DynamoDB 中使用資源型政策的跨帳戶存取權

您可以使用資源型政策，提供位於不同 AWS 帳戶中可用資源的跨帳戶存取權。如果您具有 AWS 區域 與資源相同的分析器，則資源型政策允許的所有跨帳戶存取將透過 IAM Access Analyzer 外部存取調查結果進行報告。IAM Access Analyzer 會比對 IAM 政策文法和最佳實務來執行政策檢查，以驗證您的政策。這些檢查會產生問題清單並提供可行的建議，協助您撰寫具有功能性且符合安全最佳實務的政策。您可以在 DynamoDB 主控台的權限分頁中，檢視 IAM 存取分析器的有效調查結果。

如需使用 IAM 存取分析器驗證政策的詳細資訊，請參閱 IAM 使用者指南中的 IAM 存取分析器政策驗證。若要檢視 IAM Access Analyzer 傳回的警告、錯誤和建議清單，請參閱 IAM Access Analyzer 政策檢查參考。

若要授予帳戶 A 的使用者 A GetItem 權限，以便存取帳戶 B 的資料表 B，請依下列步驟操作：

您可以使用 DynamoDB 主控台中的預覽外部存取選項，預覽新政策對資源公有及跨帳戶存取權的影響。在儲存政策之前，您可以檢查它是否引入新的 IAM Access Analyzer 問題清單，或是解決現有的問題清單。如果您沒有看到作用中的分析器，請選擇 Go to Access Analyzer (移至 Access Analyzer)，以在 IAM Access Analyzer 中建立帳戶分析器。如需詳細資訊，請參閱預覽存取。

DynamoDB 資料平面與控制平面 API 中的資料表名稱參數可接受完整的 Amazon Resource Name (ARN)，以支援跨帳戶作業。若僅提供資料表名稱參數 (未包含完整 ARN)，API 作業將在請求者所屬帳戶的資料表上執行。如需使用跨帳戶存取的政策範例，請參閱 跨帳戶存取權資源型政策。

即使其他帳戶的主體讀取或寫入擁有者帳戶中的 DynamoDB 資料表，費用仍由資源擁有者帳戶承擔。若資料表採用預先佈建的輸送量，則來自擁有者與其他帳戶請求者的所有請求總和，將決定請求是否遭到限流 (若停用自動調整)，或進行擴增/縮減 (若啟用自動調整)。

所有請求將記錄於擁有者與請求者帳戶的 CloudTrail 日誌中，使雙方均可追蹤資料的存取來源。