概要前提条件と制限アーキテクチャツールベストプラクティスエピックトラブルシューティング関連リソース追加情報

Amazon DynamoDB へのクロスアカウントアクセスを設定する

作成者: Shashi Dalmia (AWS)、Esteban Serna Parra (AWS)、Imhoertha Ojior (AWS)

概要

このパターンでは、リソースベースのポリシーを使用して Amazon DynamoDB へのクロスアカウントアクセスを設定する手順について説明します。DynamoDB を使用するワークロードでは、ワークロード分離戦略を使用してセキュリティの脅威を最小限に抑え、コンプライアンス要件を満たすことがより一般的になっています。ワークロード分離戦略を実装するには、 AWS Identity and Access Management (IAM) アイデンティティベースのポリシーを使用して DynamoDB リソースへのクロスアカウントおよびクロスリージョンアクセスが必要になることがよくあります。これには、IAM アクセス許可の設定と、間の信頼関係の確立が含まれます AWS アカウント。

DynamoDB のリソースベースのポリシーは、クロスアカウントワークロードのセキュリティ体制を大幅に簡素化します。このパターンでは、別のアカウントの DynamoDB データベーステーブルにデータを書き込む AWS アカウントように AWS Lambda 関数を 1 つに設定する方法を示すステップとサンプルコードを示します。

前提条件と制限

前提条件

2 つのがアクティブです AWS アカウント。このパターンでは、これらのアカウントを「アカウント A」と「アカウント B」と呼びます。
AWS Command Line Interface （AWS CLI) をインストールし、アカウント A にアクセスするように設定して、DynamoDB テーブルを作成します。このパターンの他のステップでは、IAM、DynamoDB、および Lambda コンソールの使用手順について説明します。 AWS CLI 代わりにを使用する予定の場合は、両方のアカウントにアクセスするように設定します。

制約事項

一部の AWS のサービスは、すべてで利用できるわけではありません AWS リージョン。リージョンの可用性については、AWS のサービス「リージョン別」を参照してください。特定のエンドポイントについては、「サービスエンドポイントとクォータ」ページを参照して、サービスのリンクを選択します。

アーキテクチャ

次の図は、単一アカウントアーキテクチャを示しています。 AWS Lambda、Amazon Elastic Compute Cloud (Amazon EC2)、DynamoDB はすべて同じアカウントにあります。このシナリオでは、Lambda 関数と Amazon EC2 インスタンスが DynamoDB にアクセスできます。DynamoDB テーブルへのアクセスを許可するには、IAM でアイデンティティベースのポリシーを作成するか、DynamoDB でリソースベースのポリシーを作成できます。

IAM アクセス許可を使用して、同じアカウントの DynamoDB テーブルにアクセスする。

次の図は、マルチアカウントアーキテクチャを示しています。1 つののリソースが別のアカウントの DynamoDB テーブルにアクセス AWS アカウントする必要がある場合は、DynamoDB でリソースベースのポリシーを設定して、必要なアクセスを許可する必要があります。たとえば、次の図では、リソースベースのポリシーを使用して、アカウント A の DynamoDB テーブルへのアクセスがアカウント B の Lambda 関数に許可されています。

リソースベースのポリシーを使用して、別のアカウントの DynamoDB テーブルにアクセスする。

このパターンでは、Lambda と DynamoDB 間のクロスアカウントアクセスについて説明します。両方のアカウントに適切なアクセス許可 AWS のサービスが設定されている場合は、他のにも同様の手順を使用できます。たとえば、アカウント A の Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを Lambda 関数に許可する場合は、Amazon S3 でリソースベースのポリシーを作成し、アカウント B の Lambda 実行ロールにアクセス許可を追加できます。

ツール

AWS のサービス

Amazon DynamoDB は、フルマネージド NoSQL データベースサービスです。高速かつ予測可能でスケーラブルなパフォーマンスを提供します。
AWS Identity and Access Management (IAM) は、AWS リソースの使用を認証および許可されているユーザーを制御することで、AWS リソースへのアクセスを安全に管理します。
AWS Lambda は、サーバーのプロビジョニングや管理を行うことなくコードを実行できるコンピューティングサービスです。必要に応じてコードを実行し、自動的にスケーリングするため、課金は実際に使用したコンピューティング時間に対してのみ発生します。

