Akses lintas akun dengan kebijakan berbasis sumber daya di DynamoDB - Amazon DynamoDB
Bagikan akses dengan fungsi AWS Lambda lintas akun

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Akses lintas akun dengan kebijakan berbasis sumber daya di DynamoDB

Dengan menggunakan kebijakan berbasis sumber daya, Anda dapat memberikan akses lintas akun ke sumber daya yang tersedia di berbagai sumber daya. Akun AWS Semua akses lintas akun yang diizinkan oleh kebijakan berbasis sumber daya akan dilaporkan melalui temuan akses eksternal IAM Access Analyzer jika Anda memiliki penganalisis yang sama dengan sumber daya. Wilayah AWS Penganalisis Akses IAM menjalankan pemeriksaan kebijakan untuk memvalidasi kebijakan Anda terhadap tata bahasa kebijakan IAM dan praktik terbaik. Pemeriksaan ini menghasilkan temuan dan memberikan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang fungsional dan sesuai dengan praktik terbaik keamanan. Anda dapat melihat temuan aktif dari IAM Access Analyzer di tab Permissions konsol DynamoDB.

Untuk informasi tentang memvalidasi kebijakan menggunakan IAM Access Analyzer, lihat validasi kebijakan IAM Access Analyzer di Panduan Pengguna IAM. Untuk melihat daftar peringatan, kesalahan, dan saran yang ditampilkan oleh Penganalisis Akses IAM, lihat referensi pemeriksaan kebijakan Penganalisis Akses IAM.

Untuk memberikan GetItemizin kepada pengguna A di akun A untuk mengakses tabel B di akun B, lakukan langkah-langkah berikut:

  1. Lampirkan kebijakan berbasis sumber daya ke tabel B yang memberikan izin kepada pengguna A untuk melakukan tindakan. GetItem

  2. Lampirkan kebijakan berbasis identitas ke pengguna A yang memberinya izin untuk melakukan tindakan pada GetItem tabel B.

Menggunakan opsi Pratinjau akses eksternal yang tersedia di konsol DynamoDB, Anda dapat melihat pratinjau bagaimana kebijakan baru memengaruhi akses publik dan lintas akun ke sumber daya Anda. Sebelum Anda menyimpan kebijakan Anda, Anda dapat memeriksa apakah itu memperkenalkan temuan Penganalisa Akses IAM baru atau menyelesaikan temuan yang ada. Jika Anda tidak melihat penganalisis aktif, pilih Buka Penganalisis Akses untuk membuat penganalisis akun di Penganalisis Akses IAM. Untuk informasi selengkapnya, lihat Pratinjau akses.

Parameter nama tabel di bidang data DynamoDB dan bidang kontrol APIs menerima Nama Sumber Daya Amazon (ARN) lengkap dari tabel untuk mendukung operasi lintas akun. Jika Anda hanya memberikan parameter nama tabel alih-alih ARN lengkap, operasi API akan dilakukan pada tabel di akun tempat pemohon berada. Untuk contoh kebijakan yang menggunakan akses lintas akun, lihatKebijakan berbasis sumber daya untuk akses lintas akun.

Akun pemilik sumber daya akan dikenakan biaya bahkan ketika kepala sekolah dari akun lain membaca dari atau menulis ke tabel DynamoDB di akun pemilik. Jika tabel telah menyediakan throughput, jumlah semua permintaan dari akun pemilik dan pemohon di akun lain akan menentukan apakah permintaan akan dibatasi (jika penskalaan otomatis dinonaktifkan) atau diskalakan jika penskalaan otomatis diaktifkan. up/down

Permintaan akan dicatat di CloudTrail log pemilik dan akun pemohon sehingga masing-masing dari dua akun dapat melacak akun mana yang mengakses data apa.

Bagikan akses dengan fungsi AWS Lambda lintas akun

Fungsi Lambda di akun A

  1. Buka konsol IAM untuk membuat peran IAM yang akan digunakan sebagai peran eksekusi Lambda untuk fungsi Lambda Anda di akun A. Tambahkan kebijakan IAM terkelola yang memiliki izin pemanggilan AWS DynamoDB Streams dan Lambda AWSLambdaDynamoDBExecutionRole yang diperlukan. Kebijakan ini juga memberikan akses ke semua sumber daya DynamoDB Streams potensial yang mungkin dapat Anda akses di akun A.

  2. Di konsol Lambda, buat fungsi AWS Lambda untuk memproses catatan dalam aliran DynamoDB dan selama penyiapan untuk peran eksekusi, pilih peran yang Anda buat di langkah sebelumnya.

  3. Berikan peran eksekusi fungsi Lambda kepada pemilik akun B DynamoDB Streams untuk mengonfigurasi kebijakan berbasis sumber daya untuk akses baca lintas akun.

  4. Selesai mengatur fungsi Lambda.

DynamoDB Stream di Akun B

  1. Dapatkan peran eksekusi Lambda lintas akun dari akun A yang akan memanggil fungsi Lambda.

  2. Di konsol Amazon DynamoDB di akun B, pilih tabel untuk pemicu lintas akun Lambda. Di bawah tab Ekspor dan aliran, cari ARN aliran DynamoDB Anda. Pastikan status DynamoDB Stream Aktif dan catat ARN aliran penuh karena Anda akan memerlukannya untuk kebijakan sumber daya.

  3. Di bawah tab Izin, klik tombol buat kebijakan aliran untuk memulai editor kebijakan visual. Klik tombol Tambahkan pernyataan baru atau edit kebijakan jika sudah ada.

  4. Buat kebijakan yang menentukan peran eksekusi Lambda di akun A sebagai prinsipal dan berikan tindakan DynamoDB Stream yang diperlukan. Pastikan untuk memasukkan tindakandynamodb:DescribeStream,, dynamodb:GetRecordsdynamodb:GetShardIterator, dandynamodb:ListShards. Untuk informasi selengkapnya tentang contoh kebijakan sumber daya untuk DynamoDB Streams, lihat contoh kebijakan berbasis sumber daya DynamoDB.

catatan

Akses lintas akun pesawat kontrol APIs memiliki batas transaksi per detik (TPS) yang lebih rendah dari 500 permintaan.