Configurar o acesso entre contas ao Amazon DynamoDB - Recomendações da AWS
ResumoPré-requisitos e limitaçõesArquiteturaFerramentasPráticas recomendadasÉpicosSolução de problemasRecursos relacionadosMais informações

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar o acesso entre contas ao Amazon DynamoDB

Shashi Dalmia, Imhoertha Ojior e Esteban Serna Parra, Amazon Web Services

Resumo

Esse padrão explica as etapas para configurar o acesso entre contas ao Amazon DynamoDB usando políticas baseadas em recursos. Para os workloads que usam o DynamoDB, está se tornando cada vez mais comum adotar estratégias de isolamento de workloads para reduzir ameaças de segurança e atender aos requisitos de conformidade. A implementação de estratégias de isolamento da carga de trabalho geralmente requer acesso entre contas e regiões aos recursos do DynamoDB usando políticas baseadas em identidade (IAM). AWS Identity and Access Management Isso envolve definir permissões do IAM e estabelecer uma relação de confiança entre Contas da AWS o.

As políticas baseadas em recursos para o DynamoDB simplificam significativamente a postura de segurança para workloads entre contas. Esse padrão fornece etapas e exemplos de código para demonstrar como você pode configurar AWS Lambda funções em uma Conta da AWS para gravar dados em uma tabela de banco de dados do DynamoDB em uma conta diferente.

Pré-requisitos e limitações

Pré-requisitos

  • Dois ativos Contas da AWS. Esse padrão se refere a essas contas como Conta A e Conta B.

  • AWS Command Line Interface (AWS CLI) instalado e configurado para acessar a Conta A, para criar a tabela do DynamoDB. As outras etapas desse padrão fornecem instruções para usar os consoles IAM, DynamoDB e Lambda. Se você planeja usar AWS CLI em vez disso, configure-o para acessar as duas contas.

Limitações

  • Alguns Serviços da AWS não estão disponíveis em todos Regiões da AWS. Para conferir a disponibilidade de uma região, consulte Serviços da AWS by Region. Para endpoints específicos, consulte a página Cotas e endpoints de serviços e clique no link correspondente ao serviço desejado.

Arquitetura

O diagrama a seguir mostra uma arquitetura de conta única. AWS Lambda, Amazon Elastic Compute Cloud (Amazon EC2) e DynamoDB estão todos na mesma conta. Nesse cenário, as funções Lambda e as EC2 instâncias da Amazon podem acessar o DynamoDB. Para conceder acesso à tabela do DynamoDB, você pode criar uma política baseada em identidade no IAM ou uma política baseada em recursos no DynamoDB.

Uso das permissões do IAM para acessar uma tabela do DynamoDB na mesma conta.

O diagrama a seguir mostra uma arquitetura de várias contas. Se os recursos em um Conta da AWS precisarem acessar uma tabela do DynamoDB em uma conta diferente, você precisará configurar uma política baseada em recursos no DynamoDB para conceder o acesso necessário. Por exemplo, no diagrama apresentado a seguir, o acesso à tabela do DynamoDB na Conta A é concedido a uma função do Lambda na Conta B usando uma política baseada em recursos.

Uso de uma política baseada em recursos para acessar uma tabela do DynamoDB em uma conta diferente.

Este padrão descreve o acesso entre contas entre o Lambda e o DynamoDB. Você pode usar etapas semelhantes para outras, Serviços da AWS se as permissões apropriadas estiverem configuradas em ambas as contas. Por exemplo, se você desejar conceder a uma função do Lambda acesso a um bucket do Amazon Simple Storage Service (Amazon S3) na Conta A, você pode criar uma política baseada em recursos no Amazon S3 e adicionar as permissões ao perfil de execução do Lambda na Conta B.

Ferramentas

Serviços da AWS

  • O Amazon DynamoDB é um serviço de banco de dados NoSQL totalmente gerenciado que fornece performance rápida, previsível e escalável.

  • AWS Identity and Access Management (IAM) ajuda você a gerenciar com segurança o acesso aos seus recursos da AWS controlando quem está autenticado e autorizado a usá-los.