コード

このパターンには、「追加情報」セクションのサンプルコードが含まれており、アカウント A の DynamoDB テーブルに書き込むようにアカウント B の Lambda 関数を設定する方法を示しています。コードは、説明とテストの目的でのみ提供されています。このパターンを本番環境に実装する場合は、コードを参照として使用し、独自の環境に合わせてカスタマイズします。

ベストプラクティス

DynamoDB ドキュメントのリソースベースのポリシーのベストプラクティスに従ってください。
最小特権の原則に従い、タスクの実行に必要な最小限のアクセス許可を付与します。詳細については、IAM ドキュメントの「最小特権の付与」と「セキュリティのベストプラクティス」を参照してください。

エピック

タスク説明必要なスキル

タスク	説明	必要なスキル
アカウント B でポリシーを作成します。	この IAM ポリシーは、アカウント A の DynamoDB テーブルの PutItem アクションを許可します。でアカウント B にサインインします AWS Management Console。 [IAM コンソール] を開きます。ナビゲーションペインでポリシーを選択してからポリシーの作成を選択します。アクセス許可の指定ページで、ポリシーエディタで JSON を選択します。以下のポリシーを入力します。 `{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": "dynamodb:PutItem", "Resource": "arn:aws:dynamodb:<Region>:<Account-A-ID>:table/Table-Account-A" } ] }` `<Region>` とを自分の値`<Account-A-ID>`に置き換え、次へを選択します。ポリシー名には、など、ポリシーの一意の名前を入力します`DynamoDB-PutItem-Policy`。（オプション) ポリシーの説明を追加します。 [Create policy] を選択します。	AWS 全般
アカウント B でロールを作成します。	アカウント B の Lambda 関数は、この IAM ロールを使用してアカウント A の DynamoDB テーブルにアクセスします。 [IAM コンソール] を開きます。ナビゲーションペインでロールを選択してから、ロールを作成するを選択します。 [Select trusted entity] (信頼されたエンティティを選択) で、[AWS のサービス] を選択します。ユースケースセクションで、Lambda を選択します。 [Next: Permissions] (次へ: アクセス許可) を選択します。 [フィルタポリシー] ボックスに DynamoDB と入力します。 DynamoDB ポリシーのリストで、を選択します`DynamoDB-PutItem-Policy`。フィルタポリシーボックスをクリアし、Lambda を入力します。 Lambda ポリシーのリストで、AWSLambdaExecute を選択します。 [次へ:名前、確認、および作成] を選択します。 [ロール名] に、`DynamoDB-PutItemAccess` などのロールの一意の名前を入力します。（オプション) ロールの説明を追加します。 (オプション) タグをキーバリューのペアとしてアタッチして、メタデータをロールに追加します。 [ロールの作成] を選択します。ロールの作成の詳細については、「IAM ドキュメント」を参照してください。	AWS 全般
ロールの ARN を書き留めておきます。	IAM コンソールを開きます。ナビゲーションペインで [Roles (ロール) ] を選択します。検索ボックスにと入力し`DynamoDB-PutItemAccess`、ロールを選択します。ロールの概要ページで、Amazon リソースネーム (ARN) をコピーします。Lambda 関数を設定するときに ARN を使用します。	AWS 全般

アカウント B でポリシーを作成します。

この IAM ポリシーは、アカウント A の DynamoDB テーブルの PutItem アクションを許可します。

でアカウント B にサインインします AWS Management Console。
[IAM コンソール] を開きます。
ナビゲーションペインで ポリシーを選択してから ポリシーの作成を選択します。
アクセス許可の指定ページで、ポリシーエディタで JSON を選択します。

以下のポリシーを入力します。


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1",
      "Effect": "Allow",
      "Action": "dynamodb:PutItem",
      "Resource": "arn:aws:dynamodb:<Region>:<Account-A-ID>:table/Table-Account-A"
    }
  ]
}

