 上執行
GetItem
動作的權限。
使用 DynamoDB 主控台
DynamoDB 資料平面和控制平面 API 中的表名稱參數可接受表格的完整 Amazon 資源名稱 (ARN),以支援跨帳戶操作。如果您只提供資料表名稱參數,而不是完整的 ARN,則會在要求程式所屬帳戶中的資料表上執行 API 作業。如需使用跨帳戶存取的策略範例,請參閱跨帳戶存取的資源型政策。
即使其他帳戶的主體正在讀取或寫入擁有者帳戶中的 DynamoDB 表,也會向資源擁有者的帳戶收費。如果表格已佈建輸送量,則來自擁有者帳戶和其他帳戶中要求程式的所有要求總和將決定要求是否會受到限制 (如果自動調度資源功能已停用) 或在啟用自動資源調度資源時向上/縮減。
請求將記錄在所有者和請求者帳戶的 CloudTrail 日誌中,以便兩個帳戶中的每個帳戶都可以跟踪哪個帳戶訪問了哪些數據。
注意
控制平面 API 的跨帳戶存取具有較低的每秒交易 (TPS) 限制為 500 個要求。