Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Blocage de l’accès public à l’aide de politiques basées sur les ressources dans DynamoDB
Bloquer l’accès public (BPA) est une fonctionnalité qui identifie et empêche l’attachement de politiques basées sur les ressources qui accordent un accès public à vos tables, index ou flux DynamoDB sur vos comptes Amazon Web Services (AWS)
BPA utilise un raisonnement automatisé
Important
BPA permet de protéger vos ressources en empêchant l’octroi de l’accès public par le biais de politiques basées sur les ressources directement associées à vos ressources DynamoDB, telles que les tables, les index et les flux. En plus d’utiliser BPA, examinez attentivement les politiques suivantes pour vous assurer qu’elles n’accordent pas d’accès public :
-
Politiques basées sur l'identité associées aux AWS principaux associés (par exemple, rôles IAM)
-
Politiques basées sur les AWS ressources associées (par exemple, clés AWS Key Management Service (KMS))
Vous devez vous assurer que le principal n’inclut aucune entrée * ou que l’une des clés de condition spécifiées limite l’accès des principaux à la ressource. Si la politique basée sur les ressources accorde un accès public à votre table, à vos index ou à votre flux, Comptes AWS DynamoDB vous empêchera de créer ou de modifier la politique jusqu'à ce que la spécification contenue dans la stratégie soit corrigée et considérée comme non publique.
Vous pouvez rendre une politique non publique en spécifiant un ou plusieurs principaux à l’intérieur du bloc Principal. L’exemple de politique basée sur les ressources suivant bloque l’accès public en spécifiant deux principaux.
{ "Effect": "Allow", "Principal": { "AWS": [ "123456789012", "111122223333" ] }, "Action": "dynamodb:*", "Resource": "*" }
Les politiques qui restreignent l’accès en spécifiant certaines clés de condition ne sont pas non plus considérées comme publiques. Parallèlement à l’évaluation du principal spécifié dans la politique basée sur les ressources, les clés de condition fiables suivantes sont utilisées pour terminer l’évaluation d’une politique basée sur les ressources pour un accès non public :
-
aws:PrincipalAccount -
aws:PrincipalArn -
aws:PrincipalOrgID -
aws:PrincipalOrgPaths -
aws:SourceAccount -
aws:SourceArn -
aws:SourceVpc -
aws:SourceVpce -
aws:UserId -
aws:PrincipalServiceName -
aws:PrincipalServiceNamesList -
aws:PrincipalIsAWSService -
aws:Ec2InstanceSourceVpc -
aws:SourceOrgID -
aws:SourceOrgPaths
En outre, pour qu’une politique basée sur les ressources ne soit pas publique, les valeurs d’Amazon Resource Name (ARN) et les clés de chaîne ne doivent pas contenir de caractères génériques ni de variables. Si votre politique basée sur les ressources utilise la clé aws:PrincipalIsAWSService, vous devez vous assurer que vous avez défini la valeur de la clé sur true.
La politique suivante limite l’accès à l’utilisateur John dans le compte spécifié. La condition impose une contrainte à Principal et ne doit pas être considérée comme publique.
{ "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": "dynamodb:*", "Resource": "*", "Condition": { "StringEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:user/John" } } }
L’exemple suivant d’une politique basée sur des ressources non publique limite l’utilisation de sourceVPC avec l’opérateur StringEquals.