  • O AWS Lambda é um serviço de computação que ajuda a executar código sem exigir provisionamento ou gerenciamento de servidores. Ele executa o código somente quando necessário e dimensiona automaticamente, assim, você paga apenas pelo tempo de computação usado.

Código

Este padrão inclui código de amostra na seção Informações adicionais para mostrar como configurar uma função do Lambda na Conta B para escrever na tabela do DynamoDB na Conta A. O código é fornecido apenas para fins de ilustração e teste. Se você estiver implementando este padrão em um ambiente de produção, use o código como referência e personalize-o para o seu próprio ambiente.

Práticas recomendadas

Épicos

TarefaDescriptionHabilidades necessárias

Crie uma política na Conta B.

Essa política do IAM permite a PutItemação de uma tabela do DynamoDB na Conta A.

  1. Faça login na Conta B no Console de gerenciamento da AWS.

  2. Abra o console do IAM.

  3. No painel de navegação, selecione Políticas e, em seguida, Criar política.

  4. Na página Especificar permissões, no editor de políticas, selecione JSON.

  5. Insira a seguinte política.

    {
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Statement1",
      "Effect": "Allow",
      "Action": "dynamodb:PutItem",
      "Resource": "arn:aws:dynamodb:<Region>:<Account-A-ID>:table/Table-Account-A"
    }
  ]
}

  6. Substitua <Region> e <Account-A-ID> pelos seus valores e, em seguida, clique em Próximo.

  7. No campo Nome da política, insira um nome exclusivo para sua política, como DynamoDB-PutItem-Policy.

  8. (Opcional) Adicione uma descrição para a política.

  9. Selecione Criar política.

AWS geral

Crie um perfil na Conta B.

A função do Lambda na Conta B usa este perfil do IAM para acessar a tabela do DynamoDB na Conta A.

  1. Abra o console do IAM.

  2. No painel de navegação, escolha Roles (Funções) e Create role (Criar função).

  3. Em Select trusted entity (Selecionar entidade confiável), escolha AWS service (Serviço da AWS).

  4. Na seção Caso de uso, escolha Lambda.

  5. Escolha Próximo: Permissões.

  6. Na caixa Políticas de filtro insira DynamoDB.

  7. Na lista de políticas do DynamoDB, selecione DynamoDB-PutItem-Policy.

  8. Desmarque a caixa Filtrar políticas e, em seguida, digite Lambda.

  9. Na lista de políticas do Lambda, escolha AWSLambda Executar.

  10. Escolha Avançar: nomear, revisar e criar.

  11. Em Nome do perfil, insira um nome exclusivo para o perfil, como DynamoDB-PutItemAccess.

  12. (Opcional) Adicione uma descrição para o perfil.

  13. (Opcional) Adicione metadados à função anexando etiquetas como pares de chave-valor.

  14. Selecione Criar perfil.

Para obter mais informações sobre a criação de funções, consulte a documentação de IAM.

AWS geral

Anote o ARN do perfil do .

  1. Abra o console do IAM.

  2. No painel de navegação, selecione Perfis.

  3. No campo de pesquisa, digite DynamoDB-PutItemAccess e, em seguida, selecione o perfil.

  4. Na página de resumo do perfil, copie o nome do recurso da Amazon (ARN). Você usará o ARN ao configurar a função do Lambda.

AWS geral
TarefaDescriptionHabilidades necessárias

Crie uma tabela do DynamoDB.

Use o AWS CLI comando a seguir para criar uma tabela do DynamoDB.

 aws dynamodb create-table \
    --table-name Table-Account-A \
    --attribute-definitions \
      AttributeName=category,AttributeType=S \
      AttributeName=item,AttributeType=S \
    --key-schema \
      AttributeName=category,KeyType=HASH \
      AttributeName=item,KeyType=RANGE \
    --provisioned-throughput \
      ReadCapacityUnits=5,WriteCapacityUnits=5 \
    --resource-policy \
      '{         
          "Version": "2012-10-17",		 	 	 
          "Statement": [
            {                    
               "Sid": "Statement1",
               "Effect": "Allow",
               "Principal": {
                  "AWS": "arn:aws:iam::<Account-B-ID>:role/<Role-Name>"
               },
               "Action": "dynamodb:PutItem",
               "Resource": "arn:aws:dynamodb:<Region>:<Account-A-ID>:table/Table-Account-A"
            }            
         ]
      }'

Substitua o seguinte nesta amostra de código:

  • <Account-B-ID> é o ID da Conta B.

