Accesso multi-account con policy basate su risorse in DynamoDB - Amazon DynamoDB

Accesso multi-account con policy basate su risorse in DynamoDB

Utilizzando una policy basata su risorse, è possibile fornire l’accesso multi-account a risorse disponibili in diversi Account AWS. Tutti gli accessi multi-account consentiti dalle policy basate su risorse verranno segnalati tramite i risultati degli accessi esterni dello strumento di analisi degli accessi IAM se si dispone di uno strumento di analisi nella stessa Regione AWS della risorsa. IAM Access Analyzer esegue controlli sulle policy per convalidare le policy rispetto alla grammatica delle policy IAM e alle best practice. Questi controlli generano risultati e forniscono raccomandazioni attuabili per aiutarti a creare policy funzionali e conformi alle best practice di sicurezza. È possibile visualizzare i risultati attivi dello strumento di analisi degli accessi IAM nella scheda Autorizzazioni della console DynamoDB.

Per ulteriori informazioni sulla convalida delle policy tramite lo strumento di analisi degli accessi IAM, consulta Convalida delle policy di Sistema di analisi degli accessi AWS IAM nella Guida per l’utente di IAM. Per visualizzare un elenco delle avvertenze, degli errori e dei suggerimenti restituiti da IAM Access Analyzer, consulta il Riferimento al controllo delle policy di IAM Access Analyzer.

Per concedere l’autorizzazione GetItem a un utente A nell’account A per accedere a una tabella B nell’account B, procedi nel seguente modo:

  1. Collega alla tabella B una policy basata su risorse che conceda l’autorizzazione all’utente A per eseguire l’azione GetItem.

  2. Collega una policy basata sull’identità all’utente A che gli conceda l’autorizzazione per eseguire l’azione GetItem sulla tabella B.

Utilizzando l’opzione Anteprima dell’accesso esterno disponibile nella console DynamoDB, è possibile visualizzare in anteprima in che modo la nuova policy influisce sull’accesso pubblico e multi-account alla risorsa. Prima di salvare la policy, puoi verificare se introduce nuovi risultati di IAM Access Analyzer o risolve i risultati esistenti. Se non è presente uno strumento di analisi attivo, scegli Go to Access Analyzer (Passa a strumento analisi accessi) per creare uno strumento di analisi degli account in IAM Access Analyzer. Per ulteriori informazioni, consulta Preview access.

Il parametro relativo al nome della tabella nelle API del piano dati e del piano di controllo (control-plane) di DynamoDB accetta il nome della risorsa Amazon (ARN) completo della tabella per supportare le operazioni multi-account. Se si fornisce solo il parametro relativo al nome della tabella anziché un ARN completo, l’operazione API verrà eseguita sulla tabella dell’account a cui appartiene il richiedente. Per un esempio di una policy che utilizza l’accesso multi-account, consulta Policy basata su risorse per accesso multi-account.

L’account del proprietario della risorsa subirà un addebito anche quando un principale di un altro account sta leggendo o scrivendo sulla tabella DynamoDB nell’account del proprietario. Se la tabella ha un throughput allocato, la somma di tutte le richieste provenienti dagli account del proprietario e dai richiedenti degli altri account determinerà se la richiesta verrà sottoposta a limitazione (della larghezza di banda della rete) (se il dimensionamento automatico è disabilitato) oppure ad aumento o riduzione verticale se il dimensionamento automatico è abilitato.

I log delle richieste verranno registrati nei log di CloudTrail dell’account del proprietario e del richiedente, in modo che ciascuno dei due account possa tenere traccia dei dati a cui ha avuto accesso ogni account.

Nota

L’accesso multi-account delle API del piano di controllo (control-plane) prevede un limite inferiore di transazioni al secondo (TPS, Transactions Per Second) di 500 richieste.