Accès intercompte avec des politiques basées sur les ressources dans DynamoDB - Amazon DynamoDB

Accès intercompte avec des politiques basées sur les ressources dans DynamoDB

À l’aide d’une politique basée sur les ressources, vous pouvez fournir un accès intercompte à des ressources disponibles dans différents Comptes AWS. Tous les accès intercompte autorisés par les politiques basées sur les ressources seront signalés par le biais des résultats d’accès externes d’IAM Access Analyzer si vous disposez d’un analyseur dans la même Région AWS que la ressource. IAM Access Analyzer exécute des vérifications de politiques pour valider votre politique par rapport à la grammaire de politique et aux bonnes pratiques IAM. Ces vérifications génèrent des résultats et fournissent des recommandations exploitables pour vous aider à créer des stratégies fonctionnelles et conformes aux bonnes pratiques en matière de sécurité. Vous pouvez consulter les résultats actifs d’IAM Access Analyzer dans l’onglet Autorisations de la console DynamoDB.

Pour en savoir plus sur la validation des politiques à l’aide d’IAM Access Analyzer, consultez Validation de la politique de l’IAM Access Analyzer dans le Guide de l’utilisateur IAM. Pour afficher la liste des avertissements, erreurs et suggestions renvoyés par IAM Access Analyzer, consultez la Référence de vérification de politique IAM Access Analyzer.

Pour accorder à un utilisateur A du compte A l’autorisation GetItem d’accéder à une table B du compte B, effectuez les opérations suivantes :

  1. Attachez à la table B une politique basée sur les ressources qui autorise l’utilisateur A à effectuer l’action GetItem.

  2. Attachez une politique basée sur l’identité qui autorise l’utilisateur A à effectuer l’action GetItem sur la table B.

À l’aide de l’option Aperçu de l’accès externe disponible dans la console DynamoDB, vous pouvez prévisualiser la façon dont votre nouvelle politique affecte l’accès public et intercompte à votre ressource. Avant d’enregistrer votre stratégie, vous pouvez vérifier si elle introduit de nouveaux résultats IAM Access Analyzer ou si elle résout les résultats existants. Si vous ne voyez pas d’analyseur actif, choisissez Go to Access Analyzer (Accédez à l’analyseur d’accès) pour créer un analyseur de compte dans l’analyseur d’accès IAM. Pour plus d’informations, consultez Prévisualiser l’accès.

Le paramètre de nom de table dans les API du plan de données et du plan de contrôle DynamoDB accepte l’Amazon Resource Name (ARN) complet de la table afin de prendre en charge les opérations intercomptes. Si vous fournissez uniquement le paramètre de nom de table au lieu d’un ARN complet, l’opération d’API sera exécutée sur la table du compte auquel appartient le demandeur. Pour obtenir un exemple de politique qui utilise l’accès intercompte, consultez Politique basées sur les ressources pour l’accès intercompte.

Le compte du propriétaire de la ressource sera débité même lorsque le principal d’un autre compte lit ou écrit dans la table DynamoDB du compte du propriétaire. Si la table dispose d’un débit provisionné, la somme de toutes les demandes provenant des comptes propriétaires et des demandeurs des autres comptes déterminera si la demande sera limitée (si l’autoscaling est désactivé) ou augmentée ou réduite verticalement si l’autoscaling est activé.

Les demandes seront enregistrées dans les journaux CloudTrail des comptes propriétaire et demandeur afin que chacun des deux comptes puisse suivre quel compte a accédé à quelles données.

Note

L’accès intercompte aux API du plan de contrôle est soumis à une limite de transactions par seconde (TPS) inférieure à 500 demandes.