  • <Role-Name> é o nome do perfil do IAM que você criou, como DynamoDB-PutItemAccess.

  • <Region>é Região da AWS onde você está criando a tabela do DynamoDB.

  • <Account-A-ID> é o ID da Conta A.

nota

Você especifica a configuração da política baseada em recursos na instrução create-table usando o parâmetro --resource-policy. Esta política faz referência ao ARN da tabela do DynamoDB na Conta A.

Para obter mais informações sobre criar tabelas, consulte a documentação do DynamoDB.

AWS geral
TarefaDescriptionHabilidades necessárias

Crie uma função do Lambda para gravar dados no DynamoDB.

  1. Faça login na Conta B no Console de gerenciamento da AWS.

  2. Abra o console do lambda.

  3. No painel de navegação, escolha Funções e selecione Criar função.

  4. Em Nome, digite lambda_write_function.

  5. Em Runtime, escolha Python 3.8 ou superior.

  6. Em Alterar perfil de execução padrão, selecione Usar um perfil existente.

  7. Em Perfil existente, selecione o perfil do IAM que você criou, como DynamoDB-PutItemAccess.

  8. Escolha a opção Criar função.

  9. Na guia Código, cole o código de amostra fornecido na seção Informações adicionais deste padrão. Substitua o seguinte nesta amostra de código:

    • <Account-A-ID> é o ID da Conta A.

    • <Region>é Região da AWS onde você criou a tabela do DynamoDB.

  10. Escolha Implantar.

  11. Escolha Testar. Isso solicita que você configure um evento de teste. Crie um novo evento com o nome de sua preferência, como MyTestEventForWrite, e depois salve a configuração.

  12. Escolha Test (Testar) novamente. Isso executa a função do Lambda com o nome do evento que você forneceu.

  13. Verifique a saída da função. A saída deve indicar que a função acessou a tabela do DynamoDB na Conta A e conseguiu gravar dados nela.

Para obter mais informações sobre como criar funções do Lambda, consulte a documentação do Lambda.

AWS geral
TarefaDescriptionHabilidades necessárias

Excluir recursos.

Para evitar custos associados aos recursos criados neste padrão, faça o seguinte para excluir esses recursos:

  1. Na Conta B, exclua a função do Lambda que você criou para se conectar ao DynamoDB. Para obter instruções, consulte a documentação do Lambda.

  2. Na Conta A, exclua a tabela do DynamoDB que você criou. Para obter instruções, consulte a documentação do DynamoDB.

  3. Para seguir as práticas recomendadas de segurança, exclua a política do IAM (DynamoDB-PutItem-Policy) quando não for mais necessária. Para ter mais informações, consulte a documentação do IAM.

  4. Para seguir as práticas recomendadas de segurança, exclua o perfil do IAM (DynamoDB-PutItemAccess) quando não for mais necessário. Para ter mais informações, consulte a documentação do IAM.

AWS geral

Solução de problemas

ProblemaSolução

Ao criar a função do Lambda, você recebe um erro ResourceNotFoundException.

Confirme se você inseriu corretamente a ID Região da AWS e a ID da Conta A. Elas fazem parte do ARN da tabela do DynamoDB.

Recursos relacionados

Mais informações

Código de exemplo

import boto3
from datetime import datetime

dynamodb_client = boto3.client('dynamodb')

def lambda_handler(event, context):
     now = datetime.now().isoformat()
     data = dynamodb_client.put_item(TableName='arn:aws:dynamodb:<Region>:<Account-A-ID>:table/Table-Account-A', Item={"category": {"S": "Fruit"},"item": {"S": "Apple"},"time": {"S": now}})
     return data
nota

Quando o cliente do DynamoDB é instanciado, o ARN da tabela do DynamoDB é fornecido em vez do nome da tabela. Isso é necessário para que a função do Lambda se conecte à tabela correta do DynamoDB quando for executada.