<Region> とを自分の値<Account-A-ID>に置き換え、次へを選択します。
ポリシー名には、など、ポリシーの一意の名前を入力しますDynamoDB-PutItem-Policy。
（オプション) ポリシーの説明を追加します。
[Create policy] を選択します。

AWS 全般

アカウント B でロールを作成します。

アカウント B の Lambda 関数は、この IAM ロールを使用してアカウント A の DynamoDB テーブルにアクセスします。

[IAM コンソール] を開きます。
ナビゲーションペインで ロール を選択してから、ロールを作成する を選択します。
[Select trusted entity] (信頼されたエンティティを選択) で、[AWS のサービス] を選択します。
ユースケースセクションで、Lambda を選択します。
[Next: Permissions] (次へ: アクセス許可) を選択します。
[フィルタポリシー] ボックスに DynamoDB と入力します。
DynamoDB ポリシーのリストで、を選択しますDynamoDB-PutItem-Policy。
フィルタポリシーボックスをクリアし、Lambda を入力します。
Lambda ポリシーのリストで、AWSLambdaExecute を選択します。
[次へ:名前、確認、および作成] を選択します。
[ロール名] に、DynamoDB-PutItemAccess などのロールの一意の名前を入力します。
（オプション) ロールの説明を追加します。
(オプション) タグをキーバリューのペアとしてアタッチして、メタデータをロールに追加します。
[ロールの作成] を選択します。

ロールの作成の詳細については、「IAM ドキュメント」を参照してください。

AWS 全般

ロールの ARN を書き留めておきます。

IAM コンソールを開きます。
ナビゲーションペインで [Roles (ロール) ] を選択します。
検索ボックスにと入力しDynamoDB-PutItemAccess、ロールを選択します。
ロールの概要ページで、Amazon リソースネーム (ARN) をコピーします。Lambda 関数を設定するときに ARN を使用します。

AWS 全般

タスク説明必要なスキル

タスク	説明	必要なスキル
DynamoDB テーブルを作成します。	DynamoDB テーブルを作成するには、次の AWS CLI コマンドを使用します。 aws dynamodb create-table \ --table-name Table-Account-A \ --attribute-definitions \ AttributeName=category,AttributeType=S \ AttributeName=item,AttributeType=S \ --key-schema \ AttributeName=category,KeyType=HASH \ AttributeName=item,KeyType=RANGE \ --provisioned-throughput \ ReadCapacityUnits=5,WriteCapacityUnits=5 \ --resource-policy \ '{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<Account-B-ID>:role/<Role-Name>" }, "Action": "dynamodb:PutItem", "Resource": "arn:aws:dynamodb:<Region>:<Account-A-ID>:table/Table-Account-A" } ] }' このコードサンプルで以下を置き換えます。 `<Account-B-ID>` はアカウント B の ID です。 `<Role-Name>` は、など、作成した IAM ロールの名前です`DynamoDB-PutItemAccess`。 `<Region>` は、DynamoDB テーブルを作成する AWS リージョンです。 `<Account-A-ID>` はアカウント A の ID です。注記 `create-table` ステートメントでリソースベースのポリシー設定を指定するには、 `--resource-policy`フラグを使用します。このポリシーは、アカウント A の DynamoDB テーブルの ARN を参照します。テーブルの作成の詳細については、「DynamoDB のドキュメント」を参照してください。	AWS 全般

DynamoDB テーブルを作成します。

DynamoDB テーブルを作成するには、次の AWS CLI コマンドを使用します。


 aws dynamodb create-table \
    --table-name Table-Account-A \
    --attribute-definitions \
      AttributeName=category,AttributeType=S \
      AttributeName=item,AttributeType=S \
    --key-schema \
      AttributeName=category,KeyType=HASH \
      AttributeName=item,KeyType=RANGE \
    --provisioned-throughput \
      ReadCapacityUnits=5,WriteCapacityUnits=5 \
    --resource-policy \
      '{         
          "Version": "2012-10-17",
          "Statement": [
            {                    
               "Sid": "Statement1",
               "Effect": "Allow",
               "Principal": {
                  "AWS": "arn:aws:iam::<Account-B-ID>:role/<Role-Name>"
               },
               "Action": "dynamodb:PutItem",
               "Resource": "arn:aws:dynamodb:<Region>:<Account-A-ID>:table/Table-Account-A"
            }            
         ]
      }'

このコードサンプルで以下を置き換えます。

<Account-B-ID> はアカウント B の ID です。
<Role-Name> は、など、作成した IAM ロールの名前ですDynamoDB-PutItemAccess。
<Region> は、DynamoDB テーブルを作成する AWS リージョンです。
<Account-A-ID> はアカウント A の ID です。

注記

create-table ステートメントでリソースベースのポリシー設定を指定するには、 --resource-policyフラグを使用します。このポリシーは、アカウント A の DynamoDB テーブルの ARN を参照します。

テーブルの作成の詳細については、「DynamoDB のドキュメント」を参照してください。

AWS 全般

タスク	説明	必要なスキル
DynamoDB にデータを書き込むLambda 関数を作成します。	でアカウント B にサインインします AWS Management Console。 Lambdaのコンソールを開きます。ナビゲーションペインで、[関数]、[関数を作成] の順に選択します。 [名前] に `lambda_write_function` と入力します。 [ランタイム] には、[Python 3.8] またはそれ以降を選択します。「デフォルトの実行ロールを変更する」で、「既存のロールを使用する」を選択します。既存のロールで、など、作成した IAM ロールを選択します`DynamoDB-PutItemAccess`。 [Create function (関数の作成)] を選択します。コードタブで、このパターンの追加情報セクションで提供されているサンプルコードを貼り付けます。このコードサンプルで以下を置き換えます。 `<Account-A-ID>` はアカウント A の ID です。 `<Region>` は、DynamoDB テーブルを作成した AWS リージョンです。 [デプロイ] を選択します。 [テスト] を選択します。これにより、テストイベントを設定するよう求められます。などの任意の名前で新しいイベントを作成し`MyTestEventForWrite`、設定を保存します。 [テスト] を再度選択します。これにより、指定したイベント名で Lambda 関数が実行されます。関数からの出力を確認します。これは、関数がアカウント A の DynamoDB テーブルにアクセスし、それにデータを書き込めたことを示します。 Lambda 関数の作成についての詳細は、「Lambda ドキュメント」を参照してください。	AWS 全般

タスク	説明	必要なスキル
リソースの削除	このパターンで作成されたリソースに関連するコストが発生しないようにするには、次の操作を実行してこれらのリソースを削除します。アカウント B で、DynamoDB に接続するために作成した Lambda 関数を削除します。手順については、Lambda ドキュメントを参照してください。アカウント A で、作成した DynamoDB テーブルを削除します。手順については、DynamoDB ドキュメントを参照してください。セキュリティのベストプラクティスについては、不要になった IAM ポリシー (`DynamoDB-PutItem-Policy`) を削除します。詳細については、「IAM ドキュメント」を参照してください。セキュリティのベストプラクティスとして、不要になった IAM ロール (`DynamoDB-PutItemAccess`) を削除します。詳細については、「IAM ドキュメント」を参照してください。	AWS 全般

トラブルシューティング

問題	ソリューション
Lambda 関数を作成すると、`ResourceNotFoundException`エラーが表示されます。	アカウント A の AWS リージョンと ID が正しく入力されていることを確認します。これらは DynamoDB テーブルの ARN の一部です。

追加情報

「サンプルコード」


import boto3
from datetime import datetime

dynamodb_client = boto3.client('dynamodb')

def lambda_handler(event, context):
     now = datetime.now().isoformat()
     data = dynamodb_client.put_item(TableName='arn:aws:dynamodb:<Region>:<Account-A-ID>:table/Table-Account-A', Item={"category": {"S": "Fruit"},"item": {"S": "Apple"},"time": {"S": now}})
     return data

注記

DynamoDB クライアントがインスタンス化されると、テーブル名の代わりに DynamoDB テーブルの ARN が提供されます。これは、Lambda 関数が実行時に正しい DynamoDB テーブルに接続するために必要です。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Amazon RDS へのパブリックアクセスをブロック

Always On アベイラビリティグループで読み取り専用ルーティングを構